¿Qué debo hacer si mi computadora con Windows parece estar infectada con un virus o malware?

• ¿Cuáles son los síntomas de una infección?
• ¿Qué debo hacer después de notar una infección?
• ¿Qué puedo hacer para deshacerme de él?
• ¿Cómo prevenir la infección por malware?

Esta pregunta surge con frecuencia, y las soluciones sugeridas suelen ser las mismas. Este wiki comunitario es un intento de servir como la respuesta definitiva y más completa posible.

Siéntase libre de agregar sus contribuciones a través de ediciones.

Aquí está la cosa: el malware en los últimos años se ha vuelto más astuto y desagradable :

Más astuto , no solo porque es mejor para esconderse con rootkits o hacks EEPROM, sino también porque viaja en paquetes. El malware sutil puede esconderse detrás de infecciones más obvias. Hay muchas buenas herramientas enumeradas en las respuestas aquí que pueden encontrar el 99% de malware, pero siempre hay ese 1% que aún no pueden encontrar. En su mayoría, ese 1% es algo nuevo : las herramientas de malware no pueden encontrarlo porque acaba de salir y está utilizando algún nuevo exploit o técnica para ocultarse que las herramientas aún no conocen.

El malware también tiene una vida útil corta. Si está infectado, es muy probable que algo de ese nuevo 1% sea una parte de su infección. No será toda la infección: solo una parte de ella. Las herramientas de seguridad lo ayudarán a encontrar y eliminar el malware más obvio y conocido, y lo más probable es que elimine todos los síntomas visibles (porque puede seguir cavando hasta llegar tan lejos), pero pueden dejar pequeños pedazos, como un keylogger o rootkit que se esconde detrás de algún nuevo exploit que la herramienta de seguridad aún no sabe cómo verificar. Las herramientas antimalware todavía tienen su lugar, pero lo abordaré más adelante.

Más desagradable , ya que no solo mostrará anuncios, instalará una barra de herramientas o usará su computadora como zombie. Es probable que el malware moderno funcione correctamente para la información bancaria o de la tarjeta de crédito. Las personas que construyen estas cosas ya no son solo niños de guiones que buscan fama; ahora son profesionales organizados motivados por las ganancias , y si no pueden robarte directamente, buscarán algo que puedan cambiar y vender. Esto podría ser el procesamiento o los recursos de red en su computadora, pero también podría ser su número de seguro social o encriptar sus archivos y retenerlos como rescate.

Si se combinan estos dos factores, ya no vale la pena intentar eliminar el malware de un sistema operativo instalado . Solía ​​ser muy bueno eliminando estas cosas, hasta el punto de que gané una parte importante de mi vida de esa manera, y ya ni siquiera intento hacerlo. No digo que no se pueda hacer, pero sí digo que los resultados de análisis de costo / beneficio y riesgo han cambiado: simplemente ya no vale la pena. Hay demasiado en juego, y es demasiado fácil obtener resultados que solo parecen ser efectivos.

Mucha gente no estará de acuerdo conmigo en esto, pero desafío que no estén sopesando las consecuencias del fracaso con la suficiente fuerza. ¿Estás dispuesto a apostar tus ahorros de toda la vida, tu buen crédito, incluso tu identidad, a que eres mejor que los delincuentes que hacen que millones lo hagan todos los días? Si intenta eliminar el malware y luego sigue ejecutando el sistema anterior, eso es exactamente lo que está haciendo.

Sé que hay personas que leen esto pensando: "Oye, he eliminado varias infecciones de varias máquinas y nunca sucedió nada malo". Yo también amigo. Yo también. En días pasados ​​he limpiado mi parte de sistemas infectados. Sin embargo, sugiero que ahora necesitemos agregar "todavía" al final de esa declaración. Puede ser 99% efectivo, pero solo tiene que estar equivocado una vez, y las consecuencias del fracaso son mucho más altas de lo que alguna vez fueron; El costo de una sola falla puede superar fácilmente todos los otros éxitos. Es posible que incluso tenga una máquina por ahí que todavía tenga una bomba de tiempo dentro, solo esperando a ser activada o para recopilar la información correcta antes de informarla. Incluso si tiene un proceso 100% efectivo ahora, esto cambia todo el tiempo. Recuerda: tienes que ser perfecto cada vez;

En resumen, es desafortunado, pero si tiene una infección de malware confirmada, un primer pavimento completo de la computadora debería ser el primer lugar en el que recurra en lugar del último.

Aquí se explica cómo lograr eso:

Antes de infectarse , asegúrese de tener una forma de reinstalar cualquier software comprado, incluido el sistema operativo, que no dependa de nada almacenado en su disco duro interno. Para este propósito, eso normalmente solo significa colgar en cd / dvds o claves de producto, pero el sistema operativo puede requerir que usted mismo cree discos de recuperación. ¹ No confíe en una partición de recuperación para esto. Si espera hasta después de una infección para asegurarse de tener lo que necesita para volver a instalar, es posible que vuelva a pagar por el mismo software. Con el aumento del ransomware, también es extremadamente importante realizar copias de seguridad periódicas de sus datos (además, ya sabe, cosas no maliciosas habituales como fallas en el disco duro).

Cuando sospeche que tiene malware , busque otras respuestas aquí. Hay muchas buenas herramientas sugeridas. Mi único problema es la mejor manera de usarlos: solo confío en ellos para la detección. Instale y ejecute la herramienta, pero tan pronto como encuentre evidencia de una infección real (más que solo "rastrear cookies") simplemente detenga el escaneo: la herramienta ha hecho su trabajo y ha confirmado su infección. ²

En el momento de una infección confirmada, siga los siguientes pasos:

1. Verifique su crédito y cuentas bancarias. Para cuando se entere de la infección, es posible que ya se haya causado un daño real. Tome las medidas necesarias para proteger sus tarjetas, cuenta bancaria e identidad.
2. Cambie las contraseñas en cualquier sitio web al que haya accedido desde la computadora comprometida. No use la computadora comprometida para hacer nada de esto.
3. Realice una copia de seguridad de sus datos (incluso mejor si ya tiene uno).
4. Vuelva a instalar el sistema operativo utilizando los medios originales obtenidos directamente del editor del sistema operativo. Asegúrese de que la reinstalación incluya un formateo completo de su disco; una operación de restauración o recuperación del sistema no es suficiente.
5. Vuelva a instalar sus aplicaciones.
6. Asegúrese de que su sistema operativo y software estén completamente actualizados y actualizados.
7. Ejecute un análisis antivirus completo para limpiar la copia de seguridad del paso dos.
8. Restaurar la copia de seguridad.

Si se hace correctamente, es probable que esto tome entre dos y seis horas reales de su tiempo, distribuidas en dos o tres días (o incluso más) mientras espera que se instalen aplicaciones, actualizaciones de Windows para descargar o archivos de respaldo de gran tamaño. transferir ... pero es mejor que descubrir más tarde que los delincuentes drenaron su cuenta bancaria. Desafortunadamente, esto es algo que debe hacer usted mismo, o que un amigo techy haga por usted. A una tasa de consulta típica de alrededor de $ 100 / hora, puede ser más barato comprar una máquina nueva que pagarle a un taller para que haga esto. Si tiene un amigo que lo haga por usted, haga algo agradable para mostrar su agradecimiento. Incluso los geeks que aman ayudarlo a configurar cosas nuevas o reparar hardware roto a menudo odianEl tedio del trabajo de limpieza. También es mejor si tomas tu propia copia de seguridad ... tus amigos no sabrán dónde colocas qué archivos o cuáles son realmente importantes para ti. Estás en una mejor posición para hacer un buen respaldo que ellos.

Pronto, incluso todo esto puede no ser suficiente, ya que ahora hay malware capaz de infectar el firmware. Incluso reemplazar el disco duro puede no eliminar la infección, y comprar una computadora nueva será la única opción. Afortunadamente, en el momento en que escribo esto aún no hemos llegado a ese punto, pero definitivamente está en el horizonte y se acerca rápidamente.

Si insiste absolutamente, más allá de toda razón, que realmente desea limpiar su instalación existente en lugar de comenzar de nuevo, entonces, por el amor de Dios, asegúrese de que cualquier método que use incluya uno de los dos procedimientos siguientes:

• Retire el disco duro y conéctelo como disco invitado en una computadora diferente (¡limpia!) Para ejecutar el escaneo.

O

• Arranque desde una llave CD / USB con su propio conjunto de herramientas que ejecutan su propio núcleo. Asegúrese de obtener la imagen para esto y grabarla en una computadora limpia. Si es necesario, haga que un amigo haga el disco por usted.

Bajo ninguna circunstancia intente limpiar un sistema operativo infectado utilizando software que se ejecute como un proceso invitado del sistema operativo comprometido. Eso es simplemente tonto.

Por supuesto, la mejor manera de reparar una infección es evitarla en primer lugar, y hay algunas cosas que puede hacer para ayudar con eso:

1. Mantenga su sistema parcheado. Asegúrese de instalar rápidamente las Actualizaciones de Windows, las Actualizaciones de Adobe, las Actualizaciones de Java, las Actualizaciones de Apple, etc. Esto es mucho más importante incluso que el software antivirus, y en su mayor parte no es tan difícil, siempre y cuando se mantenga actualizado. La mayoría de esas compañías se han conformado informalmente con la publicación de nuevos parches el mismo día de cada mes, por lo que si se mantiene actualizado, no lo interrumpe con tanta frecuencia. Las interrupciones de Windows Update generalmente solo ocurren cuando las ignora durante demasiado tiempo. Si esto te sucede a menudo, depende de ti cambiar tu comportamiento. Estos son importantes , y no está bien elegir continuamente la opción "instalar más tarde", incluso si es más fácil en este momento.
2. No se ejecute como administrador de forma predeterminada. En versiones recientes de Windows, es tan simple como dejar activada la función UAC.
3. Use una buena herramienta de firewall. En estos días, el firewall predeterminado en Windows es lo suficientemente bueno. Es posible que desee complementar esta capa con algo como WinPatrol que ayuda a detener la actividad maliciosa en el front-end. Windows Defender también funciona en esta capacidad. Los complementos básicos del navegador Ad-Blocker también se están volviendo cada vez más útiles a este nivel como herramienta de seguridad.
4. Configure la mayoría de los complementos del navegador (especialmente Flash y Java) en "Solicitar activación".

5. Ejecute el software antivirus actual . Este es un quinto distante de las otras opciones, ya que el software de A / V tradicional a menudo ya no es tan efectivo. También es importante enfatizar la "corriente". Podría tener el mejor software antivirus del mundo, pero si no está actualizado, puede desinstalarlo.

   Por esta razón, actualmente recomiendo Microsoft Security Essentials. (Desde Windows 8, Microsoft Security Essentials es parte de Windows Defender). Probablemente haya motores de escaneo mucho mejores, pero Security Essentials se mantendrá actualizado, sin arriesgarse a un registro vencido. AVG y Avast también funcionan bien de esta manera. Simplemente no puedo recomendar ningún software antivirus que deba pagar realmente, porque es demasiado común que una suscripción paga caduque y termine con definiciones desactualizadas.

   También vale la pena señalar aquí que los usuarios de Mac ahora también necesitan ejecutar un software antivirus. Los días en que podían escapar sin ella ya se fueron. Por otro lado, creo que es divertido . Ahora debo recomendar a los usuarios de Mac que compren software antivirus, pero desaconsejar a los usuarios de Windows que no lo hagan.

6. Evite los sitios de torrents, warez, software pirateado y películas / videos pirateados. A menudo, la persona que lo descifró o publicó fue inyectado con malware, no siempre, pero con la frecuencia suficiente para evitar todo el desastre. Es parte de por qué un cracker haría esto: a menudo obtendrán una parte de cualquier beneficio.
7. Usa tu cabeza cuando navegues por la web. Eres el eslabón más débil de la cadena de seguridad. Si algo suena demasiado bueno para ser verdad, probablemente lo sea. El botón de descarga más obvio rara vez es el que desea usar más al descargar un nuevo software, así que asegúrese de leer y comprender todo en la página web antes de hacer clic en ese enlace. Si ve una ventana emergente o escucha un mensaje audible que le pide que llame a Microsoft o que instale alguna herramienta de seguridad, es falso.
   Además, prefiera descargar el software y las actualizaciones / mejoras directamente del proveedor o desarrollador en lugar de sitios web de alojamiento de archivos de terceros.

_{¹ Microsoft ahora publica los medios de instalación de Windows 10 para que pueda descargar y escribir legalmente en una unidad flash de 8GB o más de forma gratuita. Todavía necesita una licencia válida, pero ya no necesita un disco de recuperación separado para el sistema operativo básico.}

_{² Este es un buen momento para señalar que he suavizado un poco mi enfoque. En la actualidad, la mayoría de las "infecciones" se incluyen en la categoría de PUP (Programas potencialmente no deseados) y extensiones de navegador incluidas con otras descargas. A menudo, estos PUP / extensiones se pueden eliminar de forma segura a través de los medios tradicionales, y ahora son un porcentaje lo suficientemente grande de malware que puedo detener en este punto y simplemente probar la función Agregar o quitar programas o la opción normal del navegador para eliminar una extensión. Sin embargo, a la primera señal de algo más profundo (cualquier indicio de que el software no se desinstalará normalmente) y vuelve a reparar la máquina.}

¿Cómo puedo saber si mi PC está infectada?

Los síntomas generales del malware pueden ser cualquier cosa. Los habituales son:

• La máquina es más lenta de lo normal.
• Fallos aleatorios y cosas que suceden cuando no deberían (por ejemplo, algunos virus nuevos imponen restricciones de política de grupo en su máquina para evitar que se ejecute el administrador de tareas u otros programas de diagnóstico).
• El administrador de tareas muestra una CPU alta cuando cree que su máquina debe estar inactiva (por ejemplo, <5%).
• Anuncios apareciendo al azar.
• Aparecen advertencias de virus de un antivirus que no recuerda haber instalado (el programa antivirus es falso e intenta afirmar que tiene virus que suenan aterradores con nombres como 'bankpasswordstealer.vir'. Le recomendamos que pague por este programa para limpiarlos. )
• Popups / falsa pantalla azul de la muerte (BSOD) que le pide que llame a un número para corregir la infección.
• Las páginas de Internet redirigidas o bloqueadas, por ejemplo, las páginas de inicio de productos AV o sitios de soporte (www.symantec.com, www.avg.com, www.microsoft.com) se redirigen a sitios llenos de anuncios o sitios falsos que promocionan falsos anti herramientas de eliminación de virus / "útiles", o están bloqueadas por completo.
• Mayor tiempo de inicio, cuando no ha estado instalando ninguna aplicación (o parche) ... Esta es incómoda.
• Sus archivos personales están encriptados y ve una nota de rescate.
• Cualquier cosa de la nada, si "conoce" su sistema, generalmente sabe cuándo algo está muy mal.

¿Cómo me deshago de esto?

Usando un Live CD

Dado que el escáner de virus de la PC infectada podría verse comprometido, probablemente sea más seguro escanear la unidad desde un CD en vivo. El CD iniciará un sistema operativo especializado en su computadora, que luego escaneará el disco duro.

Existen, por ejemplo, Avira Antivir Rescue System o ubcd4win . Se pueden encontrar más sugerencias en la lista de descargas de CD de arranque de antivirus de arranque GRATUITO , como:

• CD de rescate de Kaspersky
• CD de rescate de BitDefender
• CD de rescate F-Secure
• Avira Antivir Rescue Disk
• CD del kit Trinity Rescue
• CD de rescate de AVG

Conectar el disco duro a otra PC

Si está conectando el disco duro infectado a un sistema limpio para escanearlo, asegúrese de actualizar las definiciones de virus para todos los productos que usará para escanear el disco infectado. Esperar una semana para que los proveedores de antivirus publiquen nuevas definiciones de virus puede mejorar sus posibilidades de detectar todos los virus.

Asegúrese de que su sistema infectado permanezca desconectado de Internet tan pronto como lo encuentre infectado. Esto evitará que pueda descargar nuevas ediciones de virus (entre otras cosas).

Comience con una buena herramienta como Spybot Search and Destroy o Malwarebytes 'Anti-Malware y realice un análisis completo. Pruebe también ComboFix y SuperAntiSpyware . Ningún producto antivirus tendrá todas las definiciones de virus. El uso de múltiples productos es clave ( no para protección en tiempo real ). Si solo queda un virus en el sistema, es posible que pueda descargar e instalar todas las últimas ediciones de nuevos virus y todo el esfuerzo hasta ahora hubiera sido en vano.

Eliminar programas sospechosos del arranque

1. Arranque en modo seguro.
2. Utilícelo msconfigpara determinar qué programas y servicios comienzan en el arranque (o inicio en el administrador de tareas en Windows 8).
3. Si hay programas / servicios que son sospechosos, elimínelos del arranque. De lo contrario, salte a usar un CD en vivo.
4. Reiniciar.
5. Si los síntomas no desaparecen y / o el programa se reemplaza al inicio, intente usar un programa llamado Autoruns para encontrar el programa y eliminarlo de allí. Si su computadora no puede iniciarse, Autoruns tiene una función donde puede ejecutarse desde una segunda PC llamada "Analizar PC fuera de línea". Presta especial atención a las pestañas Logony Scheduled tasks.
6. Si aún no hay éxito en la eliminación del programa, y ​​está seguro de que es la causa de sus problemas, inicie en modo normal e instale una herramienta llamada Desbloqueador
7. Navegue a la ubicación del archivo que es ese virus e intente usar el desbloqueador para matarlo. Pueden suceder algunas cosas:
   1. El archivo se elimina y no vuelve a aparecer al reiniciar. Este es el mejor caso.
   2. El archivo se elimina, pero vuelve a aparecer de inmediato. En este caso, use un programa llamado Process Monitor para descubrir el programa que recreó el archivo. Necesitarás eliminar ese programa también.
   3. El archivo no se puede eliminar, el desbloqueador le pedirá que lo elimine al reiniciar. Haga eso y vea si vuelve a aparecer. Si es así, debe tener un programa en el arranque que haga que eso suceda y volver a examinar la lista de programas que se ejecutan en el arranque.

Qué hacer después de restaurar

Ahora debería ser seguro (con suerte) arrancar en su sistema (previamente) infectado. Aún así, mantenga los ojos abiertos para detectar signos de infección. Un virus puede dejar cambios en una computadora que facilitaría la reinfección incluso después de que se haya eliminado el virus.

Por ejemplo, si un virus cambia la configuración de DNS o proxy, su computadora lo redirigiría a versiones falsas de sitios web legítimos, de modo que descargar lo que parece ser un programa conocido y confiable podría estar descargando un virus.

También podrían obtener sus contraseñas al redirigirlo a sitios de cuentas bancarias falsas o sitios de correo electrónico falsos. Asegúrese de verificar su configuración de DNS y proxy. En la mayoría de los casos, su ISP debe proporcionar su DNS o DHCP debe adquirirlo automáticamente. Su configuración de proxy debe estar deshabilitada.

Verifique su hostsarchivo ( \%systemroot%\system32\drivers\etc\hosts) en busca de entradas sospechosas y elimínelas de inmediato. También asegúrese de que su firewall esté habilitado y que tenga todas las últimas actualizaciones de Windows.

A continuación, proteja su sistema con un buen antivirus y complételo con un producto Anti malware. Microsoft Security Essentials a menudo se recomienda junto con otros productos .

Que hacer si todo falla

Cabe señalar que algunos malware son muy buenos para evitar los escáneres. Es posible que una vez que esté infectado, pueda instalar rootkits o similares para permanecer invisible. Si las cosas están realmente mal, la única opción es borrar el disco y reinstalar el sistema operativo desde cero. A veces, un escaneo con GMER o Kaspersky's TDSS Killer puede mostrarle si tiene un rootkit.

Es posible que desee hacer algunas ejecuciones de Spybot Search and Destroy. Si después de tres ejecuciones no puede eliminar una infestación (y no puede hacerlo manualmente), considere volver a instalarla.

Otra sugerencia: Combofix es una herramienta de eliminación muy poderosa cuando los rootkits evitan que otras cosas se ejecuten o instalen.

El uso de múltiples motores de escaneo ciertamente puede ayudar a encontrar malwares mejor ocultos, pero es una tarea fastidiosa y una buena estrategia de copia de seguridad / restauración será más eficiente y segura.

Bonificación: Hay una interesante serie de videos que comienza con " Comprender y combatir el malware: virus, spyware" con Mark Russinovich, el creador de Sysinternals ProcessExplorer & Autoruns, sobre la limpieza de malware.

Hay algunos consejos excelentes para combatir el malware en "Cómo limpiar una infestación de software espía de Windows" de Jeff Atwood . Este es el proceso básico (asegúrese de leer la publicación del blog para obtener capturas de pantalla y otros detalles que este resumen pasa por alto):

1. Detenga cualquier spyware que se esté ejecutando actualmente. El Administrador de tareas integrado de Windows no lo cortará; obtener Sysinternals Process Explorer .
   1. Ejecute Process Explorer.
   2. Ordenar la lista de procesos por nombre de la empresa.
   3. Elimine cualquier proceso que no tenga un Nombre de la empresa (excluyendo DPC, Interrupciones, Sistema y Proceso inactivo del sistema), o que tenga Nombres de la empresa que no reconozca.
2. Evite que el spyware se reinicie la próxima vez que se inicie el sistema. Una vez más, la herramienta integrada de Windows, MSconfig, es una solución parcial, pero Sysinternals AutoRuns es la herramienta a utilizar.
   1. Ejecute AutoRuns.
   2. Revisa toda la lista. Desmarque las entradas sospechosas: aquellas con nombres de editor en blanco o cualquier nombre de editor que no reconozca.
3. Ahora reiniciar.
4. Después de reiniciar, vuelva a verificar con Process Explorer y AutoRuns. Si algo "vuelve", tendrá que cavar más profundo.
   • En el ejemplo de Jeff, algo que regresó fue una entrada sospechosa del conductor en AutoRuns. Habla a través del seguimiento del proceso que lo cargó en Process Explorer, cerrando el controlador y eliminando físicamente el controlador falso.
   • También encontró un archivo DLL de nombre extraño que se engancha en el proceso Winlogon, y demuestra cómo encontrar y eliminar los subprocesos del proceso que cargan esa DLL para que AutoRuns finalmente pueda eliminar las entradas.

Mi forma de eliminar el malware es efectiva y nunca lo he visto fallar:

1. Descargue Autoruns y, si aún ejecuta 32 bits, descargue un escáner de rootkit.
2. Inicie en Modo a prueba de fallos e inicie Autoruns si puede, luego vaya al paso 5.
3. Si no puede ingresar al modo seguro, conecte el disco a otra computadora.
4. Inicie Autoruns en esa computadora, vaya a Archivo -> Analizar sistema sin conexión y complételo.
5. Espere a que se realice el escaneo.
6. En el menú Opciones, seleccione todo.
7. Déjelo escanear nuevamente presionando F5. Esto irá rápido a medida que las cosas se almacenan en caché.
8. Revise la lista y desmarque todo lo que sea visible o que no tenga una compañía verificada.
9. Opcional: ejecute el escáner rootkit.
10. Deje que un escáner de virus superior elimine los archivos que quedaron.
11. Opcional: ejecute escáneres antimalware y antispyware para deshacerse de la basura.
12. Opcional: ejecute herramientas como HijackThis / OTL / ComboFix para deshacerse de la basura.
13. Reinicia y disfruta de tu sistema limpio.
14. Opcional: ejecute el escáner rootkit nuevamente.
15. ¡Asegúrese de que su computadora esté suficientemente protegida!

Algunas observaciones:

• Autoruns está escrito por Microsoft y, por lo tanto, muestra las ubicaciones de las cosas que se inician automáticamente ...
• Una vez que el software se desmarca de Autoruns, no se iniciará y no podrá evitar que lo elimine ...
• No existen rootkits para sistemas operativos de 64 bits porque tendrían que estar firmados ...

Es efectivo porque deshabilitará el inicio de malware / spyware / virus,
puede ejecutar herramientas opcionales para limpiar cualquier basura que haya quedado en su sistema.

Siga el orden dado a continuación para desinfectar su PC

1. En una PC que no esté infectada, haga un disco AV de arranque, luego arranque desde el disco en la PC infectada y escanee el disco duro, elimine cualquier infección que encuentre. Prefiero el CD / USB de arranque sin conexión de Windows Defender porque puede eliminar los virus del sector de arranque, consulte "Nota" a continuación.

   O bien, puede probar otros discos de arranque AV .

2. Después de haber escaneado y eliminado el malware utilizando el disco de arranque, instale MBAM gratuito , ejecute el programa y vaya a la pestaña Actualizar y actualícelo, luego vaya a la pestaña Escáner y realice un escaneo rápido, seleccione y elimine todo lo que encuentre.

3. Cuando MBAM haya terminado, instale la versión gratuita de SAS , ejecute un análisis rápido, elimine lo que selecciona automáticamente.

4. Si los archivos del sistema de Windows se infectaron, es posible que deba ejecutar SFC para reemplazar los archivos, es posible que deba hacerlo sin conexión si no se inicia debido a la eliminación de los archivos del sistema infectados. Le recomiendo que ejecute SFC después de eliminar cualquier infección.

5. En algunos casos, es posible que deba ejecutar una reparación de inicio (solo Windows Vista y Windows7) para que se inicie correctamente nuevamente. En casos extremos, pueden ser necesarias 3 reparaciones de arranque seguidas.

MBAM y SAS no son softwares AV como Norton, son escáneres bajo demanda que solo escanean las molestias cuando ejecuta el programa y no interferirán con su AV instalado, estos pueden ejecutarse una vez al día o semana para asegurarse de que no esté infectado. Asegúrese de actualizarlos antes de cada exploración diaria-semanal.

Nota: que el producto sin conexión de Windows Defender es muy bueno para eliminar infecciones persistentes de MBR que son comunes en estos días.

.

Para usuarios avanzados:

Si tiene una infección única que se representa a sí misma como software, es decir, "Solución del sistema", "AV Security 2012", etc., consulte esta página para obtener guías de eliminación específicas

.

Si nota alguno de los síntomas, una cosa que debe verificar es la configuración de DNS en su conexión de red.

Si se han cambiado de "Obtener la dirección del servidor DNS automáticamente" o de un servidor diferente del que debería ser, entonces es una buena señal de que tiene una infección. Esta será la causa de los redireccionamientos fuera de los sitios antimalware, o de una falla completa para llegar al sitio.

Probablemente sea una buena idea tomar nota de su configuración de DNS antes de que ocurra una infección para saber cuáles deberían ser. Además, los detalles estarán disponibles en las páginas de ayuda del sitio web de su ISP.

Si no tiene una nota de los servidores DNS y no puede encontrar la información en su sitio ISP, entonces usar los servidores DNS de Google es una buena alternativa. Se pueden encontrar en 8.8.8.8 y 8.8.4.4 para los servidores primario y secundario respectivamente.

Si bien restablecer el DNS no solucionará el problema, le permitirá a) llegar a los sitios antimalware para obtener el software que necesita para limpiar la PC yb) detectar si la infección se repite ya que la configuración del DNS volverá a cambiar.

Ransomware

Una forma de malware más nueva y particularmente horrible es el ransomware . Este tipo de programa, generalmente entregado con un troyano (por ejemplo, un archivo adjunto de correo electrónico) o un exploit de explorador, revisa los archivos de su computadora, los encripta (haciéndolos completamente irreconocibles e inutilizables) y exige un rescate para devolverlos a un estado utilizable. estado.

El ransomware generalmente usa criptografía de clave asimétrica , que involucra dos claves: la clave pública y la clave privada . Cuando el ransomware lo golpea, el programa malicioso que se ejecuta en su computadora se conecta al servidor de los malos (comando y control, o C&C), que genera ambas claves. Solo envía la clave pública al malware en su computadora, ya que eso es todo lo que necesita para cifrar los archivos. Desafortunadamente, los archivos solo se pueden descifrar con la clave privada, que nunca llega a la memoria de su computadora si el ransomware está bien escrito. Los malos suelen decir que le darán la clave privada (lo que le permitirá descifrar sus archivos) si paga, pero, por supuesto, debe confiar en ellos para hacerlo.

Lo que puedes hacer

La mejor opción es reinstalar el sistema operativo (para eliminar todo rastro de malware) y restaurar sus archivos personales de las copias de seguridad que realizó anteriormente. Si no tiene copias de seguridad ahora, será más difícil. Acostúmbrese a hacer una copia de seguridad de los archivos importantes.

Pagar probablemente le permitirá recuperar sus archivos, pero no lo haga . Hacerlo apoya su modelo de negocio. Además, digo "probablemente te permita recuperarte" porque conozco al menos dos cepas que están tan mal escritas que destrozan irreparablemente tus archivos; incluso el programa de descifrado correspondiente no funciona realmente.

Alternativas

Afortunadamente, hay una tercera opción. Muchos desarrolladores de ransomware han cometido errores que permiten que los buenos profesionales de seguridad desarrollen procesos que reparen el daño. El proceso para hacerlo depende completamente de la tensión del ransomware, y esa lista cambia constantemente. Algunas personas maravillosas han reunido una gran lista de variantes de ransomware , incluidas las extensiones aplicadas a los archivos bloqueados y el nombre de la nota de rescate, que pueden ayudarlo a identificar qué versión tiene. ¡Para algunas cepas, esa lista también tiene un enlace a un descifrador gratuito! Siga las instrucciones apropiadas (los enlaces están en la columna Decryptor) para recuperar sus archivos. Antes de comenzar , use las otras respuestas a esta pregunta para asegurarse de que el programa ransomware se elimine de su computadora.

Si no puede identificar con qué lo golpeó solo con las extensiones y el nombre de la nota de rescate, intente buscar en Internet algunas frases distintivas de la nota de rescate. Los errores de ortografía o gramática suelen ser bastante únicos, y es probable que encuentre un hilo del foro que identifica el ransomware.

Si aún no conoce su versión, o no tiene una forma gratuita de descifrar los archivos, ¡no pierda la esperanza! Los investigadores de seguridad están trabajando para deshacer el ransomware y la policía está persiguiendo a los desarrolladores. Es posible que finalmente aparezca un descifrador. Si el rescate tiene un límite de tiempo, es posible que sus archivos sean recuperables cuando se desarrolle la solución. Incluso si no, por favor no pague a menos que sea absolutamente necesario. Mientras espera, asegúrese de que su computadora esté libre de malware, nuevamente utilizando las otras respuestas a esta pregunta. Considere hacer una copia de seguridad de las versiones encriptadas de sus archivos para mantenerlos seguros hasta que salga la solución.

Una vez que se recupere tanto como sea posible (¡y haga copias de seguridad en medios externos!), Considere instalar el sistema operativo desde cero. Una vez más, eso eliminará cualquier malware que se haya alojado en el interior del sistema.

Consejos adicionales específicos de variantes

Algunos consejos específicos de variantes de ransomware que aún no están en la gran hoja de cálculo:

• Si la herramienta de descifrado para LeChiffre no funciona, puede recuperar todos los datos, excepto el primero y el último 8 KB de cada archivo, utilizando un editor hexadecimal. Salte a la dirección 0x2000 y copie todos menos los últimos 0x2000 bytes. Los archivos pequeños se destruirán por completo, pero con algunos ajustes, es posible que pueda obtener algo útil de los más grandes.
• Si ha sido golpeado con WannaCrypt y está ejecutando Windows XP, no ha reiniciado desde la infección y tiene suerte, es posible que pueda extraer la clave privada con Wannakey .
• Bitdefender tiene una serie de herramientas gratuitas para ayudar a identificar la variante y descifrar algunas variantes específicas.
• (se agregarán otros a medida que se descubran)

Conclusión

El ransomware es desagradable, y la triste realidad es que no siempre es posible recuperarse de él. Para mantenerse a salvo en el futuro:

• Mantenga actualizado su sistema operativo, navegador web y antivirus
• No abra archivos adjuntos de correo electrónico que no esperaba, especialmente si no conoce al remitente
• Evite los sitios web incompletos (es decir, aquellos con contenido ilegal o éticamente dudoso)
• Asegúrese de que su cuenta solo tenga acceso a los documentos con los que necesita trabajar personalmente
• ¡Siempre tenga copias de seguridad en medios externos (no conectados a su computadora)!

Existe una gran variedad de malware. Algo de esto es trivial para encontrar y eliminar. Algo de eso es más complicado. Parte de esto es realmente difícil de encontrar y muy difícil de eliminar.

Pero incluso si tiene un malware leve, debería considerar reformatear y reinstalar el sistema operativo. Esto se debe a que su seguridad ya ha fallado, y si falló por un malware simple, tal vez ya esté infectado con un malware vicioso.

Las personas que trabajan con datos confidenciales o dentro de redes donde se almacenan datos confidenciales deberían considerar eliminar y volver a instalar. Las personas cuyo tiempo es valioso deberían considerar limpiar y reinstalar (es el método más rápido, fácil y seguro). Las personas que no se sienten cómodas con las herramientas avanzadas deberían considerar eliminar y volver a instalar.

Pero las personas que tienen el tiempo y disfrutan de jugar, pueden probar los métodos enumerados en otras publicaciones.

Las posibles soluciones para una infección de virus están en orden: (1) análisis antivirus, (2) reparación del sistema, (3) reinstalación total.

Primero asegúrese de que todos sus datos estén respaldados.

Cargue e instale algunos antivirus, asegúrese de que estén actualizados y escanee profundamente su disco duro. Recomiendo usar al menos Malwarebytes 'Anti-Malware . También me gusta Avast.

Si eso no funciona por alguna razón, puede usar un escáner de virus de CD en vivo de rescate: me gusta el mejor sistema de rescate Avira AntiVir porque se actualiza varias veces al día y el CD de descarga está actualizado. Como CD de arranque, es autónomo y no funciona con su sistema Windows.

Si no se encuentra ningún virus, use "sfc / scannow" para reparar archivos importantes de Windows.
Ver este artículo .

Si eso tampoco funciona, debe realizar una instalación de reparación .

Si nada funciona, debe formatear el disco duro y reinstalar Windows.

Otra herramienta que me gustaría agregar a la discusión es Microsoft Safety Scanner . Fue lanzado hace unos meses. Es un poco como la Herramienta de eliminación de software malintencionado , pero está diseñada para su uso sin conexión. Tendrá las últimas definiciones a partir del momento en que lo descargue y solo podrá usarse durante 10 días, ya que considerará que su archivo de definiciones es "demasiado viejo para usar". Descárguelo con otra computadora y ejecútelo en modo seguro. Funciona bastante bien

Primero un poco de teoría: tenga en cuenta que no hay sustituto para la comprensión .

El mejor antivirus es comprender lo que está haciendo y, en general, lo que está sucediendo con su sistema, con su propia mente y en la llamada realidad.

Ninguna cantidad de software o hardware lo protegerá completamente de usted mismo y de sus propias acciones, que en la mayoría de los casos es cómo el malware ingresa a un sistema en primer lugar.

La mayoría de los programas maliciosos, adware y spyware de "nivel de producción" modernos se basan en varios trucos de "ingeniería social" para engañarlo a instalar aplicaciones "útiles", complementos, barras de herramientas del navegador, 'escáneres de virus' o hacer clic en grandes Downloadbotones verdes que instalarán malware en tu maquina

Incluso un instalador para una aplicación supuestamente confiable, como por ejemplo uTorrent, instalaría de forma predeterminada adware y posiblemente spyware si simplemente hace clic en el Nextbotón y no se toma el tiempo de leer lo que significan todas las casillas de verificación.

La mejor manera de combatir los trucos de ingeniería social que utilizan los hackers es la ingeniería social inversa : si dominas esta técnica, podrás evitar la mayoría de los tipos de amenazas y mantener tu sistema limpio y saludable incluso sin un antivirus o firewall.

Si ha notado signos de formas de vida maliciosas / no solicitadas que habitan en su sistema, la única solución limpia sería reformatear y reinstalar completamente su sistema. Realice una copia de seguridad como se describe en otras respuestas aquí, formatee rápidamente los discos y vuelva a instalar su sistema, o, mejor aún, mueva los datos útiles a algún almacenamiento externo y vuelva a crear imágenes de la partición del sistema desde un volcado de partición limpio que haya realizado anteriormente.

Algunas computadoras tienen una opción de BIOS para revertir el sistema a la configuración original de fábrica. Incluso si esto parece un poco exagerado, nunca dolerá y, lo que es más importante, resolverá todos los demás problemas eventuales, ya sea que los conozca o no, sin tener que manejar cada problema uno por uno.

La mejor manera de 'arreglar' un sistema comprometido es no arreglarlo en absoluto, sino volver a una instantánea 'buena' conocida usando algún tipo de software de imágenes de partición, como Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, o, por ejemplo, ddsi realizó la copia de seguridad desde Linux.

Con referencia a William Hilsum "¿Cómo me deshago de esto: Uso de un CD en vivo" arriba:

Un virus no podrá ejecutarse en un entorno de CD en vivo, por lo que puede hacer un uso temporal de su computadora sin temor a una mayor infección. Lo mejor de todo es que puede acceder a todos sus archivos. El 20 de junio de 2011, Justin Pot escribió un folleto titulado "50 Usos geniales para CD en vivo". El comienzo del folleto explica cómo arrancar desde un CD, una unidad flash o una tarjeta SD, y las páginas 19-20 explican cómo escanear con diferentes "antimalwares", algunos que ya se mencionaron. El consejo dado es invaluable para este escenario, y se explica en inglés fácil de entender. Por supuesto, el resto del folleto es invaluable para sus otras necesidades informáticas. (el enlace a la descarga (en formato PDF) se proporciona desde el siguiente enlace. Siempre recuerde ser prudente al usar Internet, no tenga la tentación de desviarse a "lugares") donde es muy probable que el malware esté al acecho, y usted debería estar bien. Cualquier antivirus, conjunto de aplicaciones de seguridad de Internet, etc. que pueda usar debe tener las últimas actualizaciones, y cualquier sistema operativo que esté usando también debe mantenerse actualizado.

http://www.makeuseof.com/tag/download-50-cool-live-cds/

Una vez que haya hecho clic o haya copiado y pegado el enlace anterior, haga clic en

DESCARGAR 50 Usos geniales para CD en vivo (escritos en azul)

Tenga en cuenta que intenté escribir esto en la sección de comentarios, pero no pude incluirlo. Así que lo he dado en una respuesta oficial, ya que es invaluable.

Dos puntos importantes:

1. No se infecte en primer lugar. Utilice un buen firewall y antivirus, y practique la "informática segura": manténgase alejado de sitios cuestionables y evite descargar cosas cuando no sabe de dónde provienen.
2. Tenga en cuenta que muchos sitios en la web le dirán que está "infectado" cuando no lo esté: quieren engañarlo para que compre su anti-spyware basura o, peor aún, quieren que descargue cosas que son, de hecho, el spyware disfrazado de "aplicación antispyware gratuita". Del mismo modo, tenga en cuenta que muchos en este sitio, principalmente por estupidez, diagnosticarán cualquier error "extraño", particularmente el tipo de corrupción del registro por el que Windows es famoso, como signos de spyware.

Como se sugirió anteriormente en este tema, si ESTÁ SEGURO de que está infectado, use un CD en vivo de Linux para arrancar su computadora e inmediatamente haga una copia de seguridad de todos sus datos confidenciales.

También es una buena práctica tener sus archivos confidenciales almacenados en un disco duro diferente de la unidad de arranque del sistema operativo. De esta manera, puede formatear de forma segura el sistema infectado y ejecutar un análisis exhaustivo de sus datos confidenciales solo para estar seguro.

De hecho, no hay mejor solución que formatear la partición del sistema para asegurarse de ejecutar un entorno libre de virus y malware. Incluso si ejecuta una buena herramienta (y sin duda hay muchas por ahí), siempre quedan restos y su sistema puede parecer limpio en este momento, pero seguramente se convierte en una bomba de tiempo esperando explotar más tarde.

El 8 de diciembre de 2012. Remove-Malware lanzó un video tutorial titulado "Eliminar Malware Free 2013 Edition" junto con una guía complementaria que describe cómo deshacerse del malware de su PC infectada de forma gratuita.

Ellos resumen

• Copia de seguridad: cómo hacer una copia de seguridad de sus documentos personales importantes en caso de que su PC se vuelva inaccesible.
• Recopilación del software necesario para esta guía.
• Antivirus de arranque: por qué el antivirus de arranque es la mejor manera de eliminar el malware.
• Disco de arranque de antivirus: cómo crear un disco de arranque de antivirus.
• Disco de arranque de antivirus: cómo escanear su PC con un disco de arranque de antivirus.
• Limpieza: redondee los restos y retírelos.
• Evita que vuelva a suceder

El video tutorial tiene una duración de más de 1 hora y, junto con la guía escrita, es un excelente recurso.

El video tutorial: enlace

Guía escrita: enlace

Actualizar:

Un artículo muy informativo escrito hoy el 1 de febrero de 2013 por J. Brodkin titulado "Virus, troyanos y gusanos, oh my: Los fundamentos del malware El malware móvil puede estar de moda, pero el malware de PC sigue siendo el gran problema". de arstechnica.com destaca el problema continuo del malware y los diferentes tipos de malware con explicaciones de cada uno, destacando:

• Puertas traseras
• Troyanos de acceso remoto
• Ladrones de información
• Ransomware

El artículo también destaca la propagación de malware, operación de botnets y negocios bajo ataque.

RESPUESTA CORTA:

1. Copia de seguridad de todos sus archivos.
2. Formatee la partición de su sistema.
3. Vuelva a instalar Windows.
4. Instalar antivirus.
5. Actualiza tus ventanas.
6. Escanee su copia de seguridad con antivirus antes de comenzar a usarla.

Hoy en día, nunca puede estar seguro de haber eliminado por completo una infestación, excepto si limpia su unidad y comienza de nuevo.

No creo que los programas AV como MSE, MCAfee, Norton, Kaspersky, etc. puedan protegerlo al 100% porque sus archivos de definición siempre vienen después del hecho, después de que el malware ya está en la web y puede haber hecho mucho de daños Y muchos de ellos no lo protegen contra PUPs y Adware.

Tampoco creo que los escáneres como Malwarbytes, Superantispyware, el escáner Bitdefender y otros puedan ayudar mucho cuando el malware ya ha dañado su sistema. Si tiene suficientes escáneres, podrá eliminar el malware pero no podrá reparar el daño que ha causado este malware.

Por lo tanto, he desarrollado una estrategia de dos capas:

1. Hago imágenes semanales (uso Macrium gratis ) de mi partición del sistema y mi partición de datos a dos discos externos que solo están conectados durante la imagen. Por lo tanto, ningún malware puede llegar a ellos. Si algo no funciona en mi sistema, siempre puedo restaurar la última imagen. Por lo general, guardo media docena de imágenes completas en caso de que tenga que retroceder más que la semana pasada. Además, tengo la restauración del sistema habilitada en mi sistema operativo para que pueda volver a configurar rápidamente en caso de una actualización defectuosa. Pero las imágenes del sistema (sombras) no son muy confiables porque pueden desaparecer por varias razones. Confiar solo en las imágenes del sistema no es suficiente.

2. La mayor parte de mi trabajo en Internet lo hago desde una partición virtual de Linux. Linux en sí no es el objetivo del malware y el malware de Windows no puede afectar a Linux. Con ese sistema lo hago

todas mis descargas y verificarlas con Virus Total antes de moverlas al sistema de Windows. Virus Total ejecuta el archivo a través de 60 de los programas AV más conocidos y, si sale limpio, hay muchas posibilidades de que esté limpio.

todo el acceso a Internet a sitios web donde no estoy 100% seguro de que estén limpios, como, por ejemplo, este sitio web aquí.

Todo mi correo. Esa es la ventaja de Gmail y AOL. Puedo consultar mi correo con mi navegador. Aquí puedo abrir cualquier correo sin tener miedo de contraer un virus. Y los archivos adjuntos que ejecuto a través de Virus Total.

Toda mi banca en línea. Linux me proporciona una capa adicional de seguridad

Con este enfoque, no he visto ningún malware en años. Si desea probar una partición virtual de Linux, aquí le mostramos cómo .

¿Cuáles son los síntomas de una infección?

no puede ser nada que el usuario pueda entender en términos de rendimiento o de otra manera, en estos casos sin una precisión del 100% podría ver algo en el administrador de tareas en ejecución y no tiene idea de qué es o cómo llegó allí. . pero hay casos en que el rendimiento de las computadoras es deficiente, los programas se ejecutan más lentamente, o no funcionan, o lo que sea ... los síntomas realmente varían y hay casos en que una infección podría ser obvia casi sin pensarlo dos veces, hay casos en que Es muy difícil de entender incluso que algo sale mal. todo depende de lo que está infectado (virus, troyano, asígnele el nombre que desee) y principalmente del disgusto que lo causó.

¿Qué debo hacer después de notar una infección? ¿Qué puedo hacer para deshacerme de él? 1. Escanee su computadora con un antivirus. (KAspersky internet Security, McAfee, Avast, etc., etc.). Tenga en cuenta que incluso mediante el uso del MEJOR antivirus puede encontrar de qué está infectado, pero la desinfección NO es100% garantizado 2. mantenga una copia de seguridad de sus archivos (asegúrese de que no estén infectados también) y asegúrese de deshacerse de todos los archivos infectados en su computadora, incluso si esto significa eliminarlos. si los usa, se infectará nuevamente, así que considérelos perdidos de todos modos. Es posible que desee intentar usar otro programa antivirus y eso está bien, pero no tenga grandes esperanzas. 3. La mejor / más rápida / más efectiva forma de deshacerse de una infección es formatear la unidad de disco y realizar una instalación limpia de su sistema operativo. 4. Si está a punto de utilizar CUALQUIER copia de seguridad, asegúrese de volver a analizarla con un programa antivirus antes de aplicar. también podría estar infectado antes de que pudieras entender que algo andaba mal.

¿Cómo prevenir la infección por malware?

1. Al usar un antivirus, hoy en día la mayoría de los programas antivirus son una solución para casi todos los tipos de malware / virus, etc., tenga en cuenta que prevenir es mejor que tratar de resolver el problema más adelante. En la mayoría hacen una gran ayuda. Las aplicaciones también como SpyHunter, bytes de malware, Spybot, etc. también son excelentes para una protección adicional. Usar un firewall también ayuda. Tenga en cuenta que incluso si su computadora está desconectada y no tiene conexión a Internet, aún se necesita un antivirus. ¿Razón? puede usar CD, memorias USB, DVD u otros archivos que provienen de amigos / clientes, etc. que puedan estar infectados. la protección que ofrece un antivirus, incluso en este caso, es invaluable
2. Descarga / instalación / uso de software de fuentes confiables.
3. Ingresando a sitios confiables de internet.
4. ¡Asegúrese de que su sistema operativo esté SIEMPRE ACTUALIZADO! Las actualizaciones no son solo para el mejor rendimiento, sino también para la seguridad.

El problema con el escaneo de malware externamente o con un CD en vivo es que muchas de estas desagradables piezas de software se conectan a procesos de memoria, controladores y mucho más. Si el sistema operativo de la PC no está cargado, tampoco lo están, lo que hace que el proceso de eliminación sea frustrante. SIEMPRE busque malware mientras se inicia el sistema operativo infectado.

Dicho esto, cargue Windows con una copia de RKILL en una unidad USB. La ejecución de esta utilidad mata cualquier proceso de malware que se elimine en segundo plano, lo que le permite avanzar con la eliminación. Es MUY efectivo. Todavía no me he encontrado con una situación en la que el programa haya fallado en su trabajo y me sorprende la cantidad de técnicos que nunca han oído hablar de él.

A continuación, elijo escanear con bytes de Malware o ComboFix. La ventaja de estos escáneres es que, en lugar de utilizar definiciones de virus, localizan el malware implacablemente en función del comportamiento, una técnica muy efectiva. Sin embargo, una advertencia: también son mucho más peligrosos y REALMENTE pueden destruir una tienda seria en su sistema operativo. Asegúrate de tener una copia de seguridad.

El 90 por ciento de las veces el proceso anterior funciona para mí y elimino TONELADAS de estas cosas a diario. Si su paranoia adicional, ejecutar un análisis con algo como AVG, SuperAntiSpyware o Microsoft Security Essentials puede no ser una mala idea. Aunque no he visto que estos programas detecten mucho más que la inofensiva cookie de seguimiento, algunas personas juran por ellos. Date la tranquilidad y hazlo si es necesario.