¿Cómo puedo reparar una computadora que está infestada de malware y es extremadamente insensible? [duplicar]

Posible duplicado:
¿Cómo me deshago de spyware malicioso, malware, virus o rootkits de mi PC?

Estoy solucionando problemas de una PC con Windows 7 para un amigo. Hace un par de días comenzó a funcionar 'lento'. Resulta que 'lento' son unos 15 minutos para la primera visión del escritorio, y otros 30 para mostrar iconos. Que es posible abrir el Administrador de tareas, y nada parece mal, uso de CPU al 1-5%, un montón de memoria libre.

Sin embargo, la máquina está claramente infestada de malware, en particular un programa llamado 'Optimizer Pro' exige dinero para 'eliminar 5102 archivos que ralentizan mi computadora'. Esto parece muy sospechoso.

Sin embargo, mi problema es que no puedo acceder msconfig(lo dejé durante un par de horas después de haberlo ingresado con suerte en el menú Inicio y presioné enter, parece que nada se ha cargado), o algo en absoluto. Puedo arrancar desde un Live CD de Linux, pero ¿puedo hacer algo útil desde allí?

Restaurar sistema tampoco lo ha solucionado, y el Modo seguro muestra el mismo comportamiento.

Recomiendo reinstalar Windows

Si intenta recuperar la instalación existente, terminará pasando horas o, probablemente, días trabajando en ella y no tendrá nada que mostrar por sus esfuerzos. E incluso si pudiera ejecutar con éxito todas las herramientas de eliminación de malware, no confiaría en que todo el malware realmente se haya eliminado porque, por definición, los autores de malware siempre están un paso por delante de los autores de eliminación de malware. Una vez que una máquina se infecta de esta manera, es probable que se cargue con todo tipo de cosas malas.

Entonces...

1. Formatear disco duro
2. Instalar Windows

Y, como sugirió uno de los comentaristas, debe suponer que todos los archivos y datos de la instalación anterior están infectados y no se debe confiar en ellos.

Varios proveedores de antivirus tienen CDROM de rescate / escaneo de arranque disponibles. Dos gratuitos son:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 está diseñado para escanear y desinfectar computadoras compatibles con x86 y x64 que han sido infectadas.

La aplicación debe usarse cuando la infección es tan grave que es imposible desinfectar la computadora usando aplicaciones antivirus o utilidades de eliminación de malware (como Kaspersky Virus Removal Tool) que se ejecutan bajo el sistema operativo.

CD de rescate de AVG

AVG Rescue CD Haga que su negocio vuelva a funcionar rápidamente en caso de fallas del sistema.

Elimina infecciones, repara archivos y recupera sistemas.

Voy a entrar aquí y preguntar más sobre esto primero, y luego publicar mis suposiciones sobre la computadora. ¿Dijiste que solo usa del 1 al 5% de la CPU, pero aún se mueve lentamente? Si bien no digo que no esté plagado de virus ni nada porque pueda serlo, sí quiero señalar que esto me está gritando hardware defectuoso. La próxima vez que abra el Administrador de tareas, vaya a ver el monitor de recursos. Aquí hay una guía simple para usar el monitor de recursos.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Abra el administrador de tareas y vaya a la pestaña Rendimiento. En la parte inferior hay un botón para el monitor de recursos. Una vez que esté abierto, revise la pestaña Disco en la parte superior y mire y vea cuánto tardan las solicitudes. Mirando mi computadora y la imagen de la computadora que se encuentra en ese sitio, voy a adivinar que para una unidad que no sea SSD, los tiempos de respuesta inferiores a 100 milisegundos parecen ser lo que estás buscando. Si la computadora tiene tiempos de respuesta de más de 1 segundo para todo, su computadora será lenta sin importar CÓMO la inicie. Comente aquí y díganos si el tiempo de respuesta del disco es lento. Si es así, puede intentar ejecutar un disco Check en la unidad y esperar para siempre que termine y ver si eso soluciona el problema.

Recuerde que este puede no ser el problema, pero si lo es, reinstalar Windows o ejecutar un análisis de virus no solucionará el problema.

Para agregar mis ideas a la mezcla ...

Intente sacar el disco duro ofensivo y enchufarlo a un carrito externo, luego conéctelo a una PC que funcione. Luego puede verificar el disco, ejecutar comprobaciones de antivirus / malware, desfragmentar, etc.

Además, recupere lo que pueda de los archivos que necesita (teniendo cuidado de no copiar nada que pueda infectar a otra PC. Obviamente, asegúrese de que la PC host tenga una buena protección antes de hacerlo.

Si después de volver a colocar el disco duro y todavía funciona mal, entonces consideraría reinstalar Windows. El tiempo necesario para tratar de resolver cualquier otro problema no valdrá la pena.

Si puede arrancar en modo seguro, lo haría.

• Malwarebytes antimalware es un excelente programa gratuito como se mencionó anteriormente y acaban de lanzar un programa Antirootkit también aunque en versión beta

• También soy fanático de DR Web Cureit Free Antivirus (escáner bajo demanda)

• Hiren's Boot CD es probablemente uno de los CD de malware de arranque más completos disponibles

• Podría ser el caso de que su computadora esté severamente fragmentada y necesite desfragmentación, en cuyo caso recomiendo Ultradefrag Free Edition

• Ccleaner para limpiar toda la basura en su sistema

Todo lo anterior tampoco le costará ni un centavo.

Hay un excelente artículo escrito recientemente el 6 de noviembre de 2012 por Whinston Gordon para Lifehacker que creo que sería beneficioso para todos, titulado "Las suposiciones que haces sobre tu PC lenta (y por qué están probablemente mal)" . ¡Espero que sea una lectura interesante!

Descargue e inicie cualquier distribución en vivo de Linux para verificar si la máquina tiene alguna discapacidad (RAM defectuosa, disco duro defectuoso, ...) o si es una instalación de Windows demasiado antigua (tal vez un ataque de virus). En caso de ataque de virus, puede descargar http://free.drweb.com/ CD de arranque en vivo con escáner de virus para asegurarse de que su PC esté limpia. El escáner drweb gratuito nos actualiza varias veces al día para que pueda detectar y curar incluso el código malicioso más reciente.

La mejor herramienta que he usado es Malwarebytes . Lo usé cuando trabajé en TI hace unos años. Además, Kaspersky es bueno como lo es AVG (como se sugirió anteriormente), o una combinación de todos.

Otra gran opción, que incluye la imagen en vivo de Malwarebytes, es Hiren's BootCD ( enlace directo para descargar).

Al final del día, sigo pensando que la respuesta de @hair of the dog es probablemente la "mejor" solución.

Por otro lado, dejar un problema tal como es, probablemente no sea la forma de hacer las cosas.

Esta es realmente una versión condensada de algunas de las respuestas anteriores, con algunas observaciones más.

En mi experiencia, los discos duros son una gran razón para que las computadoras se desaceleren. Son dispositivos extravagantes con muchos modos de falla y error. Hay otras razones que vale la pena ver también

Arrancar en un CD genérico de Linux Live es bastante útil en este caso. Hay dos cosas que debes hacer cuando buscas posibles problemas de manejo. En primer lugar, desea preguntarle a la unidad si está bien smartmontools(o su interfaz gráfica gsmartcontrol) es bastante buena aquí. En general, desea resultados "saludables". Mientras lo hace, es posible que también desee ejecutar hdparm -Tt /dev/sdXxalgunas veces para obtener un resultado de referencia de la velocidad del disco. Ejecute el mismo comando en un disco lo suficientemente saludable y similar para ver si es realmente más lento.

También sugeriría hacer la recuperación de nivel de archivo en este punto. Una unidad que fue montada de forma no limpia no se montará automáticamente en Linux; deberá hacer una mount -f /dev/SDXx /mount/pointpara forzarla a montar. Si el disco está obviamente dañado de acuerdo con smartmontools, use una variante DD centrada en la recuperación para hacer una copia de seguridad: Gnu ddrescue es una buena apuesta. Esto creará una imagen omitiendo sectores defectuosos.

Asumiendo que el disco está bien, se vuelve complicado. Probablemente podría ejecutar un análisis AV sin conexión para intentar limpiarlo y luego introducirlo en otro sistema para realizar un mantenimiento.

También puede montar la sección de registro de otro sistema de Windows para editar las entradas de inicio manualmente (buen momento para hacer una verificación de virus desde un sistema de Windows y una desfragmentación) o usar el editor de registro desde el disco del cambiador de contraseña fuera de línea , suponiendo que sepa lo que hace ' que estas buscando.

Si estamos realizando actividades relacionadas con la recuperación / reparación utilizando herramientas de Windows, es posible que desee considerar construir un disco PE (bartpe si no le importa un disco en vivo basado en XP), o usar una instalación separada y 'desechable' para estas tareas para reducir el riesgo de contaminación cruzada de malware.

En este punto, DEBERÍA haber averiguado si el disco es lento, si es malware y si cree que vale la pena repararlo. También debería haber obtenido sus datos. Si su malware y los escaneos y regedits fuera de línea fallaron, puede ejecutar shred desde el livecd para borrar el disco. Si se trata de una falla de hardware, puede restaurar desde esa copia de seguridad dd. Si no es ninguno de los anteriores, las cosas se ponen interesantes

Hiren es tu amigo.

http://www.hirensbootcd.org/download/

Descárguelo, grábelo, inícielo desde la computadora lenta.

Hay una serie de herramientas allí, para verificar errores, incluidos el disco duro, la CPU, la memoria, etc.

Ejecuta un par de esos para ver qué encuentras.

También tiene algunos programas de seguridad para permitirle hacer un análisis AV / Malware.

Muy recomendable.

¿Has revisado tus discos duros? Tal vez tiene algunos sectores defectuosos, lo que provoca un gran retraso cada vez que se accede a ciertos archivos. Intente ejecutar chkdsk /ren modo seguro (o use otra herramienta de reparación de disco).

Se recomienda reinstalar. Sin embargo, si hay datos en el dispositivo que no puede permitirse perder, entonces puede probar Microsoft Defender Offline .

Básicamente le permite omitir el sistema operativo y luego puede escanear el disco duro. Asegúrese de descargar una copia nueva para tener definiciones antivirus recientes.

Si la PC sigue siendo lenta después de eso, puede intentar arrancar con un CD / USB de Linux para copiar sus datos y luego reinstalar Windows. Pero asegúrese de escanear el disco duro de respaldo en otra máquina (protegida) antes de volver a copiarla en la máquina anterior.

¡Al menos este malware ralentiza la PC de una manera ecológica y no maximiza la CPU!

La respuesta corta a la pregunta original es reinstalar como se mencionó anteriormente. Sin embargo, en estos días, los autores de malware saben que la mayoría de las personas simplemente reinstalan en lugar de intentar la eliminación, por lo que la mayoría solo toman contramedidas contra herramientas automatizadas y no una persona conocedora en la terminal. Entonces, si una reinstalación no es deseable y no le importa perder un par de horas (o más), generalmente no es demasiado difícil eliminar la mayoría del malware.

Sin embargo, debe estar familiarizado con el símbolo del sistema y poder distinguir el malware del software legítimo. No hay sustituto para la experiencia aquí, pero he encontrado que el siguiente enfoque es efectivo.

Primero prepara el medio ambiente:

1. Desde otra PC limpia, descargue una copia de la suite Sysinternals y cópiela en una memoria USB (o directamente en el disco duro de la PC si es posible).
2. Cambie el nombre de dos de las utilidades, procexp.exe y autoruns.exe a nombres de archivos aleatorios (¡pero tome nota para que pueda reconocerlos!)
3. Desconecte las conexiones de red.
4. Arranque la computadora en modo seguro, vaya al escritorio. El modo seguro no es esencial, pero ayuda, ya que habrá menos procesos en ejecución para avanzar y el malware debería destacarse más fácilmente. Usar un perfil de usuario limpio también puede ayudar por la misma razón, pero esto puede ocultarle la infección, ya que probablemente haya entradas en el registro del usuario.
5. Abra un símbolo del sistema como administrador y ejecútelo taskkill /F /IM explorer.exepara matar al explorador. Esto detiene una buena cantidad de malware en sus pistas, facilitando la eliminación. Si no puede ejecutar el símbolo del sistema, una copia renombrada de otra PC puede ser efectiva (a veces puede salirse con la suya simplemente haciendo una copia en la misma máquina).
6. Desde el símbolo del sistema, inicie procexp y ejecuciones automáticas a través de los ejecutables renombrados. Tenga en cuenta que es posible que el malware detecte los hash u otras características y evite que inicie estas herramientas, pero el hashing al menos no sería un enfoque confiable, ya que se actualizan con bastante frecuencia. Por lo general, cualquier contramedida contra estas herramientas busca el nombre del archivo.

Desde aquí puede usar ejecuciones automáticas y procexp para eliminar el malware, pero es tanto arte como ciencia. Procexp le muestra lo que se está ejecutando actualmente y las ejecuciones automáticas le muestran cómo se inició. Los patrones a buscar son:

• Nombres de archivo que parecen generados aleatoriamente
• Software que se ejecuta desde directorios temporales
• Software que se ejecuta en el perfil del usuario. Con Vista y versiones posteriores, ejecutar software desde el perfil se ha vuelto más común para evitar avisos de elevación, pero la mayoría del software legítimo aún se instalará en Archivos de programa. Dado que este claramente tiene acceso de root, lo buscará en los directorios del sistema, pero podría haber un observador allí y, por lo general, la infección se origina en algún lugar del perfil del usuario (Descargas, archivos temporales de Internet).
• Archivos modificados recientemente en C: \ Windows y System32
• Nombres cercanos a archivos binarios legítimos de Windows como cmd.exe, services.exe (o los mismos nombres de archivo pero en la ubicación incorrecta). He visto cnd.exe, service.exe. explore.exe en mi tiempo.
• Entradas Rundll32.exe. Muchos son legítimos pero inspeccionan los procesos para ver qué archivos DLL están cargados.

Consejos de eliminación:

• Puede ser útil simplemente recopilar información antes de intentar eliminar procesos y eliminar entradas; esto le brinda una visión más integral, y tomar varios pasos en una sucesión rápida será más efectivo que hacer las cosas de forma aislada, ya que los procesos de vigilancia pueden hacerlo muy rápidamente. llevarlo de vuelta al paso 1.
• Para cualquier cosa obvia, use la función kill y delete de procexp. Si esto falla, a veces usar echo > "c:\path\to\malware.exe"el símbolo del sistema para poner en blanco su archivo seguido de kill y delete puede funcionar.
• Utilice las ejecuciones automáticas para encontrar dónde está enganchado. Utilizo esta herramienta porque parece estar completa, sin un rootkit o modificando los ejecutables del sistema. No hay muchas otras formas de lanzar malware, si es que hay alguna. Para ahorrar tiempo, use la opción "Ocultar entradas de Microsoft", que está deshabilitada de forma predeterminada.
• Si encuentra un enlace en las ejecuciones automáticas que carga una DLL con cada exe, sus procesos en ejecución (incluidas sus herramientas de detección) mantendrán vivo el malware. En este caso, debe dejar en blanco la DLL infractora con eco como se indicó anteriormente, eliminar y reiniciar todo su software (debería producir un error de DLL cada vez que ejecute un programa), luego reinicie. Pero asegúrese de haber eliminado cualquier otro gancho primero.
• Puede haber un proceso de observador que busca modificaciones en el malware y lo restaura. Si este es el caso, es posible que tenga que realizar varias acciones simultáneamente, y la única forma confiable de hacerlo es usar un script por lotes. Pero dependiendo del intervalo de verificación, puede ser suficiente realizar los pasos rápidamente en secuencia.
• Si no puede encontrar nada y resulta ser un rootkit, encontrarlo y eliminarlo se vuelve mucho más difícil: necesita herramientas que omitan las API de Windows de nivel superior. Esto probablemente esté un poco más allá del alcance de lo que se puede cubrir en una respuesta de Superusuario, pero usar RootkitRevealer seguido de un CD de arranque de Linux para eliminar los archivos reales puede ser efectivo (recuerde cambiar el nombre del exe).
• Si necesita reiniciar antes de confiar en la eliminación completa, cortar la energía en lugar de reiniciar de manera ordenada elimina una oportunidad más para la reinfección. Solo asegúrese de haber hecho una copia de seguridad de sus datos primero.

Dado que este malware en particular exige dinero para reparar su computadora y la ralentiza, es probable que el enfoque de carga de DLL. Probablemente no modifique los archivos del sistema ni instale un rootkit, ya que esto conlleva un mayor riesgo de romper el sistema por completo. Por lo tanto, debería poder eliminarlo utilizando el enfoque general anterior, pero si pierde solo un gancho, es probable que vuelva al cuadrado en el próximo arranque.

Si esto suena como un gran esfuerzo, lo es. La reinstalación suele ser más fácil y nunca puede volver a confiar plenamente en una computadora una vez que tiene malware. Pero personalmente, me parece divertido: eres tú contra el escritor de malware, ¡y tienes la clara ventaja de ser el humano en la consola!

Puede echar un vistazo a Windows Defender sin conexión , busca malware y le da la opción de corregirlo.

Para simplificar, tiene un problema con el hardware, un problema con el software o ambos.

Averigüe si su computadora tiene un arranque desde CD o un arranque desde USB habilitado, y los pasos para arrancar desde un medio externo si está deshabilitado de manera predeterminada. Una búsqueda rápida en Google a menudo acelera este proceso.

Use un CD en vivo como el Ultimate Boot CD para verificar la RAM y el disco duro en busca de errores. Pruebe la RAM con Memtest86 + y use el conjunto de pruebas del fabricante de su disco duro, como DLG para discos duros WD . Esto descartará la mayoría de los problemas con la memoria y el disco duro. También puede verificar las temperaturas del sistema si desea descartar problemas térmicos.

A continuación, ejecute un CD de Linux en vivo o inicie una distribución de Linux desde USB. Si esto no presenta problemas y se ejecuta mucho más rápido que el sistema instalado sin problemas de estabilidad, es tiempo de arranque y nuclear. Transfiera cualquier elemento "no puede perder" del disco duro a algún tipo de medio externo en este momento. Querrá escanear estos archivos en busca de malware antes de obtenerlos cerca de una PC limpia. Es preferible escanearlos en algún tipo de entorno en vivo.

Si aún no ha probado la partición de restauración, puede optar por realizar una "restauración destructiva" desde aquí, pero no tengo mucha fe en las particiones de restauración, ya que pueden ser infectadas por malware al igual que las particiones normales . Aquí es donde ser un usuario de Linux es bueno, porque no tiene que preocuparse por las claves de licencia e instalar medios.

Si está decidido a quedarse en Windows, estos son sus pasos:

Localice un disco de restauración del sistema o una versión legítima del sistema operativo que desea instalar. Verifique que sea una versión "completa" y no una versión de "actualización" que requiera una versión anterior del sistema operativo para poder instalarla. Asegúrese de tener la clave de licencia e introdúzcala correctamente. Esté preparado para llamar al fabricante si la restauración no funciona correctamente, o a Microsoft si la instalación del sistema operativo falla.

Tome el "Ultimate Boot CD" mencionado anteriormente y ejecute Darik's Boot and Nuke . Tomará un tiempo borrar el disco. Como planea reinstalar, puede usar uno de los modos de formato más rápidos. Un "borrado rápido" o "DoD corto" debería ser suficiente.

Instale el sistema operativo desde cero en el disco duro (ahora en blanco).

Si es necesario, transfiera los archivos antiguos que se analizaron varias veces en busca de virus a la nueva instalación del sistema operativo. Disfrute el proceso de instalación de actualizaciones de software y sistema.

Maldición por no tener una copia de seguridad más reciente o implementar una rutina de copia de seguridad de imagen del sistema. Promete ser mejor en eso, y espero que no haya una próxima vez. Probablemente habrá una próxima vez.

La solución adecuada es destruirlo y reinstalar Windows. Si eso simplemente no es una solución, la única otra solución adecuada es usar una configuración de Live CD / USB Linux para ejecutar paquetes de software antivirus desde fuera de la instalación de Windows.

¡He revisado las respuestas dadas y me sorprende ver que todavía no se ha mencionado el Trinity Rescue Kit !

Este paquete de software es mi solución Goto cuando intento eliminar malware / virus / rootkits de una computadora infectada. Tiene 3-4 soluciones de software diferentes que saldrán a la red y buscarán sus últimas definiciones antes de que comience su proceso de escaneo / limpieza.