Procedimiento General de Remoción del Virus
Los siguientes pasos presuponen que la linea telefonica de conexión a Internet ya ha sido desconectada con el fin de impedir que el virus pueda enviar datos a los intrusos que están operando en una computadora remota, y que habiéndose detenido la ejecucion del principal programa infector utilizado por el paquete de infeccion (sysguard.exe o similar), la computadora se encuentra apagada.
1) Arrancamos la máquina en “Modo seguro” (Safe Mode) con la tecla F8 oprimida antes de que empiece a cargarse el sistema operativo Windows. Si al principio la pantalla se llena con líneas de texto que nos parezcan extrañas, no hay razón para impacientarse por ello, ya que esto es normal; tal vez haya que esperar varios minutos con estas líneas de texto aparentemente congeladas en la pantalla dejando que la máquina termine de entrar dentro del “Modo seguro”. Si antes de entrar al “Modo seguro” la máquina nos pide la opción con la cual queremos entrar, ya sea la opción de “Administrador” o la opción de “Usuario” (la cual posiblemente muestre el nombre del propietario de la máquina en caso de que haya sido configurada de tal manera), seleccionamos la opción de “Administrador” para poder entrar al sistema con los privilegios propios del administrador de la misma y no con los privilegios limitados del usuario.
2) Habiendo reiniciado la computadora en Modo Seguro, se puede intentar llevar a cabo la Restauración del Sistema con el procedimiento señalado anteriormente, buscando un punto de retorno situado en una fecha anterior a la fecha en la cual ocurrió la infección. Si no se puede llevar esto a cabo ya sea porque no existe un punto de retorno previo o porque la infección informática no lo permite, de todos modos debemos continuar con los siguientes pasos involucrados en el proceso de remoción manual del virus.
3) Activamos la opción de Windows XP para mostrar los archivos ocultos en caso de que no esté aún activada. En caso de que se sospeche de que esta opción esté siendo desactivada repetidamente por archivos infectores, consúltense las entradas “Restauración de función ver archivos ocultos” y “Eliminación manual del virus "olhrwef.exe"” para otros procedimientos que pueden habilitar la localización de archivos bajo una ventana de comandos DOS cuando todo lo demás ha fallado.
4) Activamos la opción de Windows XP para mostrar los archivos con sus nombres completos (incluyendo las extensiones) en caso de que no esté aún activada.
5) Recurriendo a la “Utilidad de Configuración del Sistema” descrita en la segunda entrada de esta bitácora titulada “Remoción manual del virus Spyware Protect”, empezamos a remover una por una todas aquellas entradas que podamos comprobar mediante una consulta de las propiedades de los archivos que fueron puestas en la lista de programas habilitados dentro de la pestaña de “Inicio” el mismo día en el que ocurrió la infección. Deshabilitamos también todas aquellas entradas que nos parezcan sospechosas dejando habilitadas únicamente aquellas que sean necesarias para el funcionamiento del sistema. Si al deshabilitar una entrada se nos dice que el acceso para tal cosa nos está negando hay que insistir, y eventualmente la entrada será deshabilitada.
6) Buscamos en la ruta:
__C:\WINDOWS\system32\drivers\etc\hosts
el archivo hosts, el cual es un archivo propio del sistema operativo Windows y no debe ser borrado, y utilizando el “Bloc de notas” borramos la siguiente entrada
195.245.119.131 browser-security.microsoft.com
guardando tras esto el archivo sin dicha entrada.
7) Utilizando el procedimiento descrito en la primera entrada de este documento titulada “Un virus informático maligno”, remover los complementos add-ons que hayan sido puestos en la lista de complementos del navegador (browser) nativo propio de Windows, el Internet Explorer. Si dentro de la lista está algo que invoque al archivo iehelper.dll o a un archivo similar con otro nombre metido dentro de la máquina el día en que ocurrió la infección, deshabilitamos de inmediato dicho complemento.
8) Buscamos todos los archivos y todas las carpetas creados precisamente el día que ocurrió la infección (por ejemplo, el jueves 26 de febrero de 2009) poniendo atención especial a archivos del siguiente tipo:
__a) Archivos ejecutables “.exe” y “.bin”
__b) Archivos ejecutables “.js”
__c) Archivos “.htm” y “.html”
__d) Archivos con extensión “.inf”
__e) Archivos con extensión “.bat”
__f) Archivos con otras extensiones tales como “.xml”
Hay que eliminar estos archivos por completo de modo tal que no puedan ser recuperados de la papelera de reciclaje por el virus infector o lo que quede en la máquina del virus infector. Es importante no borrar archivos propios del sistema operativo Windows cuyas fechas de creación antecedan a la fecha de infección del virus, ya que ello conlleva el riesgo de desestabilizar el sistema.
9) Enviar a la papelera de reciclaje todas las carpetas residuales que hayan quedado de los navegadores que tengamos instalados en la máquina así como las carpetas de Yahoo así como de los Messenger.
10) Llevar a cabo una inspección del Registro con la ayuda del “Editor del Registro” de Windows para ver si no hay algo sospechoso, utilizando como guía de exploración lo que se ha señalado en otras entradas de esta bitácora así como consultando Internet desde otra máquina que no esté infectada. Sin embargo, no borrar del Registro nada a menos de que se tenga la absoluta seguridad de que la entrada sospechosa echa a andar alguna cosa relacionada con Spyware Protect 2009.
11) Inspeccionar la carpeta “Prefetch” para ver si hay archivos “.pf” allí que fueron creados el día de la infección. Si los hay, moverlos (por cortado y empastado) a otra parte.
12) Apagar la computadora y reiniciarla en “Modo Seguro” (Safe Mode) con la tecla F8.
13) Instalar el navegador o navegadores que tenía la computadora y que el usuario quiera utilizar de nuevo.
14) Instalar un nuevo programa de protección antivirus de una empresa de buena reputación. Si el programa no termina de instalarse por no haber todavía una conexión telefónica a Internet o por haber un conflicto con un programa antivirus instalado previamente, dejar este paso pendiente.
15) Apagar la computadora.
16) Conectar nuevamente la línea telefónica de la computadora al servicio de Internet.
17) Encender la computadora reiniciándola en “Modo Seguro” (Safe Mode) con la tecla F8.
18) Permitir que el proceso de instalación del programa antivirus continúe llegando a su conclusión en caso de que haya quedado pendiente.
16) Apagar la computadora.
17) Encender la computadora reiniciándola en “Modo seguro” (Safe Mode) con la tecla F8.
18) Echar a andar el programa antivirus ya instalado para que limpie lo que quede por limpiar en la máquina.
19) Apagar la computadora.
20) Encender la computadora reiniciándola en “Modo seguro con funciones de red” (Safe Mode with Networking) con la tecla F8. No conectar aún la computadora a la conexión telefónica de Internet.
21) Tras encender la computadora y después de que ha entrado en operación el sistema operativo Windows, debemos observar cuidadosamente en los foquitos propios del módem si la computadora después de que el sistema operativo ha terminado de estabilizarse ha dejado de tratar de conectarse a Internet (lo cual no debe ser posible por estar aún desconectada la línea telefónica). Si la computadora insiste sin parar en estar tratando de lograr una conexión telefónica a Internet, podemos suponer que hay algo residual que está tratando de establecer dicha conexión, y que no ha terminado nuestra limpieza total de la infección, en cuyo caso debemos repetir todo nuevamente desde el principio.
22) Una vez que estamos seguros de que todos los rastros de la infección informática han sido removidos, podemos conectar la computadora a su conexión telefónica usual de Internet, y una vez hecho esto podemos encenderla en “Modo seguro con funciones de red” (Safe Mode with Networking) con la tecla F8. Si las molestas ventanitas producidas por Spyware Protect 2009 han desaparecido por completo de la máquina y estamos satisfechos con la velocidad de conexión a Internet con la que está operando la máquina (la cual debe ser la misma que la velocidad, podemos dar por exitosa la remoción manual que llevamos a cabo del virus, tras lo cual la próxima vez que encendamos la máquina podemos encenderla en su forma rutinaria (sin recurrir a la tecla F8) para trabajar como siempre.
Esto concluye el procedimiento de eliminación de Spyware Protect 2009 en una computadora que había sido infectada por este virus potente. La infección no volverá a ocurrir a menos de que el usuario insista en seguir visitando los mismos sitios de reputación dudosa en Internet que seguramente estaba visitando cuando contrajo la infección.
