Herramientas e instrucciones específicas de desinfección:
Además de las utilidades e instrucciones específicas de desinfección que aparecen en la página principal de esta web, he considerado oportuno añadir estas otras herramientas cuyo uso paso a detallar a continuación por si os fueran necesarias:
El troyano SmitFraud y sus variantes (SECURITY IGUARD, VIRTUAL MAID, SEARCH MAID, PSGUARD, SPYAXE, SPYWARESTRIKE, SPYSHERIFF, AV GOLD O ANTIVIRUSGOLD, SPYTROOPER, WORLD ANTISPY, RAZE SPYWARE, SPYFALCON, ADWARE PUNISHER, ALFACLEANER, WINHOUND, SPYWAREQUAKE, BRAVESENTRY, SPYHEAL, TRUST CLEANER, SYSTEMDOCTOR 2006 FREE, SAFETY BAR, BRAINCODEC, DVDCODEC, ELITECODEC, EMCODEC, eMEDIA CODEC, FREE VIDEO, GOLD CODEC, HQ CODEC, iCODEC PACK, iMEDIA CODEC, IMCODEC, IntCODEC, iVIDEOCODEC, JPEG ENCODER, LIGHTCODEC, KEYCODEC, MEDIA-CODEC, MEDIACODEC, MEDCODEC, MMEDIACODEC, MOVIE CODEC, MPCODEC, NEWVIDSCODEC, NVIDCODEC, PCODEC, PERFECT CODEC, PLAYER CODEC, POWERCODEC, PORNPASS MANAGER, PORNMAG PASS, QUALITYCODEC, SILVER CODEC, SOFTCODEC, STRCODEC, SUPER CODEC, SVIDEOCODEC, TRUECODEC, TVCODEC, V-CODEC, VCCODEC, VIDCODECS, VIDEOCOMPRESSIONCODEC, VIDEOKEYCODEC, VIDEOSCASH, VIDEOSCODEC, VIDSCODEC, WINMEDIACODEC, VMCODEC, X PASSWORD GENERATOR, X PASSWORD MANAGER, ZIPCODEC, ZCODEC, VIRUSBLAST, VIRUSBURST): Instrucciones para limpiar la infección provocada por el troyano HTML/SmitFraud.Gen y sus variantes. (Gracias a Geekstogo forums, bleepingcomputer y en especial a forospyware.com).
SmitRem.exe 3.2:
*NOTA: El antivirus Avast 4.7 de Alwil Software detecta el troyano "Win32:Trojan-gen" en las siguientes ubicaciones al intentar descargar esta utilidad:
- noahd.fear.geekstogo.com/smitRem.exe
- C:\Windows\Temp\70fdqsec.exe (UPX)
Debes ignorar estas alertas para poder descargar smitRem.
Utilidad para eliminar el troyano SmitFraud y las siguientes variantes: PSGUARD, SPYAXE, SPYWARESTRIKE, SPYSHERIFF, SPYWARESHERIFF, ANTIVIRUSGOLD, SECURITY TOOLBAR, SPYFALCON, ALFACLEANER, WINHOUND, SPYWAREQUAKE, SPYTROOPER, SPYHEAL, TRUST CLEANER, BRAVESENTRY, SEARCHMAID, SECURITY IGUARD, VIRTUALMAID, VIRUSBURST. Descarga smitRem.exe 3.2 y ponlo en el Escritorio. Pulsa sobre Start-->OK.
Esto generará una nueva carpeta SmitRem en el Escritorio. Uno de los archivos incluidos en esa carpeta, llamado 'Process.exe', es identificado por algunos antivirus como un proceso malicioso. No hagas caso y desactiva temporalmente el antivirus para que no se produzcan alertas. Reinicia el PC en "modo seguro" (a prueba de errores). Abre la nueva carpeta SmitRem que se creó en el Escritorio y haz clic sobre RunThis.bat.
Sigue las indicaciones en español que aparecerán en pantalla y espera a que la utilidad termine su proceso. Durante la ejecución te pedirá que pulses cualquier tecla o la tecla "1" para continuar. Cuando haya terminado, se creará un archivo log (smitfiles.txt) en el directorio raíz del dico duro, normalmente en C:\. Ese informe indicará si SmitFraud y variantes han sido eliminados. En los SSOO Windows XP/2000, si la utilidad detectase que el archivo del sistema wininet.dll está infectado, intentaría desinfectarlo reemplazándolo por una copia limpia del mismo. Es probable que después de ejecutar SmitRem y reiniciar el PC tengas que restablecer el fondo de escritorio.
L2mFix (Vx2/L2M - XP/2000/2003) - L2M9xFIX (Vx2/L2M - 98/ME): Utilidad para limpiar la infección provocada por los Adware Look2Me/Vx2 y variantes. Descarga la utilidad L2mfix.exe o L2m9xFix.exe, según tu SO, y ponla en el escritorio. Haz doble clic sobre l2mfix.exe o L2m9xFix.exe. Acepta el acuerdo de licencia, pulsa sobre el botón instalar para extraer los archivos y sigue las indicaciones que aparecerán en pantalla. Se creará una nueva carpeta l2mfix/L2m9xFix en el escritorio. Abre la nueva carpeta l2mfix/L2m9xFix, pulsa sobre l2mfix.bat, escoge la opción 2 (Run Fix) y pulsa ENTER.
Pulsa cualquier tecla y tu PC se reiniciará. Después de reiniciar es probable que los iconos del escritorio y la barra de tareas desaparezcan durante el escáner (esto es normal), l2mfix/L2m9xFix seguirán escaneando el PC. Cuando el escáner haya teminado, se creará un archivo de texto que te indicará si los archivos y claves del registro relacionados con los Adware Look2Me/Vx2 han sido eliminados. Si tu antivirus detectase algún proceso malicioso al pulsar sobre l2mfix.bat, no te preocupes y no hagas caso del aviso. Si es necesario desactiva el antivirus temporalmente y permite que lm2fix/L2m9xFix lleven a cabo el proceso de desinfección.
FixWareout: Utilidad para limpiar la infección provocada por los Adware Wareout y UnSpyPC.
Añade entradas "Ruins" y "Urls" similares a éstas en el registro del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\toemd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh.
*Más síntomas de la infección provocada por el Adware Wareout.
Descarga la utilidad FixWareout.exe en el Escritorio. Conecta a Internet, mantén la conexión activa y ejecuta Fixwareout.exe. Haz Clic en "Next" y después en "Install". Asegúrate de que la casilla "Run fixit" está marcada y haz clic sobre "Finish". Empezará el proceso de desinfección. Sigue las instrucciones que irán apareciendo en pantalla. Podrás comprobar cómo se descarga y ejecuta el programa BFU (Brute Force Uninstaller). Te pedirá que reinicies el ordenador. Windows puede tardar algo más en reiniciar, no te preocupes por esto, es normal. Cuando el sistema haya reiniciado, sigue las indicaciones que aparecerán en pantalla. Fixwareout seguirá con el proceso de desinfección. Cuando haya finalizado, se generará un archivo de texto C:\fixwareout\report.txt que indicará si los Adware Wareout y UnSpyPC han sido eliminados.
Background.zip: Utilidad para desbloquear y restablecer el fondo de Escritorio. (Gracias a ralphcaddell.com).
Win32DelfKil: Utilidad para eliminar el troyano Win32Delf en todas sus variantes.
1. Descarga en el Escritorio la utilidad Win32delfkil.exe.
2. Ejecuta Win32delfkil.exe para instalarlo. Se creará una nueva carpeta Win32delfkil en el Escritorio.
3. Con todas las ventanas del navegador cerradas, abre la nueva carpeta Win32delfkil y haz doble-clic sobre el archivo "fix.bat". Espera a que termine el proceso de desinfección. Seguidamente, el ordenador se reiniciará automáticamente.
4. Vuelve a ejecutar el antivirus residente para comprobar si el troyano Win32Delf y/o variantes han sido "fulminados" con éxito por la utilidad Win32DelfKil.
QooFix 1.04 (Windows 2000/NT/XP): Utilidad para eliminar el troyano Win32/Qoologic. Descarga QooFix y descomprime el contenido a una nueva carpeta, por ejemplo: C:\Qoofix. Abre la nueva carpeta y ejecuta "Qoofix.exe". Por último, haz clic en la opción "Begin Removal" para iniciar el proceso de desinfección. Cuando haya finalizado, reinicia el PC. Qoologic pertenece a una familia de troyanos (backdoors) que son controlados a través de un archivo de configuración XML descargado previamente. Indicios del troyano:
C:\Windows\System32\wuauclt.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Narrator = "%Windows%\(archivo al azar).exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KavSvc = "%Windows%\(archivo al azar).exe"
Algunas variantes (droppers) crean una copia del troyano en esta carpeta para que se ejecute al iniciar el sistema:
"%Documents and Settings%\All Users\Menú Inicio\Programas\Inicio"
Los programas Adware relacionados con Qoologic son: SurfSideKick y enBrowser.
AproposFix.exe: Utilidad para eliminar el Spyware Apropos.
Win32/Apropos.B, WinNT/Zufyx.A, Spyware.Apropos.C, Trojan.Win32.Crypt.t.
Descarga Aproposfix.exe y reinicia el PC en "modo seguro" (a prueba de errores). Haz doble clic sobre aproposfix.exe y descomprime el contenido en el escritorio. Esto generará una nueva carpeta aproposfix.exe. Ábrela y haz clic sobre RunThis.bat. Sigue las indicaciones que aparecerán en pantalla. Cuando haya terminado el proceso de reparación, reinicia el PC normalmente. Se creará un archivo log.txt en el que te indicará si ha detectado y eliminado el spyware Apropos.
ShootTheMessenger: Utilidad para evitar que aparezcan ventanas de publicidad (spam) del Messenger Service. (Gracias a Gibson Research Corporation).
DelCmdService.zip: Utilidad para eliminar el Adware cmdservice.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
Descarga la utilidad "delcmdservice.zip". Descomprime el contenido en el Escritorio. Se generará una nueva carpeta "delcmdservice". Abre la nueva carpeta "delcmdservice" y haz clic sobre "delreg.bat" para iniciar la aplicación. Espera a que realice el proceso de limpieza del "Adware cmdservice". Cuando haya terminado, reinicia el PC.
Haxfix.exe: Utilidad para detectar y eliminar el troyano Backdoor.Haxdoor en todas sus variantes.
*Haxdoor: xxxx16
020 - Winlogon Notify: twpR16 - C:\WINDOWS\SYSTEM32\twpR16.dll
*Haxdoor: xxxxtt
020 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
XPPTP 0x24 winsock: \??\C:\WINDOWS\System32\xptpmm.sys (system)
XPPTP 0x25 winsock: \??\C:\WINDOWS\System32\xptpmm.sys (autostart)
*Haxdoor: aaaaxt
020 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll
*Haxdoor: xxxx32.dll
020 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
020 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
020 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
020 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
020 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
020 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
020 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll
020 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
020 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll
020 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
020 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
020 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll
020 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\pptp32.dll
Este troyano permite el acceso remoto al PC infectado. Hace funciones de "keylogger" con el fin de robar claves y contraseñas. Se trata de una puerta trasera con capacidades de rootkit, capaz de ocultar su presencia en los sistemas infectados, siendo sólo posible la detección mediante detectores de rootkit específicos y motores antivirus que usen drivers de kernel (con acceso al núcleo del sistema).
Descarga e instala la utilidad "hax.fix". Haz doble clic sobre el icono "fix.bat" que se creará en el escritorio. Escoge la opción 2 pulsando la tecla "2" - "Run auto fix" y pulsa ENTER.
Si encontrara alguna infección te pedirá que cierres todas las ventanas abiertas. Cierra todas menos la ventana con fondo rojo de hax.fix en modo MS-DOS y pulsa ENTER.
El ordenador se reiniciará. Después de reiniciar se abrirá la ventana del archivo de texto C:\haxfix.txt que te indicará los archivos y servicios relacionados con el troyano "haxdoor" que ha detectado y eliminado.
ToolbarFix: Utilidad para eliminar la molesta barra "Itbarlayout" (Tinybar) del navegador Internet Explorer. (Gracias a dougknox.com).
F-Bot 1.00.1 DE F-Secure. Utilidad para eliminar los siguientes virus y sus variantes: Wootbot (Backdoor.Win32.Wootbot), Agobot (Backdoor.Win32.Agobot), Forbot (Backdoor.Win32.Forbot), Rbot (Backdoor.Win32.Rbot), Spybot (Worm.P2P.Spybot), IRCBot (Backdoor.Win32.IRCBot), SDBot (Backdoor.Win32.SdBot), Poebot (Backdoor.Win32.Poebot), Codbot (Backdoor.Win32.Codbot).
CoolWebSearch.SmartKiller (v1/v2) Miniremoval: Herramienta para eliminar la variante Smartkiller CoolWebSearch. (Gracias a majorgeeks.com).
Rapidblaster Killer 1.61: Utilidad para eliminar el Adware Rapidblaster y sus variantes ocultas con nombres de archivos legítimos. (Gracias a castlecops).
Sysprotect Remover: Utilidad para eliminar el Adware Sysprotect (clon de los Adware WinFixer/WinAntivirus Pro).
Nail.exe/Aurora: Instrucciones para eliminar el Adware Nail.exe-Aurora.
Nail/Bolder/Aurora Remover 0.3.1 Beta: Herramienta para limpiar las infecciones provocadas por los Adware Nail/Bolder/Aurora.
Sp.HTML-Se.Dll Hijack Fix 2000/XP 112: Utilidad para limpiar el secuestro del navegador provocado por el troyano StartPage, Sp.HTML-Se.Dll (Windows 2000/XP).
Sp.HTML-Se.Dll Hijack Fix 9x/ME Beta 9: Utilidad para limpiar el secuestro del navegador provocado por el troyano StartPage, Sp.HTML-Se.Dll (Windows 95/98/ME).
Malware Removal Tool: Utilidad para eliminar el Spyware Wintools (variantes) y SpecialGoods/NewGenLook.Info.
Taskbar Repair Tool Plus: Herramienta para reparar la barra de tareas en Windows XP.
WinFixer/Win Antivirus Pro 2005/2006/2007: Instrucciones para eliminar los Adware WinFixer y WinAntivirus Pro 2005/2006/2007 asociados al troyano Vundo.
Pueden añadir las siguientes entrada 020 WINLOGON NOTIFY Y 02 - BHO: MSEVENTS OBJECT en el log (informe) del programa HijackThis: ddcax.dll, jkhgh.dll, yabbb.dll, yabya.dll, awvvt.dll, pmnnk.dll, svcodbc.dll, dllinfo.dll, geeda.dll, jkhhf.dll, mlljj.dll, comdoc.dll, binimg.dll, asnt3.dll, ddccb.dll, asdfasdf.dll, nutas.dll, mllmn.dll, mljjk.dll, pmkhh.dll.
*Nota: Symantec ha actualizado la herramienta de desinfección del troyano Vundo a la versión 1.5.0.
*Si la herramienta de Symantec no diese resultado, prueba a eliminar el troyano Vundo y variantes siguiendo las siguientes instrucciones (WinFixer/Win Antivirus Pro/Amaena.com/DriveCleaner 2006 Free/"WinFixer" -AKA "ErrorSafe"-).
Eliminar el parásito WinTools: WinTools\WToolsB.dll, WINTOOLS\BTIEIN.DLL, WinTools\WToolsA.exe, WinTools\WToolsS.exe y WinTools\WSup.exe.
RDrivRem.zip: Utilidad para eliminar el troyano Rdriv.sys Hacktool Rootkit y variantes.
W32.Spybot.NLX, Hacktool.Rootkit, Rdriv.sys, iTunesMusic, Trojan.Cachecachekit, Trojan/BackdoorW32.Spybot.NLX, W32/Sdbot-ABE, Backdoor.Win32.IRCBot.ao, orans.sysW32/Sdbot.worm.gen.i, W32/Rbot-AMP, Worm_Sdbot.bkw, Backdoor.Win32.Rbot.aas , Worm_Sdbot.byo, Worm.RbotMx.Process, Win32/RBot, Backdoor.Rbot.gen, W32/Sdbot.worm.gen.g, W32.Spybot.Worm, mbuscas.com.
Descarga la utilidad "rdrivRem.zip" en el Escritorio. Reinicia el PC en "modo seguro" (a prueba de errores). Haz doble clic sobre "rdrivRem.zip" para empezar el programa. Seguidamente haz doble clic en el archivo "rdrivRem.bat" para iniciar el proceso de desinfección. Sigue las instrucciones que aparecerán en pantalla. Cuando haya terminado, reinicia el PC normalmente. Se generará un archivo rdriv.txt que te indicará si el troyano Rdriv.sys Hacktool.Rootkit y variantes han sido eliminados.
El Exploit Lsass: Si nuestro antivirus nos avisara de la vulnerabilidad Lsass, sería necesario instalar lo antes posible el parche de MS04-011 correspondiente a la actualización crítica de seguridad de Microsoft 835732. Esto suele ocurrir después de formatear el PC y reinstalar Windows. Una vez instalados los Service Packs correspondientes, el problema quedará solventado.
Volver a la página principal 
La Seguridad en Internet