Pasos adicionales para eliminar archivos problemáticos

  • N.º del artículo: 14443
  • Actualizado: 02 feb 2012

Aunque en la mayor parte de los casos, las amenazas pueden eliminarse de forma centralizada desde Enterprise Console o de forma local con Sophos Anti-Virus o escaneados de la línea de comandos como SAV32CLI, a veces, el problema vuelve a repetirse.

En estas instrucciones, se presupone que el equipo afectado utiliza Windows 2000, Windows XP o Windows 2003, pero muchos de los pasos son similares en Windows 95/98/Me y Windows NT. La metodología es similar también para otros sistemas operativos.

La palabra troyano se utiliza en este artículo en referencia a todo tipo de gusanos, virus, troyanos y demás aplicaciones no deseadas cuya eliminación resulte dificultosa.

Qué hacer

Durante la limpieza del equipo infectado, utilice un equipo sin infecciones para realizar búsquedas en Internet, descargar herramientas, etc. Guarde todas las utilidades en un disquete o CD-ROM cerrado o protegido contra escritura.

1. Supervivencia o reinfección

En primer lugar, es necesario averiguar si el equipo se ha vuelto a infectar desde el exterior o si el troyano ha sobrevivido a los escaneados. Lea el análisis del virus para encontrar posibles pistas que ayuden a solucionar el problema y compruebe si:

  1. El equipo está conectado a Internet
  2. El equipo está vinculado a la red local
  3. Se ha eliminado o desactivado alguna tarjeta de red inalámbrica
  4. Existen tarjetas USB, unidades extraíbles u otros dispositivos periféricos con memoria conectados al equipo
  5. Existen disquetes o CD-ROM en las unidades

Desconecte el equipo de todas las redes, incluida Internet, y elimine todas las tarjetas, unidades, discos y dispositivos periféricos. Después, vuelva a ejecutar el escaneado. Una vez eliminado el troyano, asegúrese de que el equipo cuenta con todos los parches necesarios y que el software de seguridad está actualizado. Consulte Volver a utilizar el equipo normalmente.

Si el equipo ya está completamente aislado de otros equipos y medios externos, pero la infección persiste al reiniciarlo o no es posible eliminar los archivos desde el Modo seguro con símbolo del sistema, vaya directamente a la sección 5.

2. Tarjetas USB o unidades extraíbles

El origen de la infección puede encontrarse en medios que no se estén escaneando y a los que el equipo accede al iniciarse. Entre los medios que deben revisarse se incluyen las tarjetas USB y las unidades extraíbles. Para total seguridad, desconecte también los teléfonos móviles, cámaras digitales, impresoras y otros dispositivos periféricos con memoria conectados.

  • Retire los medios correspondientes.
  • Ejecute otro escaneado.
  • Compruebe si el equipo se infecta de nuevo al reiniciarlo.
  • De no ser así, formatee la unidad o tarjeta correspondiente o desinféctela con cuidado en otro equipo. Si es posible, utilice un equipo con otro sistema operativo, por ejemplo, Mac.

Si el problema parece provenir de otro dispositivo, reinícielo. Después, revise las tarjetas de memoria, etc. que utilice. Realice una copia de seguridad de los datos almacenados en la tarjeta (por ejemplo, guarde las fotografías en un CD-ROM) y formatee la tarjeta de memoria.

El troyano no puede infectar los teléfonos, cámaras y demás dispositivos, que simplemente funcionan como portadores inmunes. Por eso, puede tomarse su tiempo a la hora de realizar las copias de seguridad.

Una vez eliminado el troyano, asegúrese de que el equipo cuenta con todos los parches necesarios y que el software de seguridad está actualizado. Consulte Volver a utilizar el equipo normalmente.

3. Redes locales

Si existen otros equipos en la red, compruebe que no contienen troyanos. Asegúrese de escanear los directorios o carpetas compartidos que utilizan otros equipos, por ejemplo, las carpetas compartidas en equipos Mac, los recursos compartidos de Samba en equipos Linux o los recursos compartidos de NetWare.

Una vez eliminado el troyano, asegúrese de que el equipo cuenta con todos los parches necesarios y que el software de seguridad está actualizado. Consulte Volver a utilizar el equipo normalmente.

4. Reinfección a través de Internet

Si la infección parece provenir de Internet (a través de tarjetas inalámbricas o cables), bloquee su origen antes de volver a conectarse.

  • Tarjetas inalámbricas y redes
    Realice una comprobación completa de la seguridad de la red. Para empezar, cambie el nombre de usuario y la contraseña predeterminados del router, y asegúrese de utilizar una contraseña segura. Consulte la documentación del sistema inalámbrico, el sitio web de Microsoft e Internet en general para obtener más información sobre cómo fortalecer la red inalámbrica. Este sector avanza rápidamente. Realice búsquedas de términos como "inalámbrico", "seguridad" o "wi-fi".
  • Conexiones a Internet
    Si el equipo se está volviendo a infectar desde Internet, revise la seguridad de la conexión. Además de un programa antivirus, debería utilizar un cortafuegos, sobre todo, con conexiones permanentes como los sistemas de banda ancha o ADSL. Utilice un cortafuegos personal de software o un router, que funciona también como cortafuegos. No utilice cortafuegos o routers inalámbricos a menos que necesite dicha función.

Si un secuestrador de navegadores ha infectado el equipo, puede instalar otro diferente antes de volver a utilizar Internet. No importe la configuración ni las páginas guardadas.

Para obtener más información sobre cómo contrarrestar los efectos de los secuestradores de navegadores, siga leyendo.

5. Problemas en el equipo local

Si el archivo problemático se encuentra en el equipo, es necesario averiguar si no se pudo eliminar o si se vuelve a reproducir después de eliminarlo.

Antes de seguir los consejos detallados a continuación:

  • Si es posible, guarde copias de seguridad de los datos (documentos, hojas de cálculo, fotografías, direcciones de correo electrónico, etc.) en CD-ROM u otros medios.
  • Imprima la descripción completa (incluida la información avanzada) del análisis de la amenaza que está dañando el equipo.

A veces, es más fácil realizar copias de seguridad de los datos y restaurar el estado original del equipo que invertir los efectos del troyano. Consulte la sección Reinstalación de Windows.

  1. ¿Es posible detectar el troyano ejecutando un escaneado con SAV32CLI en modo seguro con símbolo del sistema? Si no es posible, vaya a la sección 7.
  2. Si el escaneado detecta el troyano, ¿puede eliminar el archivo? Si no es posible, vaya a la sección 6.
  3. Si ha eliminado los archivos pero el problema no desaparece, vaya a la sección 8.

Para más información sobre cómo utilizar el modo seguro con símbolo del sistema, consulte los comandos básicos de DOS.

6. No es posible eliminar el archivo

Cuando el archivo se encuentra en Restaurar sistema o el sistema operativo lo tiene abierto, el escaneado en modo seguro con símbolo del sistema no podrá eliminarlo.

En Windows XP o Windows Me, es posible purgar la restauración del sistema desde el símbolo del sistema.

A veces, la consola de recuperación de Windows permite eliminar el archivo de forma manual:

En algunos casos, es posible impedir que el archivo se abra al iniciar el equipo. Consulte las entradas del registro mencionadas a continuación.

7. No es posible detectar el archivo

Las amenazas suelen ser archivos ejecutables (programas). Sin embargo, existen algunos trucos con los que otros archivos pueden convertirse en ejecutables. Si el escaneado de archivos ejecutables en modo seguro con símbolo del sistema no detecta el archivo de la amenaza, intente realizar un escaneado de todos los archivos que no elimine ningún elemento.

Para ejecutar un escaneado registrado de todos los archivos con SAV32CLI, escriba:

SAV32CLI -ALL -P=C:\LOGFILE1.TXT

La eliminación de archivos detectados con escaneados de todos los archivos debe realizarse con cuidado, ya que se pueden eliminar buzones de correo que contienen un mensaje infectado o archivos comprimidos en los que solo uno de los archivos está infectado. Además, es poco probable que tales archivos sean el origen de la infección. Para eliminar y registrar archivos con escaneados de todos los archivos, escriba:

SAV32CLI -ALL -REMOVE -P=C:\LOGFILE2.TXT

Para más información sobre cómo utilizar SAV32CLI, consulte Opciones de escaneado con SAV32CLI.

Una vez que haya eliminado el archivo, intente averiguar cómo se iniciaba para reducir las posibilidades de reinfección. Siga leyendo.

8. Eliminación de entradas del registro

Es probable que el troyano haya añadido o modificado entradas en el registro. Dichas entradas pueden invocar elementos que no podrá detectar.

Si no puede eliminar alguna entrada en concreto, cambie los permisos de dicha entrada e intente eliminarla de nuevo.

Si no puede abrir el registro y el análisis del virus indica que una entrada determinada puede impedirlo, copie e importe dicha entrada desde un equipo no infectado. Si consigue acceder al registro, elimine las demás entradas.

9. Modificación de entradas del registro

Cuando el troyano ha modificado entradas en el registro

Asegúrese de que importa las entradas desde un equipo con el mismo sistema operativo que el equipo afectado.

A veces, esta solución funciona aunque no pueda acceder de ningún otro modo al registro.

10. Otros métodos de inicio

Compruebe si existen referencias al troyano o a los sitios web que utiliza en las copias de los archivos siguientes:

  • autorun.inf
  • HOSTS
  • autoexec.bat
  • config.sys

Si es necesario, cópielos en un disquete, realice una copia de seguridad, modifíquelos en Bloc de notas en otro equipo y sustituya los originales en el equipo afectado.

11. Limpieza de discos y restauración de sistemas

Utilice la Limpieza de discos para eliminar archivos temporales que puedan ocultar algo. Escriba el comando siguiente en el símbolo del sistema y siga las instrucciones en pantalla:

Cleanmgr

Asegúrese de que las opciones siguientes están seleccionadas para la eliminación:

  • Archivos de programa descargados
  • Archivos temporales de Internet
  • Archivos temporales
  • Papelera

Los troyanos pueden ocultarse también en los archivos de restauración del sistema de Windows XP y Windows Me. Para acceder a Restaurar sistema en el modo seguro con símbolo del sistema de Windows XP, escriba:

<carpeta de Windows>\system32\restore\rstrui.exe

siendo <carpeta de Windows> el nombre de la carpeta de Windows correspondiente (normalmente 'Windows' en Windows XP). A continuación, purgue y restablezca la restauración del sistema.

12. Volver a utilizar Windows en el equipo

Al iniciar Windows en el equipo por primera vez después de la desinfección, puede desactivar las aplicaciones de inicio pulsando la tecla Mayús al iniciar sesión. Revise la carpeta y el menú de inicio.

Ejecute otro escaneado con el programa antivirus para realizar una última comprobación.

13. Volver a utilizar el equipo normalmente

Antes de volver a utilizar el equipo normalmente, compruebe lo siguiente:

  • asegúrese de que el equipo cuenta con todos los parches necesarios (utilice Windows Update y el analizador de línea base de Microsoft)
  • compruebe que todos los programas de seguridad están actualizados
  • revise el cortafuegos (instale un cortafuegos de hardware o personal si aún no lo tiene)
  • compruebe que solo los usuarios adecuados tienen acceso a las carpetas compartidas
  • revise la configuración del Centro de seguridad de Windows en Windows XP, incluida la configuración del Firewall.

Windows Update solo está disponible con Internet Explorer versión 5 o posterior. Si es necesario, utilice otro equipo o navegador para descargar los parches y los service packs necesarios desde el Centro de descargas de Microsoft. Después, guárdelos en un CD-ROM y utilícelo para instalarlos.

14. Secuestradores de navegadores

Algunos troyanos secuestran los navegadores web (normalmente, Internet Explorer) para que el equipo visite determinados sitios web y se infecte.

Pruebe lo siguiente:

  • Instale de forma temporal un navegador web diferente y configúrelo como el navegador predeterminado en el equipo hasta que haya solucionado el problema. No importe la configuración ni páginas guardadas durante la instalación.
  • Busque el archivo 'Iereset.inf' y sustitúyalo por una copia obtenida en otro equipo con el mismo sistema operativo. Si existe, este archivo se encuentra en alguna de las carpetas de Windows.
  • Muchas de las opciones de configuración de Internet Explorer están disponibles en el modo seguro con símbolo del sistema. En el símbolo del sistema, escriba:
    Inetcpl.cpl
    Seleccione la ficha Programas y haga clic en 'Administrar complementos' para desactivar los complementos no deseados.

15. Herramientas útiles e información

Las siguientes herramientas de Windows suelen ser útiles para solucionar problemas:

Msconfig

Esta herramienta de configuración está disponible en Windows XP y Windows 98, pero no en Windows 2000. Para ejecutarla en Windows, seleccione Inicio|Ejecutar, y escriba:

Msconfig

Msconfig permite:

  • Desactivar programas que se ejecutan al inicio en la ficha Inicio.
  • Para identificar todos los servicios no Windows, abra la ficha Servicios y seleccione 'Ocultar todos los servicios de Microsoft'. Los servicios restantes no pertenecen a Windows (la mayoría pertenecerán a los programas legítimos instalados).
  • Si Windows no se reinicia en modo seguro, puede configurarlo en la ficha BOOT.INI. Seleccione '/SAFEBOOT/' y 'Minimal'.

Msinfo32 y Winmsd

Msinfo32 y Winmsd crean informes detallados en el sistema que pueden ser útiles para solucionar problemas. Al menos uno de ellos funciona en Windows 2000, XP y 2003. Para ejecutarlos en modo seguro con símbolo del sistema, escriba 'Msinfo32' o 'Winmsd'.

Fuentes de información

Los siguientes artículos y herramientas de Microsoft pueden ser útiles para proteger los equipos:

Localizar archivos desde el símbolo del sistema

Si necesita encontrar un archivo en el modo seguro con símbolo del sistema, escriba:

C:
CD \
DIR <archivo> /S

Este comando lleva a la unidad C: y busca el archivo <archivo> en la carpeta y subcarpetas. Para buscar el archivo <archivo> en todas las carpetas, incluso las carpetas ocultas, escriba:

DIR <archivo> /S /AH

Para más información sobre cómo utilizar el símbolo del sistema, consulte los comandos básicos de DOS.

16. Si necesita ponerse en contacto con Sophos

Si sigue sin poder eliminar el troyano y necesita ponerse en contacto con Sophos, prepare las respuestas a la mayor cantidad de preguntas posibles de las enumeradas a continuación. De esta forma, podremos analizar el problema más rápido.

Información básica

  1. ¿Cómo detecta Sophos Anti-Virus los archivos problemáticos?
  2. ¿Qué sistemas operativos utilizan los equipos afectados?
  3. ¿Cuántos equipos están afectados?
  4. ¿Dónde (en qué carpeta) se detecta el problema?

Método de supervivencia

  1. Si el troyano se puede eliminar pero vuelve a aparecer, ¿cuándo vuelve a aparecer?
    • ¿Incluso si el equipo está aislado de todas las redes?
    • ¿Cuando el equipo se vuelve a conectar a la red?
    • ¿Cuando se inicia una aplicación, por ejemplo, Internet Explorer?
  2. ¿El archivo está bloqueado para que no se pueda eliminar (tanto con SAV32CLI como de forma manual)?

Otros puntos

  1. ¿Es posible detener el proceso del troyano desde el Administrador de tareas? ¿Se vuelve a iniciar después?

Registros y otras fuentes de información

  • Incluya todos los informes de Msinfo32 o Winmsd relevantes.
  • Incluya los registros de SAV32CLI u otros escaneados.

Nuevas amenazas

Si cree que la infección está provocada por un nuevo tipo de troyano o que el archivo problemático pertenece a la familia '-Fam' o '-Gen', envíenos una muestra.


Reinstalación de Windows

A veces, resulta más fácil reinstalar Windows que solucionar los efectos de la infección del troyano. Antes de reinstalar el sistema, realice una copia de seguridad de los datos (por ejemplo, en CD-ROM o DVD); es difícil saber qué elementos puede necesitar más tarde.

El disco original del sistema puede ser de tres tipos:

  1. un CD-ROM de Windows de Microsoft
  2. un CD-ROM de recuperación del fabricante
  3. un CD-ROM o DVD de recuperación propio creado tras la instalación del sistema en el equipo.

Los dos últimos tipos eliminarán todos los datos existentes al restaurar el equipo. Se eliminará el troyano, pero también todos los archivos guardados en el equipo, programas, controladores, service packs y parches instalados.

Los CD-ROM de Windows de Microsoft pueden reparar el sistema, en lugar de volver a instalarlo. De esta forma, el troyano activo podría permanecer en el disco duro. En ese caso, formatee el disco duro antes de instalar Windows. Se eliminará el troyano y todos los programas, controladores, service packs y parches instalados.

Una vez que haya reinstalado Windows, asegúrese de que el equipo está protegido adecuadamente antes de volver a utilizarlo normalmente.

 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios