Security Tool es un rogue que muestra falsas alertas de seguridad con el fin de hacernos descargar un falso antivirus. Si lo descargamos, nos hará creer que está escaneando el sistema y nos mostrará falsos informes indicandonos que todos nuestros programas están infectados. Este rogue no permite ejecutar ningún programa incluyendo las herramientas de desinfección.

¿Cómo se contrae esta infección?
Al descargar falsos codecs para reproducir videos pornográficos, a través de cracks y mediante exploits en las páginas web.
En un informe de Hijackthis, podemos reconocer a Security Tool por estas líneas:
O4 - HKLM\..\Run: [61385932] C:\DOCUME~1\ALLUSE~1\APPLIC~1\61385932\61385932.exe
O4 - HKCU\..\Run: [79512125] C:\ProgramData\79512125\79512125.exe
O4 - HKLM\..\Run: [54264728] C:\ProgramData\54264728\54264728.exe
O4 - HKCU\..\Run: [Minisoft] C:\Users\Boudard\AppData\Local\Temp\50549.exe

¿Qué herramientas podemos utilizar para eliminarlo?

• rkill.com
• Malwarebytes
• super antispyware

Pasos previos

• Si utilizas Windows Vista o 7, debes desactivar el UAC durante la desinfección
• Si tienes TeaTimer (el residente de Spybot), desactívalo si no puede interferir con la desinfección. Para ello:
• Abre Spybot,
• Haz clic en el menú "Modo" y selecciona "Modo avanzado"
• Haz clic en el botón "Herramientas" (situado a la izquierda), luego clic en "Residente"
• Desmarca la casilla delante de Residente "TeaTimer", luego cierra Spybot

Métodos de desinfección

Existen varios métodos para deshacernos de Security Tool:

Primer método: Rkill

• Descarga Rkill
• Para ejecutar Rkill, haz doble clic en el fichero que descargaste. La herramienta finalizará automáticamente todos los procesos asociados a Security tool y otros rogues.
• Espera que termine el proceso (esto puede tomar algo de tiempo). Al terminar, el programa se cerrará automáticamente
• Ahora puedes pasar al segundo o tercer método de desinfección

Si algun programa de protección de tu PC te muestra un mensaje indicando que rkill es indeseable, ignoralo, desactivalo y vuelve a ejecutar rkill. Una vez terminado el proceso vuelve a activar el programa de protección.

Nota: No reinicies el ordenador después de haber ejecutado rkill, si no la infección podría reactivarse. Debes pasar a la siguiente etapa para elimiar los residuos que queden del programa.

Segundo método: MalwareBytes' Anti-Malware

• Descarga MalwareBytes' Anti-Malware en el Escritorio.
• Instala el programa
• Si falta el fichero COMCTL32.OCX, lo puedes descargar de aquí
• Actualiza el programa: entra al menú "Actualizar" y haz clic en "Buscar Actualizaciones"
• Inicia en modo seguro
• Abre MalwareBytes' Anti-Malware, luego selecciona "Realizar un examen completo" y haz clic en "Examinar". Selecciona todos los discos duros y haz clic en "Empezar Examen"
• Una vez terminado el examen, haz clic en Eliminar (reinicia el ordenador si te lo pide el programa)

Tercer método: Super antispyware

• Descarga super antispyware
• Instálalo (elige el idioma durante la instalación) y actualízalo
• Haz clic en el botón "Examina su Computadora" para hacer un análisis del ordenador

• En la columna izquierda de la ventana que se abre, selecciona los Discos a analizar.
• Selecciona "Hacer Examen Rápido", luego haz clic en "Siguiente"

Cuarto método: Combofix

Nota:
- Este programa solo debe ser utilizado si ha sido recomendado por un usuario experimentado y con experiencia en el uso de esta herramienta. Su uso es muy peligroso!

• Haz clic derecho aquí
• Selecciona "Guardar destino como..."
• En la venta que aparece, selecciona el Escritorio como destino. En "Nombre" pon CFIX.exe en vez de ComboFix por ejemplo, luego haz clic en "Guardar"
• Necesariamente debes cambiarle de nombre, si no te aparecerá el mensaje "ComboFix.exe no es una aplicación win32 valida" y no podrás utilizarlo.
• Desconéctate de Internet y cierra todas las aplicaciones y programas
• Haz doble clic en CFIX.exe (en Vista, es necesario hacer clic derecho sobre CFIX.exe y seleccionar "Ejecutar como Administrador")
• Acepta el mensaje de advertencia y acepta la instalación de la consola de recuperación (Bajo XP)
• El reporte será creado en la raíz C:\Combofix.txt

Quinto método

Si el PC no quiere iniciar puedes intentar pasar antivir rescue system que viene en un CD booteable conteniendo el antivirus antivir que debes crearlo en cualquier PC.

Después de haber hecho la limpieza

Para comprobar que no queda ninguna infección, haz un análisis en línea de tu PC.

• Hacer una análisis en línea con Bitdefender
• Hacer una análisis en línea con Kaspersky

Enlaces de interés

http://www.bleepingcomputer.com/virus-removal/remove-security-tool

El artículo original fue escrito por Ced_King, contribuidor de CommentCaMarche

Véase también