Como parte de la desinfección de tu PC puede que tengas necesidad de eliminar un servicio infectado por un malware. Por ello, a continuación veremos varios métodos para eliminarlos.

1. Eliminar un servicio utilizando hijackthis

La opción delete an NT service permite eliminar los servicios que aparecen en las líneas 023 de un reporte de hijackthis, después de haber sido detenidos o deshabilitados.

Para ello:

• Dirígete a Inicio > Ejecutar, escribe services.msc y dale clic a Aceptar
• En la ventana “Servicios”, busca el servicio que deseas detener
• Por ejemplo para eliminar el servicio: Boonty Games
  • Haz clic derecho sobre dicho servicio y selecciona Detener
  • Luego, dale doble clic y en la ventana que aparece en la sección “Tipo de inicio” selecciona Deshabilitado
  • Finalmente dale clic a Aceptar
• También puedes detener un servicio utilizando una línea de comandos
• Luego ejecuta hijackthis
• Línea de hijackthis correspondiente a este servicio:
  • O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe
• Selecciona la sección open misc tools section
• Opción delete an NT service
• Ingresa el nombre exacto del servicio a eliminar. En nuestro caso: BOONTY Games
• Atención! Una vez eliminado un servicio, será imposible restaurarlo. Si no estás seguro bastará con deshabilitarlo.

2. Eliminar un servicio desde la línea de comandos

También es posible eliminar un servicio directamente desde la línea de comandos, para ello:

• Dirígete a Inicio > Ejecutar, escribe cmd y haz clic en Aceptar
• En la ventana DOS que se abre, escribe cada uno de los siguientes comandos seguidos del nombre del servicio a eliminar (respetando la sintaxis), luego presiona Enter al final de cada línea.

Ejemplo de eliminación de dos servicios infectados: los servicios ezntsvc y scagent:

• sc stop ezntsvc [Enter]
• sc config ezntsvc start= disabled > luego hacer clic en Aceptar

sc delete ezntsvc [Enter]
sc stop scagent [Enter]
sc config scagent start= disabled > luego hacer clic en Aceptar
sc delete scagent [Enter]
exit [Enter]

Notas importantes:

• 1. Para eliminar un servicio compuesto de varios términos, por ejemplo en la siguiente línea hijackthis:
  • O23 - Service: Servicio Hola (Hola Service) - Apple Inc. - C:\Archivos de programa\Hola\mDNSResponder.exe
• Es necesario ingresar el nombre completo que se encuentra entre los paréntesis, es decir se ingresarán los comandos siguientes:
  • sc stop “Hola Service"
  • sc delete “Hola Service"
• 2. El nombre del servicio que será eliminado es el que está entre los paréntesis, en nuestro ejemplo “Hola Service”, como aparece en la línea anterior de hijackthis en negrita, y no el que se encuentra antes, Servicio Hola, que es una descripción y no el nombre que reconoce el sistema. Si la línea 023 del reporte hijackthis no presenta un nombre entre paréntesis, como en esta línea:
  • O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe
  • Entonces el nombre del servicio que será eliminado será el nombre después de “Service:”.

• 3. Estos dos métodos que hemos visto se aplican a servicios llamados “básicos”, pero no funcionarán para los servicios de rootkits, que son muy difíciles de eliminar

PD: El artículo original fue escrito por green day, contribuidor de CommentCaMarche