Eliminar el rootkit W32/TDSS

última actualización el 15 de julio de 2009, 00:51 por Carlos-vialfa
Publicado por Carlos-vialfa

El rootkit W32/TDSS


Un rootkit es un conjunto de programas que tienen por finalidad tomar el control de un PC como root. Es un programa malicioso muy complejo que se instala en el PC, e incluso a veces en el mismo núcleo del sistema. De este modo es capaz de tomar el control del PC sin ser detectado. Dicho de otro modo, es un conjunto de programas que permiten a los hackers instalarse en un PC (ya infectada o explotando una falla de seguridad) e impedir su detección. Una vez instalado el rootkit se convertirá en el administrador del sistema. Todos los programas, incluidos los antivirus y anti-spywares deben pasar por él antes de realizar cualquier acción. La expansión de los rootkits se ve favorecida por el hecho que la mayoría de usuarios de Windows trabajan con los derechos de administrador, lo que facilita la instalación de los rootkits.

Para mayor información haz clic aquí



Pasos previos

  • Desactiva el residente de Spybot
  • Si tienes TeaTimer (el residente de Spybot), desactívalo de lo contrario obstaculizará la desinfección, impidiendo la modificación de las BHO y la reparación del registro.
    • Ejecuta Spybot, luego haz clic en Modo y selecciona Modo avanzado
    • En la columna de la izquierda, haz clic en Herramientas, luego en Residente.
    • Desmarca la casilla delante de Resident “TeaTimer”



Importante:
Una vez terminada la desinfección, vuelve a activar “TeaTimer”.
Pero atención:
“TeaTimer” te solicitará, mediante pop ups, aceptar o no las modificaciones del registro (hechas durante la desinfección), acéptalas todas sin excepción.

Luego, deberás permanecer atento cuando “TeaTimer” muestre alertas: acepta una modificación únicamente si conoces de donde proviene.

Métodos de detección


Bajo Vista: Desactiva el UAC durante la desinfección.

Hijackthis no detecta la infección TDSS.

Será necesario utilizar una herramienta de diagnostico como: Random's System Information Tool (RSIT) o Gmer.

Random's System Information Tool (RSIT):
  • Descarga Random's System Information Tool (RSIT) en tu Escritorio.
  • Haz doble clic en RSIT.exe para ejecutar el programa (Bajo Vista, haz clic derecho sobre RSIT.exe y selecciona Ejecutar como administrador).
  • En la ventana que se abre, haz clic en Continue
  • Si HijackThis (versión actualizada) no se encuentra o no es detectado en el PC, RSIT lo descargará (si el cortafuegos te solicita permiso, acepta), deberás aceptar la licencia.
  • Al terminar el análisis se abrirán dos archivos de texto. Postea el contenido de log.txt (el que aparece en pantalla) y de info.txt (que aparece en la barra de tareas) en el foro de Virus y seguridad de Kioskea.


Gmer:
  • Descarga Gmer en tu Escritorio.
  • Descomprímelo en una carpeta especial o en tu Escritorio.
  • Desconéctate de Internet y cierra todos los programas.
  • Haz doble clic en Gmer.exe. Te aparecera:

  • Haz clic en la pestaña Rootkit, luego marca únicamente las casillas Files, Services y Registry y haz clic en Scan.
  • Cuando termine el scan, haz clic en Copy.
  • Abre el bloc de notas, luego haz clic en el menú Edición y selecciona Pegar.
  • El reporte será copiado al bloc de notas.
  • Guarda el archivo en tu Escritorio y postea el contenido en el foro de Virus y seguridad de Kioskea.


También pueden ser utilizadas otras herramientas de diagnostico para encontrar esta infección.

Métodos de desinfección


Varias herramientas pueden ser utilizadas para erradicar esta infección. Lo recomendado es pasar como mínimo dos herramientas y luego ver con una programa de diagnostico si la infección está aun presente.
Puede darse el caso que no puedas descargar directamente las herramientas en tu equipo. Lo que tienes que hacer es cambiarles el nombre al momento de descargarlos. Si aun no consigues descargar los programas, te recomiendo que solicites ayuda en el foro de Virus y seguridad.

Combofix

  • Descarga Combofix (de sUBs) en tu Escritorio.
  • Desactiva temporalmente cualquier protección residente (Antivirus, anti-spywares, etc.)
  • Haz doble clic en ComboFix.exe (bajo Vista, haz clic derecho sobre ComboFix.exe y selecciona Ejecutar como administrador).
  • Acepta la licencia.
  • El programa te preguntará si deseas instalar la Consola de recuperación. Es por precaución en caso de que tengas algún problema con tu sistema. Te recomiendo instalarla.
  • Cuando la operación haya terminado, aparecerá un reporte. Postea ese reporte en tu próxima respuesta del foro.
  • El reporte se encuentra en: %SystemDrive%\ComboFix.txt (%systemdrive% es la partición donde esta instalado Windows; por lo general C:\ )
  • Ver también: Cómo utilizar Combofix

Malwarebytes'Anti-Malware

  • Descarga MalwareBytes' Anti-Malware en tu Escritorio.
  • Instala el programa
    • Si falta el archivo COMCTL32.OCX, puedes descargarlo de aquí.
  • Actualiza el programa (En la interfaz del programa haz clic en la pestaña Actualizar y dale clic a Buscar Actualizaciones)
  • Una vez terminada la actualización, haz clic en la pestaña Escáner. Marca la casilla Realizar un examen completo, luego haz clic en Examinar y selecciona todos los discos duros.
  • Una vez terminado el análisis, se abre una ventana, dale clic a Aceptar
  • Si MalwareByte's no detecto nada, haz clic en Aceptar. Aparece un reporte, ciérralo.
  • Si MalwareByte's detecto alguna infección, haz clic en Mostrar los resultados, luego en Eliminar la selección.
  • Nota: reinicia el PC si MalwareByte's necesita reiniciar para terminar la eliminación.

Verificar


Se recomienda hacer un análisis en línea para comprobar que no existan aplicaciones infectadas.
  • Entra a la página del escáner Kaspersky en línea (con Internet Explorer)
  • Haz clic en Kaspersky Online Scanner
  • En la ventana que aparece, haz clic en Aceptar
  • Acepta los Controles ActiveX
  • Selecciona Mi PC para el análisis.
  • Una vez terminado el análisis, guarda el reporte en tu Escritorio.


Si necesitas ayuda, ver. Cómo escanear tu PC en línea con Kaspersky

Nota: Si te aparece el mensaje La licencia de Kaspersky On-line Scanner ha expirado, dirígete a Agregar o quitar programas y desinstala On-line Scanner, entra nuevamente a la página de Kaspersky y vuelve a intentar hacer el análisis en línea.

Desactivar / Reactivar Restaurar sistema


Es necesario desactivar y luego reactivar Restaurar sistema para purgarla, ya que los puntos de restauración pueden estar infectados:

PD: El artículo original fue escrito por V-X, contribuidor de CommentCaMarche
Mejores respuestas para « Eliminar el rootkit W32/TDSS » en :
Eliminar el virus Virut VerIndice: Qué es el virus Virut Medidas de precaución Cómo evitar ser infectado por Virut Cómo actúa Virut Para comenzar Primer método: Dr.Web CureIt! Segundo método: AVPTool Tercer método: eScan Antivirus Toolkit Desactivar y Activar la...
Cómo eliminar el virus Conficker / Downadup / Kido VerÍndice: Qué es el virus Conficker Cómo evitar infectarse con Conficker Desinfectar un PC infectado por Conficker Preliminares Eliminar una infección Qué es el virus Conficker Conficker (conocido también con el nombre de Downup,...
[Windows] Encontrar un archivo DLL faltante o eliminado Ver¿El sistema te muestra un mensaje diciendo que falta una librería (DLL)? Si es así, sigue las siguientes etapas para poder encontrarla: 1. Mostrar los archivos ocultos del sistema En mi PC, haz clic en Herramientas, luego en Opciones de carpeta y...
Descargar Eliminacion de software malintencionado VerEliminacion de software malintencionado es una herramienta de Microsoft la cual se encargará de comprobar si existe la presencia de software malintencionado en nuestro ordenador. Eliminacion de software malintencionado será capaz de detectar y...
Descargar Clean Virus MSN Ver
Necesitan su ayuda