Consultores deben evacuar regularmente el Duro virus que se regenera, y el spyware y los virus que corrompen las máquinas cliente. Estos consejos le ayudará a volver sistemas a un funcionamiento estable.

Es inevitable que los clientes vayan a infectar a las estaciones de trabajo, PCs y portátiles con software espía y virus. Independientemente de las medidas preventivas, de protección de puerta de enlace a las exploraciones automatizadas; las políticas de uso de Internet por escrito, las amenazas de malware se cuelan a través de las defensas, incluso en capas. Lo que hace la situación peor es que muchos clientes no están dispuestos a invertir en el software anti-spyware independiente, a pesar de que entienden la necesidad de protección antivirus mínima.

Algunos profesionales de IT optan simplemente por borrar completamente los sistemas y reinstalar Windows, mientras que otros sugieren que es similar a rendirse y dejar que los malos ganan. La verdad se encuentra en algún punto intermedio.Después de hacer una copia de la imagen de la unidad (siempre es mejor tener una opción de reserva al luchar infecciones maliciosas), aquí están las medidas que encuentro más eficaz.

Nota: Estos consejos se basan en una entrada en el blog Consultor de IT;También están disponibles como descarga PDF.

1: Aislar la unidad

Muchos rootkits y troyanos son maestros del disfraz que se esconden en el sistema operativo lo antes o antes de que Windows se inicia. Me parece que incluso los mejores antivirus y antispyware herramientas – incluyendo AVG Anti-Virus Profesional, Malwarebytes Anti-Malware, y SUPERAntiSpyware – a veces tienen dificultades para eliminar esas infecciones arraigadas.

Usted necesita sistemas dedicados a la extracción. Extraiga el disco duro del sistema ofensivo, esclavizar a la máquina de prueba dedicado, y ejecutar múltiples análisis antivirus y antispyware contra toda la unidad esclavizado.

2: Quitar los archivos temporales

Mientras que la unidad sigue esclavizado, navegar por los archivos temporales de todos los usuarios. Estos se encuentran normalmente en el

C: \ Documents and Settings \ nombre de usuario \ Configuración local \ Temp  (dentro de Windows XP)

o el directorio

C: \ Users carpeta \ nombre de usuario \ App Data \ Local \ Temp  (dentro de Windows Vista.)

Eliminar todo dentro de las carpetas temporales. Muchas amenazas esconderse allí en busca de regenerar al inicio del sistema. Con la unidad sigue esclavizado, es mucho más fácil para eliminar estos archivos infractores.

3: Devuelva la unidad y repita esas exploraciones

Una vez que se ejecuta un análisis antivirus completo y ejecuta dos exploraciones antispyware completos utilizando dos aplicaciones actuales, recientemente actualizada y diferentes anti-spyware (quitar todas las infecciones encontradas), devuelva el disco duro para el sistema. A continuación, ejecute las mismas exploraciones de nuevo.

A pesar de las exploraciones y desinfección anterior, usted puede ser sorprendido en el número restante de infecciones activas las aplicaciones anti-malware, posteriormente, encontrar y eliminar. Sólo mediante la realización de estas exploraciones nativas adicionales puedes estar seguro de que has hecho todo lo posible para localizar y eliminar amenazas conocidas.

4: Prueba del sistema

Cuando termine los tres pasos anteriores, es tentador pensar que un sistema es bueno para ir. No cometas el mismo error. Arranque hacia arriba, abra el navegador Web, y eliminar de inmediato todos los archivos sin conexión y galletas. A continuación, vaya a la configuración de conexión de Internet Explorer (Herramientas | Opciones de Internet y seleccione la ficha Conexiones en Internet Explorer) para confirmar que un programa malicioso no cambió de proxy predeterminado o conexión LAN configuración de un sistema. Corregir cualquier problema que encuentres y asegurar los ajustes coinciden con los requeridos en la red o la red del cliente.

A continuación, visitar de 12 a 15 sitios al azar. Puedes buscar cualquier anomalía, incluyendo las ventanas emergentes obvias, búsquedas redirigidas web, páginas de inicio secuestrados y frustraciones similares. No considere la máquina limpia hasta que pueda abrir Google, Yahoo y otros motores de búsqueda y búsquedas completas en una cadena de una media docena de términos. Asegúrese de probar la capacidad del sistema para llegar a los sitios web anti-malware más populares, como AVG, Symantec, y Malwarebytes.

5: Dig más profundo sobre las infecciones restantes

Si los restos de infección persisten, tales como búsquedas redirigidas o el acceso bloqueado a sitios Web específicos, intente determinar el nombre de archivo para el proceso activo que causa el problema. HijackThis de Trend Micro, Process Explorer de Microsoft, y la Utilidad de configuración del sistema nativo de Microsoft Windows (Inicio | Ejecutar y escriba msconfig) son excelentes utilidades para ayudar a localizar procesos ofensivos. Si es necesario, buscar el registro para un ejecutable infractor y retire todos los incidentes. A continuación, reinicie el sistema y vuelva a intentarlo.

Si un sistema aún resulta dañado o inutilizable, es el momento de empezar a pensar en una reinstalación. Si una infección persiste después de todos estos pasos, es muy probable en una batalla perdida.

Otras estrategias

Algunos consultores de TI confían en trucos más elegante que lo que he descrito anteriormente. He investigado KNOPPIX como una alternativa. Y he tenido un par de ocasiones en el campo en el que me he esclavizado infectado unidades de Windows para mi ordenador portátil Macintosh para eliminar archivos particularmente obstinados en ausencia de un disco de arranque. Otros técnicos recomiendan el aprovechamiento de herramientas tales como crear una nueva imagen, a pesar de que he experimentado dificultades para obtener la utilidad incluso para reconocer NIC comunes, sin la cual la herramienta automatizada de reparación no puede trabajar.

¿Qué métodos me recomienda para la eliminación de virus y spyware de las máquinas de los clientes? Publique sus sugerencias en la discusión que sigue.