Parte 1: Como surgen los nerviosismos
Ayer hablando con Camilo Antoria me comentaba que tenia sospechas de tener un troyano y que su antivirus no lo estuviera encontrando etc etc, a lo que le sugeri hacer un scan on line; al rato me dejo preocupado si no me estaria pasando lo mismo ya que tenemos el mismo antivirus, asi que me decidi a limpiar el cache de los browsers y a dejar pasando toda la noche el dichoso scan on line, use el Panda, lo comento por ser justo con el producto, yo uso el Nod32, y por aquello de que una segunda opinion nunca esta demas, use el scan on line de otra marca.
Parte 2: Se viene el resultado
Hoy de mañana, en cuanto recobre la conciencia fui corriendo a “ver” mi notebook, encuentro que tenia el siguiente resumen y ahi empece a hablar en lenguas extrañas, esas que llevan * # ? ¡ y otros caracteres raros en las palabras 
3 archivos sospechosos (.exe)
3 virus/troyanos
8 Trackingcookies
8 hacktools (exploit/iframe)
11 virus/worm (W32/Tearec.A.worm!CME-24)
18 virus (W32/Netsky.P.worm,W32/DownFrame.B y otros)
Auuuuchhh, antes de ponerme sicotico del todo descubro en el informe una columna llamada “Active” y otra “Desinfectable” asi que esas columnitas me dejaron comenzar el dia tranquilo todos estaban Active = no & desinfectable = yes
El informe del scan on line se puede salvar como texto, e incluye la ruta al archivo infectado, asi que lo salve para poder estudiarlo, me desconecte de la red y buena sorpresa cuando encuentro que todos los archivos encontrados, excepto 3, estaban en la carpeta SpamFighter del Thunderbird, mi cliente de correo.
Parte 3: Y ahora como mato los virus muertos !!
Ya con aire triunfalista, habil como el mejor y teniendo la ruta de los archivos abro el explorador de “guindou” para eliminar uno a uno los archivos y listo, era cuestion hasta infantil esa matanza, iba barbaro navegando el extenso path hasta que me pego contra un muro: esos archivos estan dentro de un archivo contenedor grrrrrrrrrrrrrr y ahora quien podra defenderme ?
C:\Users\gabriel\AppData\Roaming\Thunderbird\Profiles\pu3fc5fo.default\Mail\Local Folders\SPAMfighter[message.scr]
los [] indican , en el ejemplo anterior, que el archivo message.scr esta dentro del archivo SPAMfighter, asi que como hago para matarlo, abro el Thunderbird a ver que se podia hacer, la carpeta SPAMfighter estaba vacia, asi que entro a revisar opciones y me mande con la que dice “Compactar Carpeta”, recuerden que la carpeta estaba vacia pero en el disco ocupaba 150 megas, compacte y quedo en cero kb, vacia, preciosa, brillante !!!, y ya que estaba, aproveche la situacion y compacte mis 37 carpetas, pase de de casi diez gigas a poco mas de uno. Espectacular y chau virus muertos vueltos a matar !!
Parte 4: Conclusiones
- Como en las novelas policiales, no siempre el primer sospechoso es culpable, en este caso la proteccion del Nod32, del Spybot y del Thunderbird han funcionado correctamente. (esto no sabia si decirlo, no vaya a ser que … auuch de noche voy a volver a pasar el scan on line
- Un scan on line al no instalarse en la maquina es mas dificil que sea contaminado con una infeccion local, es un activex firmado, Uselo regularmente
- Compacte las carpetas del cliente de correos, no solo el backup queda mas chico sino que libera espacio en disco y sobre todo “VUELVE A MATAR A LOS VIRUS MUERTOS” .
Buen fin de semana para todos.
PD1: Los archivos sospechosos eran instaladores de Microsoft, serian “Falsos sospechosos” ?
