Como matar virus muertos (o no tan muertos)

Parte 1:  Como surgen los nerviosismos

Ayer hablando con Camilo Antoria me comentaba que tenia sospechas de tener un troyano y que su antivirus no lo estuviera encontrando etc etc, a lo que le sugeri hacer un scan on line; al rato me dejo preocupado si no me estaria pasando lo mismo ya que tenemos el mismo antivirus, asi que me decidi a limpiar el cache de los browsers y  a dejar pasando toda la noche  el dichoso scan on line, use el Panda, lo comento por ser justo con el producto, yo uso el Nod32, y por aquello de que una segunda opinion nunca esta demas, use el scan on line de otra marca.

Parte 2: Se viene el resultado

Hoy de mañana, en cuanto recobre la conciencia fui corriendo a “ver” mi notebook,  encuentro que tenia el siguiente resumen y ahi empece a hablar en lenguas extrañas, esas que llevan * # ? ¡ y otros caracteres raros en las palabras 🙂

3 archivos sospechosos (.exe)

3 virus/troyanos

8 Trackingcookies

8 hacktools (exploit/iframe)

11 virus/worm (W32/Tearec.A.worm!CME-24)

18 virus (W32/Netsky.P.worm,W32/DownFrame.B y otros)

Auuuuchhh, antes de ponerme sicotico del todo descubro en el informe una columna llamada “Active” y otra “Desinfectable” asi que esas columnitas me dejaron comenzar el dia tranquilo todos estaban Active = no & desinfectable = yes 🙂

El informe del scan on line se puede salvar como texto, e incluye la ruta al archivo infectado, asi que lo salve para poder estudiarlo, me desconecte de la red y buena sorpresa cuando encuentro que todos los archivos encontrados, excepto 3, estaban en la carpeta SpamFighter del Thunderbird, mi cliente de correo.

Parte 3: Y ahora como mato los virus muertos !!

Ya con aire triunfalista, habil como el mejor y teniendo la ruta de los archivos abro el explorador de “guindou” para eliminar uno a uno los archivos y listo, era cuestion hasta infantil esa matanza, iba barbaro navegando el extenso path  hasta que me pego contra un muro: esos archivos estan dentro de un archivo contenedor grrrrrrrrrrrrrr y ahora quien podra defenderme ?

C:\Users\gabriel\AppData\Roaming\Thunderbird\Profiles\pu3fc5fo.default\Mail\Local Folders\SPAMfighter[message.scr]

los [] indican ,  en el ejemplo anterior, que el archivo message.scr esta dentro del archivo SPAMfighter, asi que como hago para matarlo, abro el Thunderbird a ver que se podia hacer, la carpeta SPAMfighter estaba vacia, asi que entro a revisar opciones y me mande con la que dice “Compactar Carpeta”, recuerden que la carpeta estaba vacia pero en el disco ocupaba 150 megas, compacte y quedo en cero kb, vacia, preciosa, brillante !!!, y ya que estaba, aproveche la situacion y compacte mis 37 carpetas, pase de de casi diez gigas a poco mas de uno. Espectacular y chau virus muertos vueltos a matar !!

Parte 4: Conclusiones

  • Como en las novelas policiales, no siempre el primer sospechoso es culpable, en este caso la proteccion del Nod32, del Spybot y del Thunderbird han funcionado correctamente. (esto no sabia si decirlo, no vaya a ser que … auuch de noche voy a volver a pasar el scan on line
  • Un scan on line al no instalarse en la maquina es mas dificil que sea contaminado con una infeccion local, es un activex firmado, Uselo regularmente 🙂
  • Compacte las carpetas del cliente de correos, no solo el backup queda mas chico sino que libera espacio en disco y sobre todo “VUELVE A MATAR A LOS VIRUS MUERTOS” .

Buen fin de semana para todos.

PD1: Los archivos sospechosos eran instaladores de Microsoft, serian “Falsos sospechosos” ?

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: