Eliminar los rootkits del ordenador

Agosto 2017


¿Qué es un "rootkit"?


Un rootkit es un programa malicioso que es utilizado por una persona malintencionada y que disimula la presencia de programas nefastos ante el usuario del sistema y de los programas de seguridad (antivirus, cortafuego).

Ciertos Rootkits instalan backdoors (por ejemplo los programas troyanos). Contrariamente a los virus o a los gusanos, los rootkits no son capaces de duplicarse.

Para instalar un rootkit, es necesario tener los derechos de administrador de la máquina. Detectar su presencia es más complicado que para otro malware.

Las principales acciones de los rootkits son:
  • Modificar el funcionamiento del sistema operativo y eventualmente su núcleo.
  • Son invisibles (procesos escondidos), lo que los hace difíciles de desinfectar.


Observación:

La mayoría de los internautas utiliza cuentas de administrador en lugar de utilizar una cuenta limitada y esto facilita fuertemente la instalación de rootkits en la máquina.

Métodos de desinfección


Puede que uno de los métodos, citados en el presente artículo, no sea eficaz. En este caso, puedes hacer tu pregunta en el foro en la categoría de seguridad de CCM y una persona te podrá ayuda con más detalles sobre tu problema.

Preliminar


Desactivar al residente de Spybot
  • Importante: si tienes TeaTimer (el residente de Spybot), desactívalo si no va a molestar la desinfección impidiendo la modificación del BHO y la reparación del registro.
    • Inicia Spybot, haz clic en Modo, puntea Modo avanzado.
    • A la izquierda, haz clic en Herramientas, luego en Residente
    • Deshabilita la casilla "Residente TeaTimer (Potección de la configuración del sistema) activa", luego sal de Spybot:




Nota importante:

Luego de que la desinfección termine y no antes, reactiva "TeaTimer". Pero atención, en este momento, "TeaTimer" de Spybot propondrá, mediante varios pop-up, aceptar o no modificaciones de registro (que aparecen durante la desinfección); habrá que aceptar todas sin excepción.

Luego, habrá que estar vigilante cuando "TeaTimer" de alertas, acepta una modificación únicamente si conoces la procedencia.

Primer método utilizando Gmer


Gmer es un detector de rootkits potente.

Utilización :
  • Anda al sitio web de Gmer y haz clic en "Download EXE" para descargar Gmer con un nombre aleatorio (Para engañar al Rootkit).
  • Inicia Gmer.
  • El programa se inicia y hace un auto scan (aparece la ficha: Rootkit/Malware).
  • Líneas rojas deben aparecer en caso de infección:
    • En estas líneas rojas:
      • Services: clic derecho, luego delete service.
      • Process: clic derecho, luego kill process.
      • Adl, file: clic derecho, luego delete files.


¿Cómo saber si se trata de un rootkit? Cuando Gmer encuentra un rootkit o un archivo escondido (hidden) esta línea se vuelve roja.

Las líneas que debería ver (en caso de infecciones) tienen las siguientes extensiones:
  • .dat
  • .exe
  • _nav.dat
  • _navps.dat
  • .sys


Ejemplo de infección:

C:Users\crilaud\AppData\Local\igeysiy.dat
C:Users\crilaud\AppData\Local\igeysiy.exe
C:Users\crilaud\AppData\Local\igeysiy_nav.dat
C:Users\crilaud\AppData\Local\igeysiy_navps.dat

O muchos son archivos ".sys" en \System32\Drivers

Segundo método utilizando MalwareBytes' Anti-Malware



MalwareBytes' Anti-Malware (MBAM) es un excelente programa para detectar o eliminar los Malwares de todos los géneros (entre ellos los rootkits) utilizando métodos de análisis muy sofisticados.

MalwareBytes' Anti-Malware es un programa gratuito utilizado en numerosos foros de desinfección y también por el público en general.

Para más información sobre MalwareBytes Anti-Malware revisa el tutorial de MalwareBytes' Anti-Malware.

Tercer método utilizando una consola de recuperación


Gracias a la consola de recuperación puedes reparar Windows (en caso de pérdida de archivos vitales, por ejemplo) pero también permite neutralizar los rootkits. Para ello basta con eliminar su driver.

Cuarto método: Super antispyware

  • Descarga SUPERAntiSpyware (SAS), luego instálalo y actualízalo.
    • Para examinar tu ordenador con SUPERAntiSpyware, haz clic en el botón: Examina su computadora.
    • En la nueva ventana, puedes elegir en la parte de la izquierda los elementos a examinar (discos, particiones, carpetas).
    • En la parte de la derecha, el tipo de búsqueda. Puedes utilizar el Perform Quick Scan.

Quinto método: Combofix

  • Es aconsejado pedir una opinión antes de efectuar Combofix que es una herramienta muy potente.
  • Descarga ComboFix (de sUBs) en tu escritorio.
  • Desactiva temporalmente toda protección residente (Antivirus, Antispywares, etc.).
  • Haz doble clic en ComboFix.exe (en Windows Vista, hay que hacer clic derecho en Combofix.exe y escoger Ejecutar como administrador).
  • Acepta la licencia haciendo clic en Sí.
  • El programa va a preguntarte si deseas instalar la Consola de Recuperación. Es una precaución, en caso de que el ordenador tenga una avería. Es recomendable instalarlo, no cuesta nada y podría ser potencialmente útil.
  • Cuando la operación termina, un reporte aparecerá.
  • El reporte se encuentra aquí: %SystemDrive%ComboFix.txt (%systemdrive% siendo la partición donde es instalado Windows; C: en général).

Remover Rootkit con Mcafee

  • Descarga el programa aquí
  • Inicia y sigue el procedimiento.

Trend Micro RootkitBuster


Verificación


Es aconsejado hacer un escáner en línea para verificar que no quedan aplicaciones infectadas. Te dejamos una lista de antivirus en línea.

Desactivación o reactivación de la restauración del sistema


Es necesario desactivar y luego reactivar la restauración sistema para purgarla ya que los puntos de restauración pueden estar infectados:

Otros programas para eliminar antirootkits

Consulta también

Artículo original escrito por . Traducido por Carlos-vialfa. Última actualización: 24 de julio de 2013 a las 17:36 por Carlos-vialfa.
El documento «Eliminar los rootkits del ordenador» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.