Cómo eliminar el rootkit W32.TDSS

Agosto 2017


Qué es el rootkit W32.TDSS

Un rootkit es un conjunto de programas que tienen por finalidad tomar el control de un PC como root. Es un programa malicioso muy complejo que se instala en la computadora e incluso, a veces, en el mismo núcleo del sistema. Es capaz de tomar el control de un ordenador sin ser detectado.

Dicho de otro modo, es un conjunto de programas que permiten a los hackers instalarse en un PC (ya infectado o explotando una falla de seguridad) e impedir su detección. Una vez instalado, el rootkit se convertirá en el administrador del sistema. Todos los programas, incluidos los antivirus y antispywares, deben pasar por él antes de realizar cualquier acción. La expansión de los rootkits se ve favorecida por el hecho que la mayoría de los usuarios de Windows trabajan con los derechos de administrador, lo que facilita su instalación.

El rootkit W32.TDSS también es llamado Tidserv, TDSServ, Alureon, TDL3. Para mayor información sobre los rootkits, haz clic aquí (enlace a Wikipedia).

Ejemplos de síntomas de presencia del rootkit W32.TDSS

Es posible detercar la presencia de este tipo de rootkit si notas redirecciones de páginas, bloqueos de programas de seguridad, etc.

Ejemplos del rootkit TDSSserv

C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.da
C:\WINDOWS\system32\drivers\tdssserv.sys
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSqoaa.log

Las últimas variantes son reconocidas por una serie de letras kizeuiqjdjqklmhehujdk > (aleatorio)...

c:\windows\system32\drivers\kbiwkm(aleatorio).sys
c:\windows\system32\kbiwkm(aleatorio).dat
c:\windows\system32\kbiwkm(aleatorio).dll

c:\windows\system32\drivers\UAC(aleatorio).sys
c:\windows\system32\UAC(aleatorio).dll
c:\windows\system32\UAC(aleatorio).dat

c:\windows\system32\drivers\seneka.sys
c:\windows\system32\seneka(aleatorio).dll
c:\windows\system32\seneka(aleatorio).dat

c:\windows\system32\drivers\ESQUL(aleatorio).sys
c:\windows\system32\ESQUL(aleatorio).dll
c:\windows\system32\ESQUL(aleatorio).dat

c:\windows\system32\drivers\geyek(aleatorio).sys
c:\windows\system32\geyek(aleatorio).dll
c:\windows\system32\geyek(aleatorio).dat

C:\windows\system32\drivers\hjgrui(aleatorio).sys
c:\windows\system32\hjgrui(aleatorio).dll
c:\windows\system32\hjgrui(aleatorio).dat

c:\windows\system32\drivers\gxvxc(aleatorio).sys
c:\windowssystem32\gxvxc(aleatorio).dll
c:\windowssystem32\gxvxc(aleatorio).dat

c:\windows\system32\drivers\MSIVX(aleatorio).sys
c:\windows\system32\MSIVX(aleatorio).dll
c:\windows\system32\MSIVX(aleatorio).dat

c:\windows\system32\drivers\SKYNET(aleatorio).sys
c:\windows\system32\SKYNET(aleatorio).dll
c:\windows\system32\SKYNET(aleatorio).dat

c:\windows\system32\drivers\kungsf(aleatorio).sys
c:\windows\system32\kungsf(aleatorio).dll
c:\windows\system32\kungsf(aleatorio).dat

Lamentablemente, la lista sería demasiado larga para enumerarla aquí, pero estos son una buena parte de los rootkits más comunes en la actualidad y las últimas variantes conocidas.

Cómo detectarlo

HijackThis no detecta la infección TDSS.

Será necesario utilizar una herramienta de diagnóstico como Random's System Information Tool (RSIT) o Gmer (por el momento, Gmer no es compatible con Windows 7).

Qué hacer antes de eliminar el rootkit W32.TDSS

Antes de eliminar el rootkit W32.TDSS, verifica que hayas hecho esto.

Quitar W32.TDSS con Random's System Information Tool (RSIT)

Descarga Random's System Information Tool (RSIT) en el Escritorio. Haz doble clic en RSIT.exe para ejecutar el programa (si tienes Vista y 7, deberás hacer clic derecho en RSIT.exe y seleccionar Ejecutar como administrador). Verás una nueva ventana, haz clic en Continue.

Si HijackThis (versión actualizada) no se encuentra o no es detectado en tu PC, RSIT lo descargará (si el cortafuegos te solicita permiso, acepta), deberás aceptar la licencia. Al terminar el análisis se abrirán dos archivos de texto. Publica en el foro Virus y Seguridad de Kioskea el contenido de log.txt (el que aparece en pantalla) y de info.txt (que aparece en la barra de tareas).

Desinstalar el rootkit W32.TDSS con Gmer

Descarga Gmer en tu Escritorio. Descomprímelo en una carpeta especial o en tu Escritorio. Desconéctate de Internet y cierra todos los programas. Haz doble clic en Gmer.exe (o clic derecho y selecciona Ejecutar como administrador). Te aparecera lo siguiente:

Haz clic en la pestaña Rootkit, luego marca únicamente las casillas Files, Services y Registry y haz clic en Scan. Cuando termine el scan, haz clic en Copy.

Abre el bloc de notas, luego haz clic en el menú Edición y selecciona Pegar. El reporte será copiado al bloc de notas. Guarda el archivo en tu Escritorio y publica el contenido en el foro de Virus y Seguridad de Kioskea.

También puedes utilizar otras herramientas de diagnóstico para detectar esta infección.

Métodos de desinfección

Varias herramientas pueden ser utilizadas para erradicar esta infección. Lo recomendado es pasar como mínimo dos herramientas y luego ver con un programa de diagnóstico si la infección está aún presente.


Puede darse el caso de que no puedas descargar directamente las herramientas en tu equipo. En esta situación deberás cambiarles el nombre al momento de descargarlas. Si aún así no consigues descargar los programas, te recomendamos que solicites ayuda en el foro.

Eliminar W32.TDSS con Combofix

Descarga Combofix (de sUBs) en tu Escritorio. Desactiva temporalmente cualquier protección residente (antivirus, antispywares, etc.). Haz doble clic en ComboFix.exe (si estás en Vista, haz clic derecho sobre ComboFix.exe y selecciona Ejecutar como administrador).

Acepta la licencia. El programa te preguntará si quieres instalar la Consola de recuperación. Es por precaución, en caso de que tengas algún problema con tu sistema. Te recomendamos instalarla.

Cuando la operación haya terminado, aparecerá un reporte. Publica el informe en el foro.

El reporte se encuentra en: %SystemDrive%\ComboFix.txt (%SystemDrive% es la partición donde está instalado Windows, por lo general C:\).

Consulta también: Cómo utilizar Combofix.

Quitar W32.TDSS con Malwarebytes' Anti-Malware

Sigue este tutorial.

Usar TDSS Remover para eliminar W32.TDSS

Descarga TDSS Remover en el Escritorio. Crea una nueva carpeta allí y descomprime el archivo. Ejecuta el programa haciendo doble clic en Remover.exe, el análisis se hace de manera automática. Si la infección es detectada, los elementos ocultos (hidden) serán mostrados. Selecciónalos y haz clic en Delete/Repair Selected. Aparecerá un mensaje solicitándote reiniciar el PC (reboot). Para terminar la eliminación, pulsa YES.

Eliminar W32.TDSS con TDSSKiller de Kaspersky

Descarga TDSSKiller en el Escritorio. Crea allí una nueva carpeta y descomprime el archivo. Ejecuta el programa; para eso, haz doble clic en TDSSKiller.exe. El análisis se hace de manera automática. Si la infección es detectada, los elementos ocultos (hidden) serán mostrados. Luego seleccionalos y haz clic en Delete/Repair Selected.

Puede aparecer un mensaje solicitándote reiniciar el PC (reboot) para terminar la limpieza, pulsa Y para reiniciar el PC.

Información adicional sobre esta herramienta aquí.

Cómo saber si se ha eliminato el rootkit W32.TDSS de tu PC

Es recomendable hacer un análisis en línea para comprobar que no existan aplicaciones infectadas. Entra a la página de escáner Kaspersky en línea (con Internet Explorer). Haz clic en Kaspersky Online Scanner y, en la nueva ventana, haz clic en Aceptar. Acepta los Controles ActiveX. Selecciona Mi PC para efectuar el análisis. Una vez terminado, guarda el reporte en tu Escritorio.

Si necesitas ayuda, consulta Cómo escanear tu PC en línea con Kaspersky.

Nota: Si te aparece el mensaje La licencia de Kaspersky On-line Scanner ha expirado, ve a Agregar o quitar programas y desinstala On-line Scanner, entra nuevamente a la página de Kaspersky y vuelve a intentar hacer el análisis en línea.

Si el análisis en línea de Kaspersky no está disponible, puedes utilizar Panda en línea o BitDefender en línea.

Desactivar/reactivar la opción Restaurar sistema

Es necesario desactivar y luego reactivar Restaurar sistema para purgar tu PC, ya que los puntos de restauración pueden estar infectados. Cómo hacerlo si tienes Windows XP.

Consulta también

Publicado por Carlos-vialfa. Última actualización: 3 de febrero de 2015 a las 19:17 por Carlos-vialfa.
El documento «Cómo eliminar el rootkit W32.TDSS» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.