Troya y su maldito caballo
Llevo dos dias como loco intentando limpiar mi ordenador de un trojano que se me había colado no se como. Me ha costado trabajo pero al final creo haberlo conseguido, asi que voy a explicarlo por si alguien mas tiene el problema. No soy un novato en estos temas asi que si a mi me ha costado trabajo al usuario medio le puede costar Dios y ayuda. El trojano en cuestión es el Backdoor.TDSS.asz, un trojano especialmente resistente, pero la solución se puede aplicar a varios.
- El caballito de marras
Primer síntoma: El servidor donde tengo alojado este blog me informa hace unos tres dias que han detectado un archivo infectado. No os preocupeis que no se contagia por visitarme. Yo paso mi antivirus, el Panda, y el Ad-Aware, y ninguno me da ningún aviso, de manera que ignoro la advertencia y asumo que ha sido un falso positivo. Craso error.
Segundo síntoma: Ayer me doy cuenta de que, después de reiniciar, la página de inicio de Firefox no va, y Google parece ir normal, pero cuando se pulsa en los resultados de las búsquedas se abre una ventana nueva (malo) y además en lugar de la página deseada el navegador me lleva a páginas de spam, loterías y demás. Ya la cosa está confirmada, pero mi Panda sigue tan campante sin mostrar ni un signo de preocupación.
Tercer síntoma: Veo que el panda no se actualiza desde el dia 2, y compruebo que no puedo acceder a las páginas web de los productos mas populares anti-malware: Ad-Aware y SpyBot. Tengo que recurrir a páginas de descargas de terceros, y en ambos casos no funcionan porque no se pueden actualizar (que listo es el bicho cabrón). Puedo navegar normalmente siempre que introduzca la dirección exacta pero cualquier intento que huela a limpieza me lo impide.
Solución #1: Yo no la cumplí, pero si vosotros lo hacéis os ahorraréis mucho trabajo. Suelo tener copias de seguridad de varios meses gracias a esa maravilla llamada Acronis True Image Home 2009. Es su última versión pero yo llevo años pagando con gusto este producto y os lo recomiendo encarecidamente. La cuestión es que después de hacer limpieza hice un backup total y (La Ley de Murphy) borré todas las copias anteriores, sin saber evidentemente que estaba infectado ya en el momento de la copia. Si vosotros tenéis copia de seguridad pasad de intentar limpiar y recuperad el disco a un estado anterior. Ponerlo al dia será mas fácil, os lo aseguro.
Solución #2: Intentar aplicar las medidas anti-malware en modo seguro (safe Mode). Tampoco funciona porque el bicho se las arregla para cargarse de nuevo incluso en este modo.
Lo que al final me funcionó fue lo siguiente, pero tardé un tanto en conseguirlo:
Antes que nada estos procedimientos me sirvieron a mi, pero no necesariamente a vosotros, asi que haced lo siguiente bajo vuestra responsailidad:
1. Bajaos las utilidades siguientes:
Cureit de Dr. Web: es un antispyware que es lo suficientemente desconocido como para que el trojano no lo tenga registrado y os permita descargarlo. No os desinfectará totalmente pero “atontará” lo suficiente al trojano como para probar otras cosas.
Combofix: Éste es ya mas radical pero es el que me libró de la plaga. Después de descargarlo tenéis que cambiar el nombre a cualquier otro antes de ejecutarlo (por ejemplo, “cualquierotro.exe”)
Para obtener mejores resultados os aconsejo que desinstaleis cualquier antivirus que tengáis instalado, dado que como he dicho el Combofix es bastante invasivo y el antivirus interferirá en su funcionamiento o simplemente le impedirá actuar. No deja de ser irónico que el antivirus no detecte la enfermedad pero si la cura…
Arrancad el ordenador en modo seguro. No es imprescindible pero todo será mas fluido de esta forma. El combofix funciona en una ventana CMD y practicamente no tiene interfaz asi que no veréis gran cosa, y os reiniciará el ordenador alguna que otra vez para seguir funcionando tras el nuevo arranque.
Cuando haya terminado, y a mi incluso me provocó un pantallazo (un BSoD) deberíais poder por fin descargaros un antispyware (yo prefiero el Spybot) para que por fin pueda descargarse las actualizaciones y acabar el trabajo. Haced un escaneo completo, aunque tarde una barbaridad, para aseguraros que no quedan rastros del bicho en ninguna parte. Yo todavía tenía restos después de todo lo anterior, pero gracias al Combofix pude eliminarlo del sector de arranque por lo que todo fue mucho mas fácil.
Perdonad el largo relato pero pensé que sería interesante dejar ésto colgado por si alguien lo encuentra con el mismo problema. Como he dicho no es ésta la temática de este blog ni es un foro especializado, pero si he podido ayudaros en algo buena será la disgresión.
Ah, y no olvidéis volver a instalar el antivirus cuando todo haya pasado.
Cada dia los "hacen" más sofisticados.
Muchas gracias por tu decisión de dejarlo aquí comentado,esperemos no tener que hacer más uso de él que el que yo le he dado hasta ahora.
Saludos
Ayyy si lo hubiera pillado antes.
Me considero usuario medio bajo,y como tal,tiré de foros en su dia.No tenia ni backup ni antivirus asi que no me libré del formateo.Instalé el NOD32 y el SPYWARE DOCTOR y de momento,como la seda.
Buen relato.Saludos