Autoruns (2/2): eliminación de virus

En otro post discutimos la capacidad de Autoruns para eliminar elementos innecesarios del arranque del sistema, disminuyendo el tiempo de inicio y liberando recursos; interesante pero no imprescindible. Un tema muy distinto es la eliminación de virus y ahí si que destaca Autoruns, ya que podemos usarlo para eliminar la mayoría de estos programas.

El mecanismo de transmisión de los virus informáticos es clásico: primero los ejecutamos en nuestro sistema de alguna forma (archivos infectados, rutinas descargadas automáticamente por nuestro navegador en alguna página contaminada, etc), momento en el que ellos aprovechan para engancharse al arranque. A partir de ahi, cada vez que iniciamos nuestro ordenador se inicia el virus, que se encargará de hacer sus monerías.
Los virus modernos se defienden; algunos bloquean el acceso al escritorio (el famoso virus de la Policía), otros bloquean el acceso del navegador si ve que estamos intentando acceder a páginas que tengan información o programas que los eliminen, y casi todos incluyen una rutina de cierre, de forma que si detenemos su proceso éste comprueba que sigue activado el arranque del inicio y para colmo vuelve a abrirse automáticamente.

Vamos, que resulta muy difícil eliminar un virus activo en nuestro equipo.

Ahora bien, Windows dispone de la opción de arrancar en modo seguro; este método inicia el sistema con sólo los procesos mínimos y, con suerte, evitará que el virus se ejecute. De esta forma podremos desactivar su inicio con Autoruns, y a partir de ahi limpiarlo con un antivirus cualquiera, preferiblemente uno online.

Los pasos a seguir son los siguientes:
1- Descargar Autoruns y saber cómo funciona (ver mi post sobre este tema).
2- Encender el ordenador pulsando F8 de forma repetitiva hasta que aparezca la pantalla de modo seguro.

Importante: en algunos equipos la pulsación de F8 hace que aparezca un menú para la selección de la unidad de arranque (DVD-ROM, HDD, etc); seleccionaremos el disco duro (probablemente se llamará HDD “algo”) y a la vez que pulsamos Intro continuaremos con F8 para acceder al modo seguro.

3- Una vez en el menú seleccionaremos Modo seguro, o Modo seguro con funciones de red si queremos acceder a Internet durante la reparación.

4- Después de un buen rato terminará el arranque de Windows, preguntándonos justo antes si queremos hacer una Restauración del sistema, a lo que responderemos que no (aunque también es una buena opción si queremos eliminar problemas recientes del equipo).

5- Ya sólo queda ejecutar Autoruns, localizar el programa nocivo y desactivar su arranque. Esto es mas fácil de lo que parece, ya que nunca vienen firmados digitalmente, por lo que la tercera columna de Autoruns (Publisher) aparece en blanco (ojo, la ausencia de certificado sólo es una pista, ya que muchos programas legítimos también carecen de firma digital).

6- Para terminar reiniciaremos el sistema normalmente. El virus debería estar desactivado, pero si queremos estar más seguro podemos ejecutar algún antivirus online y realizar una limpieza completa, que ahora no se verá estorbada por los sistemas de defensa del virus.

Un último comentario: los Rootkits modifican el sistema operativo para ocultar su arranque de forma efectiva, por lo que no sólo el método anterior no funcionará con ellos, sino que en la práctica son extremadamente difíciles de eliminar, optándose muchas veces por la reinstalación.

Afortunadamente los archivos de sistema están muy protegidos, sobre todo si tenemos un antivirus residente, por lo que no es habitual que nos invada un Rootkit, y en los demás casos Autoruns suele sacarnos del problema.