COMO SOLUCIONAR EL TROYANO QUE SUPLANTA A LA POLICIA Y SECUESTRA EL ORDENADOR.
Y a partir de aquí el troyano se basa en los sistemas de pago online Ukash y Paysafecard.
De momento la mejor forma de eliminarlo temporalmente es:
· Entrar en modo seguro en el equipo
· Pasar malwarebytes, pasarlo en modo rapido y completo.
Opcion 2
· Usar erd commander
· restaurar sistema a una fecha en la que funciona ok
· despues pasar un antivirus de confianza
El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza “explorer.exe” cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de “pintar” el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una “shell”
(explorer.exe): uno específico para el usuario, y otro para el sistema completo.
Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas.
Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.
En XP, la rama del registro que modifica es:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Añadiendo en la directiva “shell”, el nombre del troyano, por ejemplo:
Shell=Explorer.exe, troyano.exe
Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.
En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Aquí crea otra directiva llamada shell, con la ruta del troyano.
En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.
Para eliminar los permisos de las ramas del registro, primero hay que “desheredar” los permisos de las ramas superiores, eliminando la casilla “Incluir todos los permisos heredables del objeto primario de este objeto”, y copiándolos.
Luego eliminamos los permisos de escritura, para administradores y usuarios.
Si se quiere ser más específico, se puede eliminar solamente el permiso de “Crear subclave”.
Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto, no nos responsabilizamos de cualquier uso indebido del registro, o consecuencias indeseadas en el sistema a causa de esta modificación.
Estoy preparando un archivo Bat (archivos de ejecución por lotes), para que este proceso sea automático. El sistema funciona igual que el archivo Bat que ya hice para eliminar, el mensaje de los Windows piratas.
Mientras tanto si tenéis alguna duda, no dudéis en preguntar.
© Joan Tudela.
No hay comentarios:
Publicar un comentario