¿Cómo asegurarse de que no tiene un virus cuando los antivirus no encuentran nada malicioso? (Windows 7)


16

Recientemente pasé muchas horas solucionando problemas de una computadora portátil que no podía conectarse a Internet. La computadora portátil no mostró otro comportamiento antinatural, por lo que mis primeros pensamientos fueron intentar conectarme a otras redes, probar una nueva NIC, etc. La pregunta que publiqué se puede encontrar aquí con más detalle. Una de las primeras cosas que hice fue buscar virus con MalwareBytes, eSet y Panda Cloud Antivirus ... Los 3 escaneos se ejecutaron por separado e independientemente uno del otro, y no se encontró ningún virus. Luego procedí a pasar hora tras hora resolviendo problemas, y al final simplemente llevé la computadora a un taller de reparación donde se descubrió que tenía un virus.

Mi pregunta no es subjetiva, no estoy preguntando cuál es el mejor software antivirus para usar. Me pregunto ¿cómo puedo estar seguro de que no tengo virus cuando los análisis antivirus populares y generalmente efectivos no detectan absolutamente nada?

En el pasado, mi rutina consistía en revisar la lista de procesos en ejecución y programas de inicio, y usar recursos en línea para tratar de encontrar algo malicioso. Esta rutina me pareció relativamente tonta a la vista de todos estos programas antivirus, y pensé que sería más efectivo ejecutar escaneos que buscarlos manualmente.

Obviamente, las empresas de TI tienen algún método efectivo para identificar virus, y dudo que estas empresas solo estén ejecutando un escáner de virus. Claramente, la experiencia me habría llevado a identificar mi propio problema como virus, pero siento que hay todo tipo de formas en que un virus no detectado puede manifestarse, por lo que no quiero confiar únicamente en la experiencia.

Editar:

Debo aclarar esto un poco. No estoy necesariamente buscando una lista de verificación "definitiva" de cosas que hacer para identificar virus, pero claramente hay formas de identificarlos cuando fallan nuestros análisis antivirus normales, y me pregunto cuáles podrían ser algunos de estos enfoques.


"Pensé que sería más efectivo ejecutar escaneos que mirar manualmente por mi cuenta". => Completamente incorrecto, el ser humano ( con suficiente experiencia y buena capacitación ) es un sistema de detección / eliminación de virus mucho más efectivo que cualquier solución de software actual. El software no puede superar los análisis heurísticos de personas de TI.
Sampo Sarrala - codidact.org

1
Si cuestiona la seguridad del sistema, la única solución real es formatear el sistema. Los virus que se descubrieron, estos talleres de reparación de computadoras, tienen la desagradable costumbre de encontrar cosas que en realidad no existen. Publique el archivo de registro que demostró que tenía un virus; si no pueden suministrarlo, le pediría que le devolviera su dinero. Si afirman que lo retiraron, solicite que le devuelvan su dinero, porque eso significa que en realidad nunca encontraron nada.
Ramhound

Cuando se trata de software antivirus, usted (hasta cierto punto) obtiene lo que paga. De los tres paquetes que enumera, solo eSet es aparentemente un producto AV completamente comercial, y si utilizó la "prueba gratuita" probablemente obtendrá una versión paralizada. (Tengo la impresión de que no tenías ningún producto AV en la computadora portátil para empezar, y solo trataste de cerrar el portal agrícola después de que los bovinos estuvieran al alcance).
Daniel R Hicks

Pruebe ComboFix , es un buen detector de malware.
avirk

¿Tenía Mcafee por casualidad? Pasé 4 horas resolviendo un problema similar y resultó que Mcafee envió un parche incorrecto, lo que hizo imposible la creación de redes.
Phillip R.

Respuestas:


13

Ningún paquete antivirus es perfecto. Había visto virus que envío a http://virusscan.jotti.org/en y solo 2 o 3 de los paquetes los detectan. También he tenido un virus que todos informaron que estaba limpio.

Entonces, si necesito limpiar / escanear una máquina en busca de virus, estas son algunas de las cosas que hago.

Comprobación preliminar

Verifique y posiblemente elimine los archivos en la carpeta temporal y también los archivos temporales de Internet. Si hay diez de miles de archivos o más, eliminarlos puede reducir significativamente el tiempo que lleva realizar un análisis completo. Sin embargo, es posible que esto elimine un virus almacenado en estas ubicaciones antes de que pueda identificarse.

Nivel 1

Inicie un CD / DVD limpio, por ejemplo, un CD de Bart o un CD especial de AntiVirus

  • Ejecute análisis con varios programas antivirus, antimalware y rootkit diferentes
  • Configure Explorer para mostrar archivos y carpetas ocultos y busque los archivos que se agregaron recientemente a la carpeta raíz, Windows, Windows \ System32 y las carpetas de archivos de programa. También busque archivos y / o carpetas ocultos en esos lugares. La presencia de dichos archivos no significa necesariamente un problema, pero generalmente trato de identificarlos para asegurarme de que sean legítimos)

Etapa 2

Arrancar en el sistema operativo normalmente

  • Ejecute análisis con varios programas antivirus, antimalware y rootkit diferentes
  • Ejecute programas como Autoruns y Hijackthis que muestran todo lo que se inicia automáticamente o las cosas que se conectan a Windows (por ejemplo, complementos a Windows). Ninguno de estos programas trata de determinar qué es bueno y qué es malo, sino que le brindan información y usted decide si las entradas son válidas.
  • Ejecute TaskManager o Process Explorer para ver qué procesos se están ejecutando.
  • Busque en Agregar / quitar programas y ver qué tipo de programas se han reinstalado y eliminar cualquier basura. No quiero mencionar ningún nombre, pero hay algunas barras de herramientas, juegos de póker y algunos programas para compartir archivos que siempre parecen causar programas y, con bastante frecuencia, el usuario / propietario de la computadora no los instaló deliberadamente. (Por ejemplo, barras de herramientas que se incluyen con otros programas)

Etapa 3 (si el tiempo lo permite)

  • Reinicie en Windows y conéctese a Internet y déjelo por un tiempo y luego repita la Etapa 1 para asegurarse de que la máquina todavía esté limpia.

Etapa 4

  • Mantenga los dedos cruzados y / o ore para que la máquina esté limpia.

Te doy la respuesta porque has proporcionado una buena rutina aquí que creo que sería muy efectiva. Seguiré estos pasos la próxima vez que me encuentre con un virus no detectado antes de recurrir a killdisking / reformateado.
JonathonG

Tengo una imagen limpia (con aplicaciones y actualizaciones) a la que restauro cada año más o menos, por lo que incluso si algo astuto encuentra su camino en mi sistema, eventualmente se eliminaría.
Austin '' Peligro '' Powers

5

Cómo asegurarse de que no tiene un virus cuando los antivirus no encuentran nada

No puedes

Sin embargo, si desea asegurarse de que un virus no esté causando problemas con el acceso a Internet, simplemente inicie desde un CD en vivo o USB. Si eso no puede acceder a Internet, puede tener un problema de hardware. Preferiblemente uno creado en un sistema diferente y limpio.


Sé que no puedes estar 100% seguro, pero tiene que haber mejores formas que SÓLO ejecutar escáneres antivirus de la corriente principal, que nunca parecen ser 100% efectivos para mí. En cuanto a su sugerencia, generalmente hago un arranque a un sistema operativo alternativo a través de medios limpios y portátiles, generalmente Ubuntu. Sin embargo, en este caso en particular no tenía eso como opción. Además, en el caso de que un sistema operativo limpio acceda con éxito a Internet, eso solo me dice que puedo esperar buscar un problema con mi sistema operativo / archivos / controladores normales, no necesariamente cómo puedo encontrar ese problema (ya sea virus o no.)
JonathonG

@JonathonG: No comparto tu convicción. Las empresas de TI utilizan AV comerciales. Las únicas otras técnicas son las sumas de verificación producidas usando un CD en vivo limpio, comparado diariamente (por ejemplo) con las sumas de verificación almacenadas en medios que nunca están conectados a sistemas vulnerables que no sean arrancados desde un CD en vivo. Aquí hay un artículo antiguo pero interesante que no ayudará directamente :-)
RedGrittyBrick

Gracias. Entiendo que las soluciones "AV comerciales" serán diferentes de algo como el escaneo gratuito de eSet. Sin embargo, todavía tengo que preguntarme por qué es que 3 escáneres de virus completamente actualizados no pudieron encontrar ni un solo archivo malicioso, y el escáner de virus de la compañía de TI lo encontró sin ningún problema.
JonathonG

@JonathonG: Solo podemos especular: tal vez corrieron un AV diferente y tuvieron suerte. Tal vez configuraron un AV para ejecutar las comprobaciones más rigurosas (y, por lo tanto, las pruebas más intensivas en tiempo y CPU que los usuarios comunes no toleran).
RedGrittyBrick

0

No soy un analista de malware, pero compartiré mis pocos conocimientos con usted. Mis dos centavos -

Busque cosas como: archivos extraños en su inicio, carpeta de Windows y grandes fluctuaciones en el espacio libre en el disco duro. A veces los nombres de archivo de malware son similares a los nombres de archivos del sistema operativo Windows como svchost%%% .exe o Splwow64% .exe, etc. También, busque los procesos de "extraños" en el administrador de tareas.

No puede estar seguro de que un AV incluso podrá detectar un malware escrito y detectado hace 1 año. Cómo ? Si este malware se encripta correctamente, se volverá indetectable. Cifrados se pueden comprar en los mercados ilegales en línea. Aquí hay un video que anuncia una criptomoneda con muchas características. Sin embargo, no sé cuán efectivo es hacer FUD de malware.

http://www.youtube.com/watch?v=wlaO7flygKQ

Además, considere convertirse en un miembro de bleepingcomputer.com. En mi humilde opinión, es un mejor lugar para pedir este tipo de preguntas y para la lectura de tutoriales gratuitos para asegurar los ordenadores personales y también para las estrategias anti-malware.

HTH


-3

Para cualquier virus hecho por un programador competente, lo que se ha mencionado no es suficiente, por suerte la mayoría de virus son realizados por de 15 años de edad, utilizando Visual Basic. No era una broma, es un hecho, pero aquí hay algo más de información.

Debido a que Microsoft es tan "genial", NTFS tiene una forma de ocultar archivos, se llama flujos de datos alternativos, no hay nada visible a través del explorador o la línea de comandos, algunos antivirus ni siquiera lo escanean, erreech.

Asegúrese de que está utilizando Windows 8 o rallador, ha habido algunas actualizaciones de seguridad con retraso que "impiden" la manipulación directa de objetos del núcleo, antes de que fuera tan fácil como unas pocas líneas de código y pudiera ocultar un proceso de la lista de procesos.

La mayoría de los virus están hechos exclusivamente para Windows, pero Windows tiene una mejor seguridad en muchos aspectos, como la protección de la memoria.

La mejor defensa contra los virus es el conocimiento, capacitar a las personas y hacer que sigan las reglas de seguridad, por ejemplo, no descargar nada que no sea hecho por compañías confiables.


Gracias por la respuesta, sé que la pregunta fue un poco ridícula. Ahora estoy en Windows 10 pero me estoy moviendo hacia Linux para todas mis necesidades de desarrollo.
JonathonG

Actualicé mi publicación y cambié algunos de mis conceptos erróneos.
Aaron

1
Comenzando con estadísticas inventadas (la mayoría de los virus son creados por adolescentes con VB). Continuando con basura aleatoria ("excelente" NTFS, flujos de datos alternativos). Terminando con información innecesaria (la mayoría de los virus están hechos para Windows). Nada de esto responde a la pregunta: ¿cómo puedo estar seguro de que no tengo un virus a pesar de que los escáneres me lo han dado todo? "La mejor defensa es el conocimiento" ... eso es lo que se preguntó sobre un claro que no se proporciona aquí ...
WernerCD
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.