Normalmente, el malware está programado para permanecer infectado en el sistema el mayor tiempo posible con el fin de robar más información de la computadora a través del registro de teclas, para continuar propagando e infectando otras computadoras en la red, o para ser parte de una red de bots que espera que su maestro ordenarles que inicien un ataque DDoS. Para permanecer infectado, además de no ser detectado, debe ejecutarse automáticamente cuando se inicia Windows. Una de las formas de descubrir una infección en Windows es verificando en los lugares de inicio cualquier entrada sospechosa.
El método más básico para verificar los elementos de inicio es usar la herramienta de configuración del sistema (msconfig.exe) incorporada en Windows, pero desafortunadamente los puntos que se están verificando no están completos, pueden deshabilitarse fácilmente mediante un simple hack de registro y MSConfig no lo hace. decirle qué entradas no son seguras. Hijack: solía ser una herramienta popular para analizar una computadora infectada con malware que incluye entradas de inicio en el resultado del escaneo, pero desafortunadamente ha sido reemplazada por la mayoría de las otras herramientas del mismo tipo.
Aquí hay 6 herramientas gratuitas que puede usar para analizar los elementos de inicio, incluidas las ubicaciones difíciles que no figuran en msconfig. 1. Emsisoft HiJackFree
HiJackFree es una herramienta de análisis de sistema gratuita ofrecida por Emsisoft, el creador del popular software Anti-Malware para usuarios avanzados para detectar malwares y eliminarlos de la computadora. Para verificar las entradas de inicio, haga clic en las Ejecuciones automáticas en la barra lateral izquierda donde se enumeran los elementos que se inician en función de los diferentes métodos. Lo que realmente nos gustó de HiJackFree es que intentará determinar automáticamente si las entradas son seguras o inseguras y las etiquetará con un código de colores para una identificación más fácil.
Si tiene una conexión a Internet activada, puede hacer clic en el icono de actualización ubicado en la parte superior derecha que dice "Actualizar datos en línea automáticamente" cuando el cursor del mouse lo está pasando. Esto verificará los elementos de inicio con los datos más recientes para proporcionar un análisis más preciso y actualizado. Puede deshabilitar temporalmente el inicio del elemento desmarcando la casilla de verificación, editar, eliminar e incluso agregar nuevas entradas de inicio. También vale la pena comprobar la pestaña Servicios porque es otro método de inicio que el programa puede ejecutar incluso antes de que el usuario inicie sesión en Windows.
Además de analizar las áreas de inicio, HiJackFree también puede mostrar información detallada sobre los procesos en ejecución, los puertos que se abren por proceso, complementos de Explorer, LSP, entradas de archivos HOSTS e ActiveX instalado en un sistema Windows. Si desea obtener un informe del análisis HiJackFree, puede hacer clic en el botón Análisis en línea ubicado en la parte superior derecha donde se generará un archivo de registro y se cargará automáticamente al sitio web de Emsisoft para su análisis. Una vez que se completa el análisis, la página web de detalles se abrirá utilizando su navegador web predeterminado.
Descargar Emsisoft HiJackFree
2. Runscanner
Runscanner es un analizador de inicio gratuito y portátil que viene en dos modos: principiante y experto. Básicamente, el modo de principiante está destinado a escanear y crear un archivo de registro y "ejecución" para que un especialista en malware lo revise. En cuanto al modo experto, es donde puede ver todos los elementos de inicio y también corregirlos si encuentra algo sospechoso. En lugar de solo enumerar todos los elementos de inicio, Runscanner lo hace fácil al enumerar solo las entradas que no están en su lista blanca. Los elementos enumerados no necesariamente indican que no son seguros, sino que solo requieren atención adicional para asegurarse de saber de dónde provienen.
Para eliminar un elemento de inicio, haga doble clic en la entrada para colocar un cheque. Luego, vaya a la pestaña Reparador de elementos, donde puede revisar los elementos que desea eliminar. Para confirmar la eliminación de los elementos, haga clic en el botón Reparar elementos seleccionados. También puede hacer doble clic en una entrada en la pestaña Reparador de elementos para eliminar el elemento de la lista. Cualquier elemento de inicio que se elimine de Runscanner se puede restaurar desde la pestaña Extra cosas> Historial / copias de seguridad.
Runscanner también viene con funciones adicionales para investigar sobre los módulos cargados, asesino de procesos con la capacidad de eliminar en el próximo reinicio y cargar los archivos en VirusTotal para escanear con más de 40 programas antivirus diferentes.
Descargar Runscanner
3. Autoruns
Autoruns es una de las herramientas portátiles más populares utilizadas para analizar programas de inicio en Windows creados por Sysinternals y adquiridos por Microsoft. Esta herramienta es más para usuarios avanzados porque no viene con la capacidad de reconocer elementos peligrosos o inseguros. Utiliza codificaciones de color para algunos elementos, como el amarillo para los archivos que no se encuentran y el rojo para los elementos que no tienen información de propiedad del archivo.
Puede deshabilitar temporalmente la entrada de inicio desmarcando la casilla de verificación. Cuando encuentre que los cambios realizados son seguros, puede eliminar permanentemente la entrada utilizando el menú contextual del botón derecho. De forma predeterminada, también oculta las entradas de Windows para evitar que desactive erróneamente una entrada de inicio importante que hará que Windows no se inicie porque restaurar los cambios editando el registro sin iniciar en Windows puede ser todo un desafío.
Descargar Autoruns
4. Online Solutions Autorun Manager
Online Solutions Autorun Manager, abreviatura de OSAM, es otro analizador de inicio que viene con la capacidad de escanear las entradas de inicio utilizando su Online Malware Scanner. El escáner de malware en línea de OSAM básicamente toma los procesos hash y los compara con su base de datos. Después del escaneo, se agrega un nivel de riesgo al análisis para que pueda ignorar los que son seguros y solo prestar atención a los desconocidos. También hay elementos etiquetados como "Up-to-you" que se pueden quitar o dejar intactos, ya que no representan ningún riesgo de seguridad.
La codificación de color también se usa en el Administrador de ejecución automática de soluciones en línea, donde azul significa archivo no encontrado y amarillo para archivos sin información de propiedad. Desmarcar la casilla de verificación deshabilitará el inicio del elemento. Por algunas razones desconocidas, no pudimos eliminar permanentemente los elementos de inicio porque la opción "Eliminar del almacenamiento" del menú contextual del botón derecho siempre está en gris. OSAM está disponible en versiones de instalación y portátiles.
Descargar Online Solutions Autorun Manager
5. Corredores silenciosos
Silent Runners es en realidad un VBScript que simplemente genera un archivo de registro que contiene elementos de inicio en el sistema. No hay interfaz gráfica de usuario ni opciones, y ejecutar el archivo en sí mismo generará el archivo de registro en el mismo directorio que el script. Los elementos de inicio que pertenecen a Windows no se incluyen en la lista y debe tener en cuenta las líneas que contienen <> porque el punto de inicio es comúnmente utilizado por malware.
Obviamente, Silent Runners no está destinado a ser utilizado por usuarios básicos ni a eliminar entradas de inicio dudosas. Este VBScript demuestra ser útil cuando se le restringe la ejecución de archivos ejecutables.
Descargar Silent Runners
6. FreeFixer
FreeFixer es una herramienta de eliminación general que escanea no solo una serie de ubicaciones de inicio, sino también varias otras áreas del sistema donde el malware podría ocultarse. Se escanean en total más de 40 ubicaciones diferentes, incluidos los objetos de ayuda del navegador, las barras de herramientas y extensiones de Mozilla Firefox / Internet Explorer, los accesos directos de inicio automático, las inicios de registro, las tareas programadas, los procesos ocultos, el archivo HOSTS, las políticas del sistema, los controladores, los servicios, la configuración de TCP / IP, UserInits, accesos directos, archivos creados o modificados recientemente, módulos Svchost.exe / Explorer.exe y muchos más.
Aunque el programa utiliza la lista blanca para reducir el número de entradas totalmente legítimas que aparecen en la lista de resultados, deja en claro que aún necesita una cantidad de conocimiento para comprender lo que desea conservar y lo que podría ser malicioso y debe eliminarse. Como el escaneo es más completo, el tiempo para completar la operación puede tomar 10 minutos o más, por lo que se necesita un poco de paciencia. Simplemente descargue el instalador de instalación o la versión portátil, ejecútelo y presione Iniciar escaneo.
Si todavía hay entradas que no comprende mientras revisa los resultados, el enlace "más información" lo llevará a la biblioteca en línea en el sitio web de FreeFixer, donde es de esperar que información más detallada pueda dar una mejor idea de qué es el artículo. Marque lo que desea eliminar y luego haga clic en Reparar. Hay configuraciones adicionales para programar un análisis en segundo plano y cargar archivos en FreeFixer cuando hace clic en "más información", se puede encontrar un nuker de archivos y un Comprobador de archivos del sistema en la ventana Herramientas. Windows 2000 a 8.1 es compatible.
Descargar FreeFixer
Nota del editor : aunque estas 6 herramientas que presentamos pueden enumerar y eliminar entradas de inicio creadas por programas de terceros, todavía no es infalible porque hay un tipo más avanzado de malware como rootkit que requiere un programa anti-rootkit para detectar su presencia . Además, hemos visto un keylogger realmente inteligente que solo agrega la entrada de inicio justo antes de que el programa finalice cuando Windows se está cerrando y luego elimina automáticamente la entrada de inicio nuevamente después de que se inicia durante el inicio de Windows. Este método evita la detección en cualquiera de las 5 herramientas que hemos mencionado anteriormente.