Estoy seguro que a estas alturas del partido mas de una persona ha infectado su PC con algunos de los fastidiosos antivirus falsos (fake antivirus) que simulan ser un programa de seguridad que lo único que buscan es infectar tu computador simulando falsas amenazas y que pagues por desinfectarlo, cuando la verdadera amenaza es la misma aplicación de seguridad que se instala sin permiso alguno en tu computador. En Internet hay una lista de cientos de estas falsas aplicaciones de seguridad y por si fuera poco se agrega una mas a la larga lista.

La gentileza se la debemos a Microsoft quien informó que ha aparecido una falsa aplicación de seguridad que simula ser la propia aplicación de seguridad de Microsoft (Microsoft Security Essentials) lanzada por la firma de Redmond en junio de 2009, la aplicación falsa tiene por nombre “Security Essentials 2010″ y usa el mismo método persuasivo de todos las falsas aplicaciones ya que mediante un nombre relativamente familiar busca engañar a los usuarios menos expertos para que paguen por desinfectar el equipo. La nueva amenaza contiene el trojano Trojan Win32/Fakeinit.

Una vez instalado este falso antivirus o malware, descarga e instala un falso escáner que monitoriza los procesos, lamentablemente como es típico, modifica el registro, se deshabilitan opciones del sistema como la misma terminar procesos, regedit, msconfig y ademas cambie el fondo de escritorio por un fondo negro con la típica advertencia de que el equipo esta infectado el cual no se puede cambiar.

Además el falso antivirus instala el componente malicioso Win32/Alureon y otro componente denominado “Layered Service Provider” que monitorea el trafico TCP enviado por el navegador y bloquea ciertos sitios web, desplegando este mensaje.

Naturalmente el falso antivirus pide a los usuarios que paguen por una “versión completa” del software, y ese es su fin principal.

Aunque la recomendación viene de cerca, Microsoft indica que su antivirus puede detectar y eliminar la amenaza con su suite de seguridad Microsoft Security Essentials.

El proceso System.exe es un singular troyano cuyo único fin es consumir toda la memoria RAM disponible que posea el PC, afectando en gran medida al rendimiento del sistema operativo y demás procesos que se estén ejecutando en ese momento.

Hay que tener en cuenta que el sistema operativo maneja un proceso de nombre System, el cual es legitimo de Windows. No debes confundir el proceso System.exe con System ya que ambos tienen similar nombre pero un fin diferente, como dije al comienzo del tema, System.exe es un troyano.

¿Cómo saber si en tu PC se esta ejecutando el proceso System.exe?

Es muy sencillo, basta con abrir el Administrado de tareas del Windows (presiona simultáneamente las teclas Ctrl + Alt + Supr) y en la parte inferior verificar el Uso de CPU: x%, si este es mayor al 90% es muy probable que el proceso System.exe este afectando al rendimiento del PC.

Si el consumo es mayor al 90% entonces procede a verificar en la pestaña Procesos, podrás notar una larga lista con todos los procesos que se están ejecutando junto con Windows, en una de las columnas dice CPU, haz 1 click izquierdo y otro nuevamente, se pondrá en primera lista el proceso que mas este usando los recursos del PC, si en primera fila y entre los primeros esta el proceso System.exe esta demás decir que tu PC esta infectado.

¿Cómo elimino el proceso System.exe de mi PC?

Para eliminar el proceso y virus System.exe realiza los siguientes paso:

1.- Descarga e instala las siguientes herramientas:

SpyBot Search & Destroy

Malwarebytes’ Anti-Malware

CCleaner

2.- Deshabilita la función “Restaurar el sistema”

En Windows XP

- En el panel de Inicio pulsa sobre Mi PC
- Has click en “Ver información del sistema”
- Selecciona la etiqueta “Restaurar sistema”
- Marca la casilla “Desactivar Restaurar sistema en todas las unidades” y pulsa en “Aplicar”.
- El sistema te preguntará si está seguro de querer deshabilitarlo. Confírmalo pulsando en SÍ.
- La opción que muestra el estado de los discos en la ventana “Configuración de unidad” aparecerá deshabilitada (todo gris). Pulsa en el botón Aceptar.

3.- Inicia el sistema en “Modo a prueba de fallos”

En Windows XP

- Enciende el PC, pulsa la tecla F8 repetidas veces hasta que el sistema muestre una pantalla de color negro con una serie de opciones.
- Elige “Modo a prueba de fallos” o en su defecto “Modo seguro”
- Cuando Windows inicie te preguntara si estamos seguros de querer entrar en ese modo y que hay cosas que no funcionaran, confirma haciendo click en SÍ.

4.- Ejecuta una a una las herramientas instaladas (Spybot Search & Destroy y Malwarebytes Anti-Malware)

5.- Ejecuta el CCleaner para eliminar cookies y archivos temporales.

6.- Reinicia el sistema operativo en modo normal.

7.- Analiza todo el PC con el siguiente antivirus Online, puedes usar otro si lo deseas (si tienes uno instalado en el PC y actualizado hasta la fecha, puedes hacerlo con el mismo)

Kaspersky Antivirus Online

8.- Repite los pasos 4 y 5 con el sistema operativo en modo normal.

9.- Verifica que el proceso System.exe ya no este.

10.- Mantén tu antivirus actualizado hasta la fecha.

El proceso y a la ves archivo csrcs.exe es un programa maligno y no debe confundirse con el proceso de Windows csrss.exe.

Este archivo suele ubicarse en: C:\WINDOWS\system32\csrcs.exe

La gran mayoría de antivirus eliminan este proceso maligno sin ningún problema, pero al iniciar el sistema operativo puede que recibas el siguiente mensaje de error:  “Windows no puede encontrar el archivo csrcs.exe. Asegúrese de que la ruta y el nombre de archivo están escritos correctamente y vuelva a intentarlo“.

Entonces, si tu antivirus no ha logrado eliminar esta infección, para hacerlo manual mente y corregir el error anteriormente mencionado haz lo siguiente:

1.- Ejecuta el regedit: Inicio> Ejecutar> Escribe “Regedit” (sin las comillas) y aceptar.

2.- Busca lo siguiente en el menú de la izquierda: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

3.- Haz click derecho sobre el registro csrcs del tipo REG_SZ y luego en la ventana de menú que aparece, haz un click izquierdo en el campo que dice Eliminar.

4.- Dentro del regedit, dirígete hacia el menú Edición> Buscar y en el campo de busca escribe “csrcs” y procede a iniciar la búsqueda, aparecerá el resultado en el lado derecho, donde dice “Shell” y modifica el valor “Explorer.exe csrcs.exe” por “Explorer.exe” (o sea, borra la parte que dice csrcs.exe).

5.- Sigue buscando ese mismo texto y realiza el mismo paso, es decir, elimina cualquier referencia a csrcs.exe, tal como en el paso anterior, para ir al siguiente resultado de búsqueda presiona la tecla F3.

6.- Reinicia el PC.

Una ves realizado lo anterior, aquel molesto mensaje ya no tiene que aparecer, es conveniente que realices un escaneo al PC en busca de virus, te recomiendo que para eso continúes leyendo el siguiente tema.

Un grupo de cyber criminales están imitando la apariencia de productos de Avira para ayudarles a difundir sus soluciones de seguridad fraudulentas. Los cyber gangsters están usando la reputación de Avira, para crear falsos antivirus, increíblemente imitan el aspecto de Avira en un intento de sacar provecho a usuarios desprevenidos o con poca experiencia en el tema.

Las versiones falsificadas son llamadas “Security Antivirus Suite” o “Antivirus Security Suite” y se ofrecen bajo el lema de promoción “20 Years of Total Protection” que en su defecto en español vendría a ser “20 Años de Protección Total”.

Este es el logo del falso antivirus:

Incluso el sitio web de este falso antivirus imita al sitio web de Avira:

Sin duda alguna este tipo de fraude siempre estará presente por lo que debes de tener mucho cuidado al visitar y descargar cualquier aplicacion que prometa eliminar código malicioso de tu PC.

Olmarik es un troyano que modifica la información del registro de Windows para asegurar su ejecución junto con el PC y descargar mas código malicioso en segundo plano, este ademas, toma el control del explorador Internet explorer.

¿Cuales son los síntomas que presenta un PC infectado?

El PC va mas lento: Es suficiente con tener un parásito como Olmarik Trojan para que tu PC se vuelva más lento de forma notoria. Si tu PC demora más en iniciarse, o la conexión a Internet está más lenta que lo normal, puede estar infectado con el troyano Olmarik

Nuevos accesos directos en el escritorio de Windows o cambios en la página de inicio del navegador: Un troyano como Olmarik puede cambiar la configuración de la página de inicio a otro sitio web. El troyano también puede agregar accesos directos en el escritorio de su PC.

Molestos anuncios desplegables: El troyano puede bombardear tu PC con ventanas desplegables con anuncios, incluso cuando no está conectado a Internet. Por medio de estos anuncios desplegables puedes ser engañado para que descargues más spyware.

¿Cómo eliminar el virus Olmarik ó kryptic.bxq?

Gracias a los profesionales de ESET hoy día es posible eliminar el virus Olmarik y sus demás variantes de forma automática gracias al EOlmarikRemover. Solo debes descargar el EOlmarikRemover en el escritorio de Windows, ejecútalo y el se encargara del resto.

Al terminar el análisis con el EOlmarikRemover, descarga, instala y actualiza el MalwareBytes. Elimina todo lo detectado y reinicia el PC.

La empresa líder en seguridad informática Eset, la cual se considera actualmente una de las mas efectivas y serias del mercado tanto por su producto NOD32 como así también por Eset Smart Security, esta bloqueando sitios que proveen de claves gratuitas para sus productos disfrazándola de virus o contenido peligroso.

Muchas personas no les convence la idea de descargar un antivirus crackeado del cual no tienen ni idea quien lo crackeó, o si funciona correctamente, tal vez con algún virus metido al crackearlo, etc. Por lo tanto, optan por descargar la versión de prueba desde el sitio original, y luego buscar claves o seriales periódicamente para activarlo y tener la tranquilidad de que el antivirus es 100% original sin terceras manos.

Esto se puede comprobar al tratar de ingresar al sitio de eset.org.cn, el antivirus (si usas NOD32) bloqueara el sitio y mostrara un mensaje de alerta tratándose de un sitio potencialmente peligroso.

Si no tienes instalado el NOD32 podrás ingresar sin ningún problema o riesgo, yo tengo el Kaspersky Internet Security y no me alerto de algún peligro, ¿sera mejor NOD32 que Kaspersky por que detecta esta amenaza? no lo creo.

Mas allá de que ese sitio está distribuyendo claves de activación de sus productos para un período de prueba y se puede discutir la legalidad del mismo, o su finalidad, Eset está bloqueándolo arbitrariamente y cortando la libertad de navegar por este sitio web y otros mas por asuntos comerciales de los cuales nosotros no somos responsables pero si cómplices en parte, cómplices por que somos nosotros los que usamos esos números de licencia y motivamos a que los sigan actualizando.

¿No sería mas fácil que tomen acciones legales contra el sitio?, puede que si pero así como ese sitio web hay muchos mas y que mejor manera que cortarlos a todos de una.

Kido es un virus polimórfico que se propaga generalmente por memorias usb y debido a una vulnerabilidad en Windows se ha propagada muy rápidamente.

El gusano desactiva la restauración del sistema operativo, bloquea el acceso a sitios web de seguridad informática, descarga malware adicional y en algunos casos bloquea la protección del Firewall de Windows.

Propagación del gusano mediante las memorias usb

El gusano copia su fichero ejecutable a todas las memorias usb usando el siguiente nombre:

“X”:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\”rnd”.vmx

donde “rnd” una secuencia fortuita de letras minúsculas y “X” es la letra de la memoria usb.

Además, junto con su ejecutable el gusano graba en el directorio raíz de la memoria usb un fichero adicional:

“X”:\autorun.inf

Este fichero hace que el gusano se ejecute cada vez que el usuario abre con el Explorador un sector infectado.

¿Cómo eliminar el virus Kido?

Gracias a los chicos de Kaspersky Lab existe una manera automática de eliminar el virus Kido, han creado una aplicación (KidoKiller) capas de buscar en todo el PC y memorias usb el virus y eliminarlo del sistema sin problema y complicación alguna para el usuario.

NOTA:

Notaras que el virus Kido se aloja dentro de una carpeta de nombre RECYCLER, no confundir el virus Kido con el virus Recycler, la única manera de separar ambos es por medio de los síntomas del PC infectado, para estar mas seguro puedes aplicar de igual manera la vacuna contra el virus recycler (MataRecycler) lo cual elimina de forma automática dicho virus.

Ares es uno de los programas de intercambio (P2P) de archivos mas conocidos y usados del mundo. Millones de usuarios intercambian musica, archivos, manuales, programas , videos, etc. a través de ésta aplicación.

Hace algunos días salio a la venta el supuesto Ares 2010, prometiendo muchas mejoras, en rendimiento, velocidad, a un precio de 34.95 €, equivalente a la cotización del dia en dolares U$S 50,9. Pero como todos saben Ares es un programa 100% gratuito,confirmando que este nuevo Ares 2010 ES FALSO.

También deben estar muy atentos ya que existen versiones falsas de programas como WinMx, FrosWire y LimeWire, por lo que mi recomendación es que bajen los programas desde su sitio oficial o sitios de confianza.

Fuente