20091115

Eliminar falsos antivirus

Data Estel·lar podapoda 20091115

Ni Panda ni pando ni AVG ni Norton ni Superantispyware ni spybot ni res de res... quan un virus, un malware, un spyware o programa espia o qualsevol altra porqueria indesitjable vol entrar a l'ordenador, entra i punt. Aquests programes, per més programats que estiguin i per més que els passis no és que no siguien infalibles, sinó que són a penes uns pedaços que serveixen per a una protecció limitada.

Darrerament, veig que hi ha una mena de passa de falsos antivirus. De cop i volta, s'atura tot i apareix una nova icona a a Inicio-->Programas, o a l'escriptori, o a la barra aquesta inútil que hi ha al costat del rellotge... i comencen els missatges en anglès dient que hi ha 33 virus, o 59 virus... El nom i l'aspecte sona molt a un programa d'antivirus, inclús imiten el propi antivirus del Windows (una de tantes coses no només inútils sinó a més, molestes, que té el Windows). Em pregunto si els Linux o Unix també es veuen afectats per aquests falsos antivirus.

Té pinta de simple molèstia: un programa de pagament que, si hi piques on et diu, doncs pagues. Com la màfia que et pega et fa pagar per protegir-te per no pegar-te. Un pensa que pot passar i que vagin sortint missatges, que no hi faré cas. De cop i volta un se n'adóna que no pot evitar que els missatges i els falsos escanejats de l'ordinador segueixin, que no es pot desintal·lar el programa, ni esborrar les icones...

La cosa, en realitat, és més ràpida que tot això. Perquè en menys d'un minut un pot veure que no pot accedir a tal programa o a tal altre. Per començar, no funcionen els milers d'antivirus i antiespies, i apareixen bafarades a sobre de la icona del fals antivirus de la barra d'icones estúpides costat del rellotge, dient que "blablabla.exe no es pot iniciar"... això en anglès... Sospitós... Cert que els virus solen afectar els arxius executables (*.exe, *.bat) però que un no pugui ni entrar al Word ni a l'Excel, que el propi antivirus estigui deshabilitat... diu molt poc en favor de la seguretat dels programes antivirus i molt poc en favor de la fiabilitat del paquet Office.

Quan això a més, et passa, amb programes oficials, és a dir, pagats trincotranco, amb el seu codi oficial, amb el seu registre, amb la imbecilitat que es van inventar els sacaquartos controlaments del Windows del Certificat que els programes són de veritat de la bona i, a sobre, hores despres d'una nova actualització de seguretat molt i molt però molt important del Windows... és per dir-se com és que només hi ha inútils als llocs de comandament del planeta.

Segurament més d'un, picarà on no s'ha de picar, i acabarà pagant... Error... Jo procuro tenir-ho tot no en anglès... El dia que els virus vinguin en castellà patiré. I, cosa en anglès, cosa que sé que és una estafa. Els antivirus no els tinc configurats en anglès... Cal intentar, per ara, ho he aconseguit, saber-me els noms dels meus programes d'antivirus o tallafocs o antiespies. I aprendre'm les icones... I malfiar-me de les coses noves acabades d'instal·lar sense la meva participació activa.

I això em recorda que sempre solen haver-hi problemes just després d'actualitzacions del Windows, del Java o del Flash... no crec que siguin casualitats. Igual que no crec que sigui casualitat que el primer gran virus que em entrar fos en els dies previs a que se m'esgotés el termini d'un Panda Antivirus (comprat i pagat trincotranco). Va ser el que em va acabar de convèncer per si valia la pena comprar-me'n un de nou, o pagar una nova llicència de 60 o 80€ del Panda... o si baixar-me'n un de gratuït d'Internet...

Els dos virus que per ara conec són els següents:

Total Security: es tracta d'un virus que t'agafa tot l'ordinador. Icona, programa instal·lat (presuntament), icona a la barra del costat del rellotge... i un missatge blau que et fa desaparèixer el fons de pantalla. El missatge blau està escrit en anglès, és com aquella famosa pantalla d'error del Windows 95 y Windows 98 (quina meravella el Windows 98, sobretot quan per fi va ser eliminat!). A mi no me n'ha de sortir cap missatge en anglès, i molt menys en lloc del fons de pantalla. Cada cosa al seu lloc. Apareix una finestra dient que escaneja l'ordinador. En qualsevol ordinador troba sempre el mateix número d'amenaces trobades (found threat, virus, etc.). Al cap de 20 minuts, l'ordinador s'apaga sol. Com a usuari, acabes de perdre el control sobre el teu ordinador. No tens accés ni a l'antivirus ni a d'altres programes, com ja he dit. Terror, por... Un pensa que només li queda anar a una botiga d'informàtica perquè li arreglin... Compte! Abans d'anar-hi, cal buscar per Internet alguna solució.

Què fan les botigues d'arreglar ordinadors: cada cop que sento que algú hi va a una botiga a que li resolguin problemes, virus, etc, de l'ordinador... sento la mateixa cantarella: "m'han dit que què vull salvar, si aquests documents o allò altre, que m'ho gravi (pel que sembla ells no solen gravar-te els documents) i el formategen"... El formategen... Format C: Una de les primeres coses que vaig aprendre la primera vegada que vaig Informàtica. Una cosa que ja es feia amb el GWBasic i amb el MD-DOS (desenganyem-nos: és el que segueix existint sota el vernís del Windows per molt que diguin, el que passa és que li diuen "símbol del sistema", però la pantalla negra amb lletres blanques segueix estant per a emergències: prem F8 en iniciar l'ordinador i a veure que t'hi trobes)... Una cosa que el que fa é esborrar el disquet, el floppy gran (el que semblava una tauleta de xocolata), el petit (el que semblava un galeta d'assortit Cuétara) o el mateix disc dur... que no deixa de ser una unitat de memòria... En principi, això serveix per a preparar un disc i assegurar-se que està en condicions per tal que l'ordinador hi pugui treballar sense cap traba, que està net, sense problemes d'escriptura... També podies agafar un disquet (si us enrecordeu dels disquets HD -alta densitat- i DD -doble densitat-), el qual ja estava usat, i reutilitzar-lo a base d'esborrar el que hi havia (Del B:, Del A:, o esborrar arxius o directoris concrets)... Problema: esborrant-lo no t'asseguraves que no quedessin restes, arxius ocults, coses rares, inclús virus (tot i que, amb virus, el millor era llençar el disquet, siguem clar perquè els antivirus eren com ara o pitjors, que et deien que no tenies virus però era mentida, sé que en tenies). Amb Format A: o Format:B, o amb els CD o DVD, formatar, formatejar un disc suposa deixar-los net i llest per utilitzar.

Formatar el disc dur, cosa que un pot fer sense cap problema a casa seva, i cobrar-li a algú més de 100€ se'n diu estafa. Se'n diu: jo no tinc ni idea d'ordinadors però tinc un local i em forro.

L'altre dia em van parlar d'un problema comú "en picar, m'apareixen dos accents". No és un error del teclat ni de configuració de l'idioma ni res... Quan entreu als fòrums d'spywares i similar, MAI no feu cas de qui digui aquestes coses. Busqueu en altres pàgines, també en anglès o altres idiomes... fins que trobeu on diu "el virus dels 2 accents". L'efecte pel qual sabem que hi ha un virus és això però realment és un bloquejador de teclat (keyblocker o una cosa així. Tant se val com es digui oficialment el virus ni qui l'ha creat ni com m'ha entrat, que en això s'aturen massa les webs de dubtes informàtics... volem solucions... i en això cal fixar-se. és un virus... i es resol passant el CCCleaner (una eina baixable d'Internet que també té més o menys, el Windows però trobi-la si té sort), això elimina una cosa que desconeixem els ignorant, els HKEY, els registres, que són unes instruccions que fan que els programes funcionin o no, i de tal o qual forma. S'hi entra per una eina anomenada RegEdit (cal fer Inicio-->Ejecutar-->Regedit.exe i s'obre el programa). Això no s'ha de tocar si no ets un expert... però si entres a Internet, et diran on hi ha els errors. Si ets un d'aquests que li posa tipex a la pantalla, no ho toquis. Però no serà pitjor que el que farà el tècnic d'informàtica, quan et formati l'ordinador.

Això em fa sospitar (una sospita fàcil) que la Generalitat ni les OMIC no investiguen la qualitat del servei de tècnics informàtics. Qualsevol pot obrir una botigueta i dedicar-se a formatar ordinador a 100€ el "format".

En el cas del virus dels dos accents, directament li van dir a la persona que m'ho va comentar que no coneixien aquest virus. No es van molestar a mirar en cap vademècum ni en cap base de dades d'Internet ni molt menys van anar al Google...

Hem parlat per sobre del Total Security. Vaig tenir por: veia el meu ordinador formatat en una botiga, amb la butxaca buidada, i sense els meus documents. Me'n vaig fer una còpia dels arxius de documents, tot pregant perquè això no estigués infectat... vaig aconseguir entrar a Internet... Compte, perquè no podia entrar amb qualsevol programa (el Mozilla no em funcionava, ho vaig fer per Internet Explorer, àlies el colader de virus i finestres emergents més gran de l'Atlàntic Nord). Vaig posar Google... I NO EM DEIXAVA ESCRIURE EL NOM DEL VIRUS. Vaig pensar que estava nerviós... Però ho vaig intentar desenes de vegades... Els que utilitzeu l'Excel, o inclús el Word a vegades també ho fa, quan escriviu una paraula repetida anteriorment en una cel·la, o que comença de la mateixa manera, tendeix a repetir-la. Sovint fa més nosa que servei perquè hi ha milers de mots i frases que comencen igual i que no tenen res a veure, així que, apa, a esborrar, etc. Segurament hi ha alguna forma de personalitzar i eliminar això... però no ve al cas. El que feia el virus amb el meu teclat era la inversa: en saber que la paraula començava igual, impedia que l'escrivís... També m'impedia entrar en fòrums tipus antiespyware... Simplement no s'obrien aquelles pàgines associades a la solució però sí que se n'obrien, de pàgines alienes a aquest tema dels virus. Calia un altre ordinador per trobar la informació per internet. Calia escriure, copiar les diferents variants de solucions que un trobava, imprimir-les, anar-se'n de nou a l'ordinador infectat... entrar amb "modo segur", una cosa que funcionava molt bé abans del WindowsXP però que ara és una filfa, i a la qual s'hi entra amb F8 (de vegades, F6)... però que no funcionava. Directament, el modo seguro sol donar error. Vaig entrar per un altre usuari-administrador.

Incís: un pot crear diferents usuaris a l'ordinador. D'aquest, n'hi ha els administradors, els quals tenen més poder (poden crear altres usuaris, modificar, instal·lar i esborrar certs programes i configuracions). El Total Security em va desactivar el permís com a administrador de l'usuari en actiu quan va accedir... Greu! Ara entrarem a Windows mitjançant un altre usuari administrador (no infectat, és a dir, un altre) o mitjançant un altre usuari ("Invitado", que sol aparèixer) i fer el que hi ha a continació.

Al final, la solució era més planera: cal entrar a Explorador de Programes-->C:\Archivos de Programes, etc... l'arbre de carpetes o directoris on hi ha tot el que hi ha... i buscar els arxius o carpetes infectats. Esborrar, si es deixa, l'arxiu i carpeta del virus, perquè aquest virus s'instal·la de forma tal com un programa més... aixè permet localitzar-lo. Com que no es deixarà esborrar, botó dret-->surt marcat en verd "sólo lectura" o similar-->picar-hi i desmarcar-ho--> esborrar l'arxiu-->si tampoc no es deixa esborrar-->canviar el nom de l'arxiu i també de la carpeta... Anem a molestar el virus, a veure qui pot més... Es deixa canviar el nom (anotar-ho en un paper per localitzar-lo més tard)... Molt bé... Esborrar... Potser es deixa fer-ho... Potser no... Intentar eliminar les icones de l'escriptori, sigui des de l'escriptori o des de l'Explorador de Windows-->C:\Documents and Setting\nomdel'usuariquesigui\Escriptori\, etc... i C:\Documents and Setting\nomdel'usuariquesigui\Menu Inici... etc. Si no es deixés, cap problema...

Compte: tot això cal fer-ho ràpid perquè cada 15-20 minuts l'ordinador s'apaga...

En arribar en aquest punt, apagar l'ordinador, o esperar a que s'apagui... En tornar-lo a engegar, tenim un ordinador aparentment sense tants missatges pesats. Entrar amb un usuari-administrador no infectat... Si no en tenim, amb una altre usuari (no ho he fet, però cal provar-ho tot). Esborrar les icones de l'escriptori, si encara hi són, que potser ja no hi són... entrar a Inicio-->Programes i veure si encara hi ha allà el malson o no. Entrar a l'Explorador de Windows i anar al nom del programa, veure si té el nom "Total Security" o si té el nou nom que li van posar abans ("Virusmalo", per exemple, li escau bé. Esborrar-lo. Aconseguit. A mi em va funcionar.

Provar a veure si s'obre el Word o qualsevol altre programa que no ens funcionés.
Activar el CCCleaner, el qual netejarà els registres. Compte: a les webs i fòrums d'antispyware, que semblen fetes per informàtics per la totxeria que porten a sobre, no entenen que un ordinador infectat no pugui baixar-se coses d'Internet, o que l'ordinador no permeti d'instal·lar-les. Per tant, si ARA NO TENS VIRUS, és el moment d'instal·lar-te aquestes eines tipus CCCleaner o d'altres de millors que en trobis. ARA és el moment de fer còpies de seguretat, per no plorar com Boabdil. Tampoc no solen entendre que la meitat de programes que recomanen no serveixin més que per ocupar espai de disc. I això es desprén de desenes i desenes de respostes de la gent: "a mi no m'ha funcionat"; "perquè ho has fet malament". "Ens has d'enviar un missatge amb una pàgina amb els codis de tal"... "però si no puc passar aquest programa". La ment dels informàtics, tècnics i pseudo-tècnics funciona amb un bucle infinit per al qual cada pregunta per a la qual no tenen resposta fa que tornin al principi i no es plantegin mai una nova opció... a les botigues van aconseguir trencar aquest bucle amb la Gran Solució clavar-te més de cent euros per formatejar, i que tu, client, et tornis a instal·lar tot el que tenies i et facis la còpia de seguretat (que es veu que és massa simple com perquè un tècnic que cobra ho faci) i cadascun es reinstal·li la pantalla, la impressora i la resta... Tampoc no voldreu que em posi a treballar per cent euros l'hora... Si és que teniu unes coses!

El CC Cleaner o algun programa similar elimina de tot. Sense por: digues que "sí" si tens un virus que s'ha acabat apoderant de l'ordinador, no tens res més a perdre. Els documents tipus Word o fotos, no seran esborrats. La resta, bah... Eliminar coses del Windows, d'Internet (galetes=cookies) i de la resta. Fora tot. Neteja registres: "Només es pot arreglar el registre esborrant-lo". Siguem clars: tu saps què és un registre perquè t'ho he dit al principi del missatge; no sabies ni que existien, que siguin destruïts, fora... fins mai més...No saps que t'hagin servit de res mai.

I ara, si pots, i si tens la informació d'Internet de lloc del Registre que cal eliminar o modificar, entra a Inicio-->Ejecutar-->Regedit.exe (també s'hi pot entrar per C:\Windows\System32\Config\regedit.exe

Nota important: els virus són molt golafres pel que respecta a infectar el System32, que sembla ser el node centra del Windows. Allò és ple de programes petits importants que fan funcionar coses del més inversemblant.

Dintre de l'arbre del Regedit, entra on et diguin, generalment, i entre d'altres HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\CurrentVersion\blablablabla.

De vegades, no es pot esborrar o modificar el que hi ha... jo vaig haver d'acabar eliminant l'usuari-administrador infectat per si de cas. Després en vaig crear un altre, el més semblant al que acabava d'esborrar, en quant a les icones que hi havia a l'escriptori.

Total, que sense tenir ni idea i pensant que m'havia de comprar un nou ordinador, vaig poder-ho solucionar en un temps estimat de 4 a 10 dies (hi va haver dies en què no vaig poder fer res, i dies en què vaig anar-me'n a un altre ordinador a buscar informació reconfirmar-la, centrar-me mentalment per convèncer-me a mi mateix que, ni sóc informàtic ni res, i m'estavello sempre amb aquestes màquines, que allò calia fer-se... i tenir força hores per davant per fer això. Ja se sap que l'ordinador és com el tamagotchi, que requereix totes les hores del dia per tenir-ne cura.

Va funcionar:

Lliçons apreses:

a)Abans d'anar-se'n corrents a segons quins tècnics de botigues d'informàtica, i que ens facin pagar per un ordinador esborrat, prendre camamilla i provar a arreglar-ho nosaltres mitjançant la informació d'internet.

b) Cal tenir més d'un usuari administrador al nostre ordinador. Com a minim, un usuari-adminstrador de reserva, només per a casos com aquests. Igual mai no ens cal. Millor. Però no molesta tenir-lo. No gasta gaires recursos.

c)Tenir programes tipus CCCleaner llestos per a l'ús.

d)Conèixer l'aplicació RegEdit. També s'hi pot accedir per Administrador de Tasques (però el Total Security el desactiva, al menys en algun usuari)

e)Saber moure's per l'Explorador de Tasques. Trobar la carpeta del virus i canviar-li el nom.



Ara parlaré del Security Central. Noteu la similitud de noms. Aquest programa va entrar de la mateixa manera, per Internet, sense avisar, de cop. Cap a les 20h36' ja havia entrat, i a les 20h47' ja estava tot alterat, segons vaig poder veure amb Inicio-->Buscar-->Archivos modificados i posar "data actual"

Se soluciona igual. Canviar el nom de la carpeta Security Central. Reiniciar i esborrar. Solucionat en unes 3 hores. Potser era un virus similar tot i que simple respecte l-anterior o potser era per la prova anterior.