21 julio 2010

> Eliminar Antivir Solution Pro (de verdad!)...

Voy a explicar paso a paso como eliminar este software malintencionado o falso antivirus o falso anti-spyware o como quieras llamarlo, llamado Antivir Solution Pro, pero vamos a eliminarlo de nuestro sistema en serio, sin falsas instrucciones como he podido consultar por ahí, porque son de echarse a reír, he visto desde instrucciones que nos dicen "entrad en el registro..." ¿pero cómo? si dicho software impide que carguemos todos los ejecutables de la manera que queremos... es poner regedit.exe en la línea de ejecutar y nos saltará el típico mensaje de dicho fichero está infectado!, hasta otras que nos dicen "analizar con el siguiente programa, que debes descargar"... ¿pero cómo? (de nuevo :) si no deja ejecutar nada, absolutamente nada!!!

Bueno, pues aquí os guio para que podáis eliminarlo de manera muy sencilla y de verdad, que le he echado de sistemas donde se había asentado muy bien el "tal bicho" :)

Una vez entremos en el sistema, nos daremos cuenta de su presencia por icono verdosillo que tendremos en nuestra barra de tareas y por su insistencia continúa de mostrar globos de advertencias informando sobre nuestra infección que no es tal. Si pulsamos en el icono no saldrá un menú como el siguiente, aunque puede variar según la versión o el troyano en concreto...


Teniendo nuestro sistema bajo sus manos, todo lo que ejecutemos y no le guste, lo cerrará de golpe añadiendo que se trata de una amenaza... probad por ejemplo con "taskmgr", "cmd" o "regedit" y os daréis cuenta de que no se anda con minudeces... evitará todo intento de borrado.

Así pues, manos a la obra, lo primero que debemos saber es que dicha aplicación se ejecuta por un proceso, que no podemos conocer pues no nos deja ver los procesos, ya sea por el administrador de tareas o usando el comando "tasklist", no deja ver de cual se trata y lo mejor de todo es que el fichero/proceso lleva un nombre aleatorio :) para más dificultad... lo único seguro es que se trata de un fichero acabado siempre en *tssd.exe.
Os comento, si lo estáis pensando y se os ha ocurrido, en las últimas versiones su filtraje llega a que con la opción de buscar en disco duro, no lo encontréis (toma ya castaña! :)

Por lo que sólo queda "buscarlo" de manera manual, como comentario os diré que normalmente siempre se sitúan los ficheros de ejecución en la carpeta de documents and settings pues desde ahí tienen por así decirlo "más privilegios", pero si no queréis mataros seguid estos pasos:

1.- Id a la siguiente ruta C:\documents and settings\usuario\datos de programa\
2.- Buscad entre todas las carpetas una que tenga un nombre aleatorio, sin significado alguno, por ejemplo algo como "olvemevup".
3.- Dentro debe existir un fichero ejecutable (.exe) con otro nombre aleatorio distingo, como por ejemplo homjkavtssd.exe. Fijaros bien que el final del fichero acabe en tssd.exe

Con estos pasos ya tenemos el nombre del fichero que hace de proceso... ¿como finalizamos/terminamos dicho proceso si no nos deja ejecutar nada? :)

El funcionamiento es claro, lo que hace Antivir Solution Pro cada vez que ejecutamos un fichero .exe es analizar su cabecera y si ve que va abrir un proceso, lo cierra de golpe para evitar daños... pero ¿qué ocurre sin en vez de abrir un proceso lo cerramos? :) ahí está la gracia... no nos impedirá hacerlo. Cerremos dicho proceso...

4.- Es tan fácil como pulsar en Inicio | Ejecutar y escribimos ahí taskkill /F /IM nombreproceso.exe donde "nombre de proceso" pondremos el nombre aleatorio del fichero acabado en tssd.exe, y pulsamos enter.

Con esto se cerrará el proceso y ya volveremos a poder utilizar nuestro sistema "sin prohibiciones", así de sencillo.

Ya sólo nos queda limpiar nuestro equipo, os recomiendo para ello Malwarebytes Anti-malware que os lo dejará bien limpito, de todas maneras si sois manitas con el registro podréis quitarlo "a mano", pero os recomiendo de todas maneras pasar un antispyware porque alguna librería deja suelta por C:\Windows\System32.

Espero con esto alegrar a más de uno, porque últimamente me he encontrado muchos equipos con este falso antivirus haciendo de las suyas y la solución que dan en todas las webs que he revisado ni una añade eliminar el proceso... por lo que nos será imposible eliminarlo, incluso en algunas versiones dicho proceso se carga hasta en "modo seguro" y para un usuario doméstico quitarlo es una odisea o un auténtico impedimento...

Por cierto, si topáis con alguna versión que no siga estas pautas, por favor, informadme de ello :)

Suerte!

10 comentarios:

Anónimo dijo...

Gracias, me has aclarado las dudas que me habian provocado otros web donde no explican correctamente como quitar este virus.

Engrama dijo...

@Anónimo: De nada y me alegro que hayas podido con él, hay demasiada literatura por ahí que dan las cosas "por hecho" cuando la realidad es diferente... lo sé por experiencia en cuanto a este troyano...

Salu2!

Unknown dijo...

Hola, he intentado hacer lo que dices pero... a mi no me aparece nada que tenga esa terminación tssd.exe
y además de los avisos de supuestos archivos infectados, de no dejarme ejecutar nada etc etc de me abre con frecuencia internet explorer y aparecen páginas porno
sabes cómo puedo solucionarlo?
muchas gracias

Engrama dijo...

@Ana: Por lo que comentas, NO se trata de Antivir por lo que no encontrarás el fichero. Antivir nunca abre páginas porno.

La solución más sencilla o al menos para saber con lo que te enfrentas es:

- Descarga Malwarebytes su aplicación Anti-malware
- Reinicia el ordenador en Modo Seguro (al arranque pulsas seguidamente F8)
- Una vez dentro instala Malwarebytes y realiza un análisis completo.
- Todo lo que encuentre eliminalo y el fichero txt que te genera hazmelo llegar a: gideonbrood (arroba) yahoo (punto) es

Apartir de ahí vemos de que/quién se trata :)

Salu2!

Unknown dijo...

ok, haré eso ahora (a ver si consigo hacerlo con mis habilidades...); y ciertamente no sé que será pero desde luego el simbolito de antivir solution pro y todos sus mensajes de ataques de virus me aparecen
aunque no sé si me va a dejar descargar algo...
de todas maneras, muchísimas gracias ;)

Unknown dijo...

definitivamente, no puedo descargar Malwarebytes anti-malware, solo ha habído una página que no me lo ha bloqueado para descargarlo pero dejé toda la tarde y todavía no está
cómo puedo hacerlo??
muchas gracias de nuevo...

Anónimo dijo...

gracias sos un groso, agrego q el porqueria de virus me deja usar el mozilla, menos mal q tengo 3 navegadores, no funciono ni explorer ni crome(mi explorador actual).

aguante mozilla(aunque lo use mi hermano :P)

grasias por la solucion

Engrama dijo...

@Anónimo: Me alegro que haya funcionado! ;)

Salu2!

Anónimo dijo...

Ana me pasa lo mismo que a ti, y no creo que sea algo diferente porque el titulo es "antivir solution pro" y tambien al cliquearlo me habre explorer en paginas porno.

Engrama dijo...

@Anónimo y @Ana Isabel: Creo que puede ser una nueva actualización de dicho falso virus. Como no he podido probarlo pero si leído, el fichero (servicio) que arranca se aloja en la misma dirección, lo único que no existe el fichero acabado en tssd.exe, si no que es uno aleatorio. De todas maneras si contáis ahí (en dicha ruta) con una carpeta con nombre aleatoria, con toda seguridad sea esa...

Probad y me contáis...

Salu2!