¿Quién se ha llevado mis tildes?

Tenemos tres ordenadores en la sala de profesores del instituto. El viernes amanecieron sin tildes, es decir, al escribir una palabra acentuada no aparecía la tilde, no funcionaban los acentos. Imaginad el drama que esto puede suponer para los profesores. Imaginad las risas que esto puede provocar en los alumnos. Rallando la crisis, vaya.
Así que, nos pusimos mi compañero Ferran y yo a investigar.

En lo primero que pensamos fue en un virus. Tres ordenadores con los mismos síntomas suele ser un indicio bastante claro.

Actualizamos el antivirus, aunque ya lo estaba, y realizamos un análisis manual (usamos McAfee). No detecto nada.

Actualizamos también el Windows XP, que menos en uno, ya lo estaba. Por si las moscas. Y nada.

Finalmente, instalamos el Spy Bot, lo actualizamos, lo ejecutamos y nada, bueno sí, un montón de spyware, pero tras eliminarlo los síntomas persistían.

A través de Google, toda la información que pudimos recopilar era que, lo más probable, era que fuera un keylogger, un programa que graba las pulsaciones de teclas y luego las puede envíar a un determinado servidor, principalmente se usa para obtener contraseñas, números de tarjeta, etc. Pero nada en concreto.

También fuimos cargándonos procesos del Windows XP, desde el administrador de tareas y probando si el problema se solucionaba. Pero nada.

Luego nos descargamos Hijackthis, una herramienta que analiza el registro de Windows y muestra un informe de los programas que arrancan con Windows y otra información útil para eliminar el spyware. Tras ejecutarla no vimos nada extraño. Así que lo dejamos para el lunes.

Hoy lunes, he persistido en la idea de matar los procesos y probar, y puff, por casualidad, he matado el proceso que estaba robándome las tildes. Digo casualidad, porque la primera vez ha sido así. Luego, mirando detenidamente los procesos he visto uno de nombre camaleónico: svshost.exe. No lo veíamos porque estaba junto a otros con el nombre svchost.exe. Este proceso es necesario para que Windows funcione y si se elimina, el sistema se apaga.

Después, viendo el informe de Hijackthis lo hemos encontrado. Se iniciaba al arrancar Windows. Lo hemos eliminado con Hijackthis y listo.

Hemos subido a virustotal.com el archivo y no hemos averiguado mucho. Sólo tres antivirus lo han detectado como algo anómalo, pero sin mostrar ninguna información concreta. De momento, no sabemos si hacía algo más que robar tildes. Hemos mandado el fichero svshost.exe a McAfee a ver si averiguan algo. Estamos a la espera.

En ProcessLibrary.com sí aparece algo de información sobre svshost.exe, parece que se trata de un gusano que se propaga por redes P2P, pero me extraña que ningún antivirus lo detecte.