lunes, 8 de septiembre de 2008

Eliminar el virus symcfgsrv.exe de una vez por todas en tres sencillos pasos.

Hola:

Hace algunos días salió un nuevo virus que se propaga por el msn y por las unidades extraibles que se conectan al pc, este virus utiliza las últimas técnicas de programación y ocultamiento que se conocen actualmente, además realiza más de 500 cambios al registro de Windows con el objetivo de impedir su eliminación, el daño más grave, me parece es que daña de tal forma ciertas partes del registro que es virtualmente imposible reiniciar en modo seguro y así eliminarlo con cualquier antivirus.

En Esta entrada de mi Blog reseñaba mis priemras aventuras con el virus, sin embargo dado que no tenía el propósito de divulgación no había reparado en hacerlo de forma completa, además que yo mismo no tenía las cosas claras acerca de este virus, como sea, he optado por hacer esta guía para que le sirva a la postreridad.

En primer lugar, has de saber que si te has infectado con el virus es casi imposible que ejecutes algún antivirus, ya que el virus tiene en su lista negra a los más conocidos, de modo que el virus mata los procesos de los antivirus de forma inmediata, lo mismo pasa con las herramientas de diagnóstico y reparacion de sistema, como HijackThis, Pocess Explorer o Regshot, por citar solo algunos, ya que no he tenido oportunidad de ver la lista que el virus maneja, pero puedo asegurar que es muy extensa.

Pero es posible engañar al virus con la simple técnica del renombrado, es decir, que se puede renombrar el archivo ejecutable que el virus mate y con esta sola técnica es posible ejecutar estas herramientas.

Así que sin más preámbulo, aquí la guía:

El objetuvo de esta guía es poder eliminar al virus de forma completa y restaurar el sistema al estado anterior, poder eliminar las restricciones y recuperar el acceso al modo seguro.

Paso 1: Desactivar al virus

Descarga RRT (Remove restriction Tool) de Este enlace, ejecútalo, te aparecerá una ventana como esta:



Selecciona todas las entradas manualmente, o haz click en el panel inferor en Check All y después en Remove.

Algunas restricciones van a eliminarse, entre ellas la que nos permite ver archivos ocultos y de sistema, que en la inmensa mayoría de las computadoras está desactivada. Pero otras van a volver, no te preocupes, cierra el RRT y continúa.

Paso 2: Matando el proceso

Descarga Process Explorer de Este enlace, si lo descargas en Zip, encontrarás al descomprimirlo tres archivos:



Descomprime estos tres archivos en una sola carpeta y renombra el archivo Procexp.exe a cualquier otro nombre que se te ocurra, esto es importante porque si no lo haces así el virus matará el proceso de esta utilidad.

Por ejemplo:



Ejecuta el archivo renombrado, en mi caso lo renombré a arr.exe

deberá aparecerte una ventana como esta:



Selecciona el procesao llamado Explorer.exe, haz un click secundario sobre él y selecciona Kill Process, va a desaparecer la barra de tareas.

Ahora haz lo mismo con el proceso symcfgsrv.exe, mata el proceso con Kill Process.




Ve al menú File y selecciona Run, en la ventana que aparece en el cuadro Abrir escribe Explorer.exe y haz click en aceptar, volverás a recuperar la barra de tareas.

Ve a Mi Pc y navega hasta C:\Windows\System32, dentro busca el archivo symcfgsrv.exe y renómbralo a cualquier otro nombre que se te ocurra, si puedes cámbiale la extensión para mayor seguridad.




Reinicia.

Ejecuta de nuevo el RRT y elimina todas las restricciones Si el virus ya no está activo debeían efectivamente eliminarse todas esta vez, si no es así repite los pasos anteriores.

Ahora ya puedes ir a la carpeta del sistema y eliminar el virus renombrado.

Ya tienes tu pc sin el virus ejecutándose, ahora puedes usar el CCleanner para eliminar cualquier rastro del virus incluyendo el photo00014-jajaja.zip que se encuentra en los temporales y que el virus usa para replicarse a través del MSN.

También deberás dar un escaneo completo con algún antivirus actualizado que detecte ese virus, por ejemplo el NOD32.

¡Felicidades! Ya tienes tu Pc Limplio del virus symcfgsrv.exe

Pero Aún falta recuperar el modo seguro, este es el paso más fácil de todos.

Paso 3: Recuperando el modo seguro:

Después de estar analizando el comportamiento del virus y de infectarme diez veces logré comprender la forma en que el virus destroza el registro para impedir el acceso al modo seguro, lo hace eliminando cientos de claves de una sección completa del registro en la que se indica qué debe hacer el sistema para poder acceder a dicho modo, el resultado es que cuando se intenta acceder a modo seguro el pc simplemente muestra una terrible pantalla azul por todos conocida.

Así que he escrito este Fix, el cuál espero sea útil a más de uno.

Descarga el Fix en este enlace, es descarga directa.


Es un archivo .REG que restaura las configuraciones originales del modo seguro de Windows que el virus destroza, después de probarlo en varias computadoras he logrado incluir sóo las claves que el virus elimina, pero, aunque lo he probado en varias máquinas y en todas ha ido de lujo no puedo garantizar que en alguna no vaya a dar algun problema, te recomiendo que antes de aplicar el Fix hagas un respaldo del registro.

Al aplicar el Fix el sistema te preguntará si estas seguro, has de responder que sí.



El parche no tarda más de un segundo en aplicarse y después ya podrás reiniciar y probar el modo seguro, he cruzado los dedos por ti.

¡Felicidades!, Ahora si que tienes tu sistema limpio y sin problemas.
Agradecería que me comentaras si te ha sido útil esta guía, lo mismo que si no, es posible que nos enfrentemos a una variante y que haya que buscar otras formas de solucionarlo.
Había pensado hacer un fix automático, que eliminara al virus y restaurara el registro de forma automática, pero por desgracia el virus restringe muchas de las opciones y no tengo el suficiente conocimiento para usar herramientas más avanzadas que el editor de VBScript.
De modo que si alguien los tiene puedo proporcionarle el virus (aun lo tengo por ahi guardado) así como el log del Regshot que fué la aplicación que utilicé para monitorizar el comportamiento del virus.

Pásenla bonito.

11 comentarios:

  1. Demasiadas gracias, estaba a punto de formatear!! muchisimas gracias! eres un genio! =D Llevaba dias tratando de repararla y nada me servia!

    ResponderEliminar
  2. una pregunta:

    al ejecutar el RRT me aparecen todas las entradas SIN marcar, por lo tanto, el boton que abajo aparece es el de CHECK ALL, y no el UNCHECK ALL como dices, puesto que ya aparecen todas desmarcadas.

    ¿cómo lo hago? tengo que marcarlas o desmarcarlas todas? no entiendo bien esta parte de las instrucciones.

    gracias!

    p.s: otra cosa... esta fórmula servirá tb para el virus symlnsvc.exe? Me imagino que es solo una variante del mismo virus de las fotos por msn del cual hablas aquí. =(

    ResponderEliminar
  3. .yanira Tienes razón, esa parte de la guía no es muy clara, ya lo he arreglado, tienes que seleccionar todas las entradas y hacer click en Check All y seguí con los demás pasos.

    Agradecería que comentaran si hay alguna otra cosa difícil de entender.

    En cuanto al virus que mencionas, siento decirte que no lo conozco, pero, si la guía que ofrezco no te resulta ser útil me gustaría que me lo mandaras a mi email para poder estudiarlo, y ver si efectivamente es similar, mándalo comprimido en formato RAR con contraseña para que el sistema de email no te lo rebote, mi email es el nombre de mi Blog, es decir RAMONYO con arroba y Gmail.

    Nos vemos.

    ResponderEliminar
  4. gracias por responder tan rápido...

    sabes, he ejecutado todo como dices hasta el paso dos. Sin embargo, al ejecutar el programa que muestra los procesos internos (al que había que cambiar el nombre antes de echarlo a andar), en la lista de los procesos no me aparece el maldito virus. Por lo tanto, no puedo matar el proceso =(

    No sé qué más puedo hacer...

    y con respecto a enviarte el virus, intentaré hacerlo ahora.

    gracias de nuevo!

    ResponderEliminar
  5. ah! y otra cosa que quizás tb sea importante mencionar: cuando ejecuto el paso 1 (el RRT) MARCO TODAS LAS OPCIONES, PERO LUEGO EL PROGRAMA ME DICE QUE DEBO REINICIAR. lE HAGO CLICK EN ACEPTAR, PERO no se reinicia, y vuelven a aparecer algunas casillas sin marcar nuevamente. Me imagino que la idea es marcarlas y eliminarlas todas, y así sigo pero me vuelve a decir lo mismo: que reinicie, le hago click, no pasa nada, y vuelven a aparecer algunas desmarcadas.

    x_x

    ResponderEliminar
  6. maravilla, maravilla!

    le cambié la extensión al bicho, reinicié y no se ejecuto! anduvo el nod32, el cc cleaner y todas las demás cosas (todo esto gracias a que leí la entrada anterior de tu blog con respecto al bicho). Ahora descargué la versión de prueba de tune up utilities. Qué es lo que debo ejecutar de él? hay muchas opciones y no sé cual es la correcta.

    IY otra cosa: el norton, al abrirse, me dice que hay un virus y bla bla bla. Pero cuando intento eliminarlo, dice que no puede, porque el virus está bloqueado... qué hago?

    ah! te mandé el zip con el virus, pero no está con contraseña. Está tal cual como lo recibió mi hermana chica (la culpable de toda esta tragedia ¬¬)

    gracias!

    ResponderEliminar
  7. De nuevo yo... jajajaja!

    Efectivamente, el mail rebotó. No sé como ponerle contraseña a la porquería de zip malicioso, por eso lo envié así no más.

    Otra cosa: eché a andar el tune up utilities management (o algo así) y eliminé la entrada esa de symantec (aunque esta era algo como symantenc networks bla bla bla). Todo esto me hace pensar que se trata del mismo virus pero con una pequeña variante de nombres no más.

    Ahora bien, el norton, finalmente, pudo eliminarme el troyano que estaba en otra carpeta del system 32, y yo, manualmente, quité el virus renombrado. Ahora estoy echando a andar un análisis completo del NOD para ver que pasa y seguiré echando a andar un monton de antivirus y limpiadores más.

    Como punto final, sólo me falta por ejecutar el Fix para recuperar el inicio en modo seguro. Tú dices que antes hay que verificar una cosa en especial. Eso cómo lo hago?

    muchas gracias de nuevo!

    ResponderEliminar
  8. Muchisimas gracias es esperanzador saber que existen genios como tu que pueden resolver problemas que nosotros los mortales no. Pero tengo el problema de no poder restaurar sistema, por que en propiedades de sistema en la pestaña restaurar sistema no me permite modificar nada; supongo que tengo que modificar algun "REG". te agradecere aun mas me puedas ayudar. GRACIAS

    ResponderEliminar
  9. Hola! soy yo de nuevo... tengo el mismo problema q miguel, no puedo restaurar el sistema, q podriamos hacer??...

    ResponderEliminar
  10. Hola hellen yo pude haciendo lo siguiente:


    1º Abra Inicio, Ejecutar, escriba regsvr32 vbscript.dll y pulse Aceptar.
    2º Haga clic sobre Aceptar cuando aparezca el mensaje con títuloRegsvr32.(aunque a mi no me aparecio lo mismo pero si me funciono)
    3º Abra Inicio, Ejecutar, escriba regsvr32 jscript.dll y pulse Aceptar.
    4º Haga clic sobre Aceptar cuando aparezca el mensaje con título Regsvr32.

    si no funciona intenta hacer lo de esta pagina http://www.elhacker.net/como-reparar-sistema.html

    a mi me funciono el sintoma 7 pero tienes que activarlo en propiedades de sistema en restaurar y listo ya puedes restaurar. ahora el unico problema que tengo es que no puedo por ningun motivo activar el javascipt supongo que vole algo con el ccleaner; les agradecere su respuesta.

    ResponderEliminar
  11. de verdad me sirvio mucho tu ayuda.. sin embargo despues de darle dos horas por aqui y por alla lo pude eliminar.. se trataba de una variacion del virus ya que abria procesos .ex llamados 23.exe... o 81.exe o numeros asi.. y en realidad se ejecutaban... replicandose en los archivos temporales y en system32.. lo solucione eliminando un .exe que comnzaba con s no me acuerdo bien como sellamaba pero el todo era que estba oculto... le di ordenar en system32 por modificado y era delos ultimitos en haberse modificado.. segui lo que tu decias de RRT y eso y eliminar los procesos con process.. y despues cambiarle el nombre a estos archivos.. (eran muchos .exe ubicados en la carpeta temp y uno que cambiaba el nombre a cada rato en system32 y el que mencione como oculto.. depues de repetir el proceso varias veces y lograr cachar el oculto reinicie y aparecio la gloriosa ventana de nod 32... gracias amigo

    ResponderEliminar

Si quieres comentar algo, no te reprimas y hazlo de una buena vez.