Hola:
Hace algunos días salió un nuevo virus que se propaga por el msn y por las unidades extraibles que se conectan al pc, este virus utiliza las últimas técnicas de programación y ocultamiento que se conocen actualmente, además realiza más de 500 cambios al registro de Windows con el objetivo de impedir su eliminación, el daño más grave, me parece es que daña de tal forma ciertas partes del registro que es virtualmente imposible reiniciar en modo seguro y así eliminarlo con cualquier antivirus.
En
Esta entrada de mi Blog reseñaba mis priemras aventuras con el virus, sin embargo dado que no tenía el propósito de divulgación no había reparado en hacerlo de forma completa, además que yo mismo no tenía las cosas claras acerca de este virus, como sea, he optado por hacer esta guía para que le sirva a la postreridad.
En primer lugar, has de saber que si te has infectado con el virus es casi imposible que ejecutes algún antivirus, ya que el virus tiene en su lista negra a los más conocidos, de modo que el virus mata los procesos de los antivirus de forma inmediata, lo mismo pasa con las herramientas de diagnóstico y reparacion de sistema, como HijackThis, Pocess Explorer o Regshot, por citar solo algunos, ya que no he tenido oportunidad de ver la lista que el virus maneja, pero puedo asegurar que es muy extensa.
Pero es posible engañar al virus con la simple técnica del renombrado, es decir, que se puede renombrar el archivo ejecutable que el virus mate y con esta sola técnica es posible ejecutar estas herramientas.
Así que sin más preámbulo, aquí la guía:
El objetuvo de esta guía es poder eliminar al virus de forma completa y restaurar el sistema al estado anterior, poder eliminar las restricciones y recuperar el acceso al modo seguro.
Paso 1: Desactivar al virusDescarga
RRT (Remove restriction Tool) de
Este enlace, ejecútalo, te aparecerá una ventana como esta:
Selecciona todas las entradas manualmente, o haz click en el panel inferor en
Check All y después en
Remove. Algunas restricciones van a eliminarse, entre ellas la que nos permite ver archivos ocultos y de sistema, que en la inmensa mayoría de las computadoras está desactivada. Pero otras van a volver, no te preocupes, cierra el RRT y continúa.
Paso 2: Matando el procesoDescarga Process Explorer de
Este enlace, si lo descargas en Zip, encontrarás al descomprimirlo tres archivos:
Descomprime estos tres archivos en una sola carpeta y
renombra el archivo
Procexp.exe a cualquier otro nombre que se te ocurra, esto es importante porque si no lo haces así el virus matará el proceso de esta utilidad.
Por ejemplo:
Ejecuta el archivo renombrado, en mi caso lo renombré a arr.exe
deberá aparecerte una ventana como esta:
Selecciona el procesao llamado Explorer.exe, haz un click secundario sobre él y selecciona Kill Process, va a desaparecer la barra de tareas.
Ahora haz lo mismo con el proceso symcfgsrv.exe, mata el proceso con Kill Process.
Ve al menú File y selecciona Run, en la ventana que aparece en el cuadro Abrir escribe Explorer.exe y haz click en aceptar, volverás a recuperar la barra de tareas.
Ve a Mi Pc y navega hasta C:\Windows\System32, dentro busca el archivo symcfgsrv.exe y renómbralo a cualquier otro nombre que se te ocurra, si puedes cámbiale la extensión para mayor seguridad.
Reinicia.
Ejecuta de nuevo el RRT y elimina todas las restricciones Si el virus ya no está activo debeían efectivamente eliminarse todas esta vez, si no es así repite los pasos anteriores.
Ahora ya puedes ir a la carpeta del sistema y eliminar el virus renombrado.
Ya tienes tu pc sin el virus ejecutándose, ahora puedes usar el
CCleanner para eliminar cualquier rastro del virus incluyendo el
photo00014-jajaja.zip que se encuentra en los temporales y que el virus usa para replicarse a través del MSN.
También deberás dar un escaneo completo con algún antivirus actualizado que detecte ese virus, por ejemplo el NOD32.
¡Felicidades! Ya tienes tu Pc Limplio del virus symcfgsrv.exe
Pero Aún falta recuperar el modo seguro, este es el paso más fácil de todos.
Paso 3: Recuperando el modo seguro:Después de estar analizando el comportamiento del virus y de infectarme diez veces logré comprender la forma en que el virus destroza el registro para impedir el acceso al modo seguro, lo hace eliminando cientos de claves de una sección completa del registro en la que se indica qué debe hacer el sistema para poder acceder a dicho modo, el resultado es que cuando se intenta acceder a modo seguro el pc simplemente muestra una terrible pantalla azul por todos conocida.
Así que he escrito este Fix, el cuál espero sea útil a más de uno.
Descarga
el Fix en este enlace, es descarga directa.
Es un archivo .REG que restaura las configuraciones originales del modo seguro de Windows que el virus destroza, después de probarlo en varias computadoras he logrado incluir sóo las claves que el virus elimina, pero, aunque lo he probado en varias máquinas y en todas ha ido de lujo no puedo garantizar que en alguna no vaya a dar algun problema, te recomiendo que antes de aplicar el Fix hagas un respaldo del registro.
Al aplicar el Fix el sistema te preguntará si estas seguro, has de responder que sí.
El parche no tarda más de un segundo en aplicarse y después ya podrás reiniciar y probar el modo seguro, he cruzado los dedos por ti.
¡Felicidades!, Ahora si que tienes tu sistema limpio y sin problemas.
Agradecería que me comentaras si te ha sido útil esta guía, lo mismo que si no, es posible que nos enfrentemos a una variante y que haya que buscar otras formas de solucionarlo.
Había pensado hacer un fix automático, que eliminara al virus y restaurara el registro de forma automática, pero por desgracia el virus restringe muchas de las opciones y no tengo el suficiente conocimiento para usar herramientas más avanzadas que el editor de VBScript.
De modo que si alguien los tiene puedo proporcionarle el virus (aun lo tengo por ahi guardado) así como el log del Regshot que fué la aplicación que utilicé para monitorizar el comportamiento del virus.
Pásenla bonito.
