Hola a todos! hace un par de días que vengo reparando pc's con este tipo de virus (Virus.Win32.Sality.aa). Hace poco que apareció.

Básicamente se propaga infectando otros archivos, normalmente ejecutables, y que permite además a otro usuario acceder de forma no autorizada al ordenador infectado.
estas extenciones son las que contamina este bicho(.EXE, .SCR, .DLL).

El virus intenta desactivar procesos y servicios que contienen cadenas correspondientes a los principales antivirus.
Para verificar la conexión a Internet el virus se conecta a:

http://www.microsoft.com

El virus se conecta a diferentes direcciones para descargar otro software maliciosos, y el software que descargan de esas direcciones se desencripta en la carpeta temporal de Windows (%temp%) y se ejecuta.

Método de Propagación

Se copia a sí mismo en las unidades extraíbles y carpetas compartidas

(nombre aleatorio).exe
(nombre aleatorio).pif
(nombre aleatorio).cmd

Crea un fichero AUTORUN.INF en cada unidad extraible en la que se copien los ficheros, de forma que al acceder a ella, se ejecute una copia del virus.

VAMOS A LOS BIFES!!!

Para solucionar el problema hago lo sgte:

1) Desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.

2) Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.

3) Con un antivirus actualizado, localizar todas las copias del virus en el disco duro de su PC. Personalmente uso el KASPERSKY INTERNET SECURITY 2009, ya que otros antivirus no me dieron resultados.

Nota: A veces los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

4)Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, tenes que terminar manualmente el proceso en ejecución del virus.Usando el administrador de tares. A continuación volver a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus.

5) Debido a que el gusano deshabilita el acceso al editor del registro y al administrador de tareas, ejecuten los siguientes pasos para volver a habilitarlos:

ir a 'Inicio -> Ejecutar'
Escribir "cmd" -sin las comillas-
Escribir las siguientes instrucciones:

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f

A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Hay que ser extremadamente cuidadoso al manipular el registro. Si modificas ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Eliminae las siguientes entradas del registro:

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Valor: GlobalUserOffline = 6684751
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system

Valor: EnableLUA = 6422625 (Desactiva el control de usuario en Windows Vista)
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\ StandardProfile\AuthorizedApplications\List

Valor: (Ruta del virus) = (ruta del virus):*:Enabled:ipsec
Clave: HKCU\Software\user914\1214104697

Valor: 1919251317 = 3276857
Clave: HKCU\Software\user914\1214104697

Valor: -456464662 = 3407926
Clave: HKCU\Software\user914\1214104697

Valor: 1462786655 = 3604530
Clave: HKCU\Software\user914\1214104697

Valor: -912929324 = 3735602
Clave: HKCU\Software\user914\1214104697

Valor: 1006321993 = 3342390
Clave: HKCU\Software\user914\1214104697

Valor: -1369393986=0600687474703A2F2F7777772E6D7573696B72616A742E736B2F6D61696
E662E67696600687474703A2F2F6D616365646F6E69612E6D79312E7275
2F6D61696E682E67696600687474703A2F2F6A7273782E6A7265
2E6E65742E636E2F6C6F676F732E67696600687474
Clave: HKCU\Software\user914\1214104697

Valor: 549857331 = 865E52A75BF33F5D5AA15DAFA722193EDDA8540E6C496C04CF49
2EF296AFD1AFD
EDBC79CEA25E0F6F53B2D9CC0FA963F3A4CC7456
15E85AFE1E18AEA7E620D11174F3892E84
B5B5DD288784938E304B2D65C454E833D6AF929
809110987E5B4B3E4D581071DA4948CB9F84
Clave: HKCU\Software\user914

Valor: u1_0 = 655360
Clave: HKCU\Software\user914

Valor: u2_0 = 655360
Clave: HKCU\Software\user914

Valor: u3_0 = 655360
Clave: HKCU\Software\user914

Valor: u4_0 = 655360
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: EnableFileTracing = 7471188
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: EnableConsoleTracing = 7471188
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: FileTracingMask = 7209065
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: ConsoleTracingMask = 7209065
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: MaxFileSize = 7077993
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: FileDirectory = %windir%\tracing
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile

Valor: EnableFirewall = 7471209
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile

Valor: DoNotAllowExceptions = 7340133
Clave: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Valor: Hidden = 4718592
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system

Valor: DisableTaskMgr = 6357076
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system

Valor: DisableRegistryTools = 7929970
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: AntiVirusOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: AntiVirusDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: FirewallDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: FirewallOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: UpdatesDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: UacDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: AntiVirusOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: AntiVirusDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: FirewallDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: FirewallOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: UpdatesDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: UacDisableNotify = 5111909

6) Eliminar todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

7) Reiniciar el sistema y explorar todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivaste la restauración del sistema, recordá de volver a activarla. Creá un punto de restauración, te será útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

PD: Es conveniente que pasen también un antispyware, yo uso del SPYWARE DR y el AD-AWARE. por si las moscas!! .

ESPERO QUE LES SEA DE UTILIDAD; SALUDOS Y BUENA SUERTE!!