Hola a todos! hace un par de días que vengo reparando pc's con este tipo de virus (Virus.Win32.Sality.aa). Hace poco que apareció.
Básicamente se propaga infectando otros archivos, normalmente ejecutables, y que permite además a otro usuario acceder de forma no autorizada al ordenador infectado.
estas extenciones son las que contamina este bicho(.EXE, .SCR, .DLL).
El virus intenta desactivar procesos y servicios que contienen cadenas correspondientes a los principales antivirus.
Para verificar la conexión a Internet el virus se conecta a:
http://www.microsoft.com
El virus se conecta a diferentes direcciones para descargar otro software maliciosos, y el software que descargan de esas direcciones se desencripta en la carpeta temporal de Windows (%temp%) y se ejecuta.
Método de Propagación
Se copia a sí mismo en las unidades extraíbles y carpetas compartidas
Crea un fichero AUTORUN.INF en cada unidad extraible en la que se copien los ficheros, de forma que al acceder a ella, se ejecute una copia del virus.
VAMOS A LOS BIFES!!!
Para solucionar el problema hago lo sgte:
1) Desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.
2) Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.
3) Con un antivirus actualizado, localizar todas las copias del virus en el disco duro de su PC. Personalmente uso el KASPERSKY INTERNET SECURITY 2009, ya que otros antivirus no me dieron resultados.
Nota: A veces los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
4)Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, tenes que terminar manualmente el proceso en ejecución del virus.Usando el administrador de tares. A continuación volver a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus.
5) Debido a que el gusano deshabilita el acceso al editor del registro y al administrador de tareas, ejecuten los siguientes pasos para volver a habilitarlos:
ir a 'Inicio -> Ejecutar'
Escribir "cmd" -sin las comillas-
Escribir las siguientes instrucciones:
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Hay que ser extremadamente cuidadoso al manipular el registro. Si modificas ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Valor: EnableLUA = 6422625 (Desactiva el control de usuario en Windows Vista)
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\ StandardProfile\AuthorizedApplications\List
Valor: (Ruta del virus) = (ruta del virus):*:Enabled:ipsec
Clave: HKCU\Software\user914\1214104697
6) Eliminar todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
7) Reiniciar el sistema y explorar todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivaste la restauración del sistema, recordá de volver a activarla. Creá un punto de restauración, te será útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.
PD: Es conveniente que pasen también un antispyware, yo uso del SPYWARE DR y el AD-AWARE. por si las moscas!! .
ESPERO QUE LES SEA DE UTILIDAD; SALUDOS Y BUENA SUERTE!!
gracias man... a mi me entro como chango y me hiso mierda todos los .dll de los archivos que se estaban ejecutando, incluyendo los del Nero y demás... estos se podran recuperar de alguna forma? uso Avira Antivir Premium... de mas esta decir q re caliente porq con semejante antivirus se metio igual
otra cosa, los valores de registro a los que le pones un \"=\"... hay que cambiarles el valor q tienen por ese? o eliminarlos? porq no encontre relacion con ningun numero de los que pusiste, por eso te pregunto si hay q reemplazarlos por eso...
hola!!! el \"=\" significa q tenes q encontrar el numero al final del =..., por ejemplo: buscas esta clave, HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc y donde dice valor, UacDisableNotify = 5111909, fijate q tenga ese numero \"5111909\", y eliminalo. todas esos codigos de registro ¡hay q eliminarlos, pero a veces quedan secuelas en el sistema, con lo que te conviene reinstalar windows, formateando, no instalandolo arriba del anterior por las dudas q siga el virus dando vueltas! busca por aca, q hay programas q te permiten reisntalar las .dll dañadas, ojo q si tenes instaladores .exe quedan contaminados, asiq eliminalos tambien, salvo q esten comprimidos con el winrar, no se infectan!. espero q te haya servido.. saludos, cualkier duda consultame, un abrazo y gracias por pasar!!
probando todo a ver que pasa , se me infecto con un pen la maquina mientras estaba tocando , alto bardo me empeso a tirar error \"error r6002 runtime error floating point support not loaded\" en casi todos los programas , algun anti-algo para limpiar los pen o mp3 ? gracias , muy buen post
Hola ottoloco69, mira, yo lo elimine con el kaspersky internet security 2010, antes de que se esparciera mas, incluso use los antispywares que dije en el post, si usas mucho lo que es pendrive y mp3 te diria que uses un antivirus para los mismos, aca en taringa hay varios, aunque no se los nombres, algunos andan mejor que otros.
grosso yo estoy infectado en este momento O_O capturando las copias ke hace este bicho...pero llegue un poco tarde ya me mato 3 games...y continua....pero lo tengo dominado (o casi ) logre el acceso al administrador y al regedit..y no permiti ke se conectara a naaa lo fui blokeando con los firewall y no hace copias ni nada a las unidades usb...pero el muy hdp se sigue copiando recomiendo esta tool ayuda mucho en emergencias (post original) http://www.marcelovega.com/blog/para-cuando-un-virus-deshabilita-el-registro-el-administrador-de-tareas-ejecutar-oculta-archivos-etc/ yo estoy con el sality.Nat feo bicho...guarda gente
grosso yo estoy infectado en este momento O_O capturando las copias ke hace este bicho...pero llegue un poco tarde ya me mato 3 games...y continua...
Bueno tras como 2 hs de pelea con el bicho ke por mala liga lo agarre cuando ya se había propagado significativamente eh logrado detener su avance y solo quedan unos pocos vestigios de infección pero nada preocupante..te agradezco los datos del post (auke me saltee gran partew )es muy buena info...ahora no se si instalar lo que perdí (fueron 5 juegos y 15 programas inclusive Winrar O_O) en el windows vista ultimate este que ya tiene como 6 meses o tirarme al agua con W7...en fin seguro que a una trojada de gente le viene de pelos este posts un abrazo grande..a PD: lo termine e matar con: SUPERAntiSpiware y Esset NOD 32 Antivirus (actualizado a la fecha) mepa ke me voy para 7 jojojo
muy bueno tu post compañero pero me gustaria hacerte una pregunta yo uso el kis 7 y en el informe de detectados me aparecen unos win32 pero me los pone como no encontrado y otro como detectado, mi preocupacion es que no aparecen como eliminados como los demas ¿como hago para eliminarlos?
Exelente post!!! buenisimo los comandos para editar la registry! pero como en mi caso tuve un 2003 server infectado y no me dejaba editarlo por políticas de seguridad para que tuve que utilizar esta herramienta muy practica http://www.dougknox.com/security/scripts_desc/regtools.htm en un script de visual que te habilita la edicion otras, maquinas con solo los comandos que pasaste anda! Otra cosa gente no se maten con los antivirus usan esta herramienta de AVG que hicieron para sacar estos bichitos OJO no repara la registry asi que tu tutorial me sigue salvando el cuero!!!
OOpsss! me olvide el link del avg removal http://www.avg.com/us-en/virus-removal.ndi-67769 re practico hasta podes reiniciar la maquina y se ejecuta solo al inicio antes de que levante el bicho
buena info, voy a probar. Para completar el post te paso esta data, ya que no podia acceder al modo a prueba de fallas: Bue, mejor dicho te paso el link: http://www.forospyware.com/t94506-2.html#post411708
aca en taringa estan posteando un supuesto programa para ver canales de tv en la pc que trae este virus, todos los post en el que lo postean "casualmente" tienen los coment cerrados.. ya denuncie varios pero no me dieron bola..
no sabes si hay alguna comunidad para denunciar cosas asi'?
aca en taringa estan posteando un supuesto programa para ver canales de tv en la pc que trae este virus, todos los post en el que lo postean "casualmente" tienen los coment cerrados.. ya denuncie varios pero no me dieron bola..
no sabes si hay alguna comunidad para denunciar cosas asi'?
La verdad que nose si hay alguna comunidad para tal fin, los pocos programas q baje para ver tv, no m funcionaron
este virus es terrible yo ahora mismo voy a darle un formato completo a la PC de mi amigo ya que no hay remedio es un rompe pelotas este bicho de mierda , ni el kaspersky ni ningún antivirus lo repara creo que ya esta demasiado infectado esta PC así que mejor darle vuelta a todos los discos
Hola amigo necesito ayuda, me entro este virus y formatee todo el equipo y la Bios, pero resulta que no me deja instalar ningún sistema operativo de Windows XP, solo vista o 7 cual puede ser el problema?
Hola amigo necesito ayuda, me entro este virus y formatee todo el equipo y la Bios, pero resulta que no me deja instalar ningún sistema operativo de Windows XP, solo vista o 7 cual puede ser el problema?
Formatear la BIOS????? No sera Flashear la BIOS??? No te deja instalar xp, probaste con algun xp desantendido? uE7 o Guanaco 2009.1????
Hola amigo necesito ayuda, me entro este virus y formatee todo el equipo y la Bios, pero resulta que no me deja instalar ningún sistema operativo de Windows XP, solo vista o 7 cual puede ser el problema?
es rarisimo esto, hay algun problema de hardware para que te haga esto, es mas, suele suceder que a veces solo podes instalar el xp y no otro superior, pero no al reves, actualiza la bios, y proba...
me tiene podrido el sality sus variantes y mis putos clientes que lo bajan como si fuera una golocina y yo como un puto intentando recuprarles los programas
me tiene podrido el sality sus variantes y mis putos clientes que lo bajan como si fuera una golocina y yo como un puto intentando recuprarles los programas
Usa AVG en tus maquinas y asunto arreglado... se ahogan en un vaso con agua
Estoy buscando una aplicacion que ELIMINE este virus (que no los REPARE como el AVG) ya que este virus infecto a todos los ejecutables de una PC viejita P1 y los quiero borrar al paso y hacer lamentar la perdida de programas al cliente (programas que a mi criterio son una ...) por eso lo de ELIMINAR.
De nada sirve eleimiar las claes del registro si con el simple echo de ABRIR el WORD infectas nuevamente la PC.
Estoy buscando una aplicacion que ELIMINE este virus (que no los REPARE como el AVG) ya que este virus infecto a todos los ejecutables de una PC viejita P1 y los quiero borrar al paso y hacer lamentar la perdida de programas al cliente (programas que a mi criterio son una ...) por eso lo de ELIMINAR.
De nada sirve eleimiar las claes del registro si con el simple echo de ABRIR el WORD infectas nuevamente la PC.
claro, pero esto sirve cuando la maquina apenas se infecta,
muy buena informacion porque alli andan circulando virus muy malditos que te joden la pc, los descargamos sin darnos cuenta y cuando ya estamos infestados ya es demasiado tarde
yo tengo este puto virus voy a intentar eliminarlo gracias por la info me podrías pasar tu facebook por mp asi si tengo algun problema en proceso te puedo pedir ayuda....devuelta muchas gracias por la info
Global
Chile
Colombia
España
México
Perú
Uruguay
Venezuela
/Informatica/Amd/Wallpapers%201896-10-Amd.jpg)
57 comentarios
QUE ES ??? UN CLON DE TARINGA !!!??????
otra cosa, los valores de registro a los que le pones un \"=\"... hay que cambiarles el valor q tienen por ese? o eliminarlos? porq no encontre relacion con ningun numero de los que pusiste, por eso te pregunto si hay q reemplazarlos por eso...
sin mas me despido...
un abraso
gracias por el aporte
Bueno tras como 2 hs de pelea con el bicho ke por mala liga lo agarre cuando ya se había propagado significativamente eh logrado detener su avance y solo quedan unos pocos vestigios de infección pero nada preocupante..te agradezco los datos del post (auke me saltee gran partew
desde muchas gracias
http://www.avg.com/us-en/virus-removal.ndi-67769
re practico hasta podes reiniciar la maquina y se ejecuta solo al inicio antes de que levante el bicho
saludos
Kanu
Para completar el post te paso esta data, ya que no podia acceder al modo a prueba de fallas:
Bue, mejor dicho te paso el link:
http://www.forospyware.com/t94506-2.html#post411708
S@7U2
no sabes si hay alguna comunidad para denunciar cosas asi'?
La verdad que nose si hay alguna comunidad para tal fin, los pocos programas q baje para ver tv, no m funcionaron
No creo que funcione,, ya que se trata de un virus y no de un spyware
el virus infecta a los ejecutables, y a otras tantas extenciones, al bajar archivos de internet infectados te contagias!
Formatear la BIOS????? No sera Flashear la BIOS???
No te deja instalar xp, probaste con algun xp desantendido? uE7 o Guanaco 2009.1????
es rarisimo esto, hay algun problema de hardware para que te haga esto, es mas, suele suceder que a veces solo podes instalar el xp y no otro superior, pero no al reves, actualiza la bios, y proba...
mi guia estaba mejor igual jajaja, aunque me cansé de subirla porque van dos veces desaparece el post sin aviso. ¿?
Muchas gracias, saludos!
Usa AVG en tus maquinas y asunto arreglado... se ahogan en un vaso con agua
De nada sirve eleimiar las claes del registro si con el simple echo de ABRIR el WORD infectas nuevamente la PC.
claro, pero esto sirve cuando la maquina apenas se infecta,
con esto lo elimnas al virus