Archivo de la categoría ‘Antivirus’

Eliminar Virus “VENOM” (Venom.m / Satan / Lucifer 666)

Martes, 4 de Noviembre de 2008

Si tu equipo de un momento a otro muestra mensajes como:

La fuente de voltaje no es suficiente para el correcto funcionamiento , QUEMATE EN EL INFIERNO UN RATO e intentalo mas tarde.

pues es que está infectado con el virus de origen mexicano “VENOM” (Venom.m / Satan / Lucifer 666).

Este virus se propaga mayormente por USB (Pen Drives, Discos removibles, etc.) y es sumamente molesto: deshabilita Administrador de Tareas, Administrador de Servicios, Regedit, Opciones de Carpeta, Command Prompt, etc. Hasta te entorpece navegar en Google (haciendo que se muestre caído ese buscador). Se propaga en todos los discos locales, externos, pen drives, etc.

Crea carpetas como micro$oft y oculta la de Windows, agregando un Windows.exe (normalmente ocultando su extensión) y ejecuta mas de 5 procesos disfrazados con nombres como “ping”, “find”.

Esta herramienta, “APG Anti VenoM”, tiene opciones específicas para remover este virus, así como utilidades para reactivar lo que comunmente desactivan los virus en Windows: apg-antivenom-61010.

Etiquetas:, , , , , , ,
Publicado en Antivirus, General | No hay comentarios »

Imposible iniciar sesión en Windows XP (daño por virus)

Sábado, 30 de Agosto de 2008

Encontré un equipo infectado con toda una gama de virus: AutoIt-CP (DriveGuard.exe), DiskNight (Knight.exe), Virut (ise32.exe y varios nombres más), Win32:AutoIt-Z (Win32-AutoIt-Z - S-1-5-21-1482476501-1644491937-682003330-1013.exe), Win32:Magania (erdeiect.com), etc.

De todos estos, el más dañino, el Virut, infecta los ejecutables, imposibilitando su reparación.

El procedimiento correcto fué bootear con el avast BART CD actualizado y proceder con un escaneo completo, detectando más de 560 archivos infectados, increíble propagación en un equipo sin Internet (grave riesgo al no poder actualizarse) y con un simple Pen Drive usado en Cybercafés (la mayor fuente de virus… debería haber sanción para quienes den esa clase de servicio sin tener la protección de un excelente antivirus).

Al detectar el Virut, no hubo más remedio que pensar en una instalación de Windows, pero en modo reparación, para no perder la configuración anterior. Este pensamiento nace del hecho que el Virut dañó programas específicos de Windows.

INSTALACION DE WINDOWS EN MODO REPARACION

Al bootear con el CD de Windows XP, podemos empezar una instalación. El programa de instalación detectará la instalación previa y pregunta si se desea eliminarla o repararla. Usamos el modo de reparación.

IMPOSIBLE INICIAR SESIÓN

Una falla extraña no fué reparada por el instalador de XP (al menos la versión en español, que le tengo menos confianza que a la similar en inglés). El síntoma del problema es que Windows XP booteaba correctamente, pero inmediatamente cerraba la sesión. Si se intentaba de nuevo con el mismo usuario, iniciaba la sesión pero la cerraba inmediatamente, sin dar oportunidad a nada. Los intentos de usar al usuario Administrador fueron inútiles, de igual manera que intentar iniciar sesión en Modo a prueba de fallos.

El virus afectó los parámetros de Winlogon en el Registry y eliminó un archivo fundamental para iniciar la sesión: userinit.exe

SOLUCION

Editar el registro de Windows, y navegar hasta:

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”

Posiblemente encuentre una llave OldUserinit. Si encuentra esta llave, borre la llave Userinit y cambie el nombre a la llave OldUserinit por Userinit.

El contenido de la llave de Userinit debería ser el siguiente (sin comillas):

“WINDOWS_PATH\system32\userinit.exe,”

Ahora que ya estaba reparado el Registry de Windows, resulta que el archivo userinit.exe no fué instalado por el programa instalador de Windows en la reparación.

Tenemos que copiar el archivo userinit.exe de otro equipo (asegurándonos de que no esté infectado), o lo que hice: usar el Servant Salamander del avast BART CD que es una especie de Explorador de Windows, que permite accesar al Filesystem del equipo infectado. Busqué el userinit.exe en “C:\Windows\system32\DLLCACHE” y lo copié a “C:\Windows\system32″.

Reiniciar el equipo y probar. En caso de que el problema persista, volver a usar el Servant Salamander para copiar el userinit.exe del “C:\Windows\System32″ en ese mismo directorio, pero con el nombre wsaupdater.exe

Etiquetas:, , , , , , , ,
Publicado en Antivirus | 5 comentarios »

Preocupante nueva forma de propagacion de Virus usando Flash

Jueves, 28 de Agosto de 2008

Hoy recibí un spam engañoso con un supuesto “Microsoft XP official update 2008″, con un supuesto “Free Update Windows XP,Vista”. Ese email tenia un link a un flash:

http://img120.imageshack.us/img120/8065/66098451mp6.swf

Ese flash, aparentemente infofensivo (y sin sentido, además), tiene rutinas integradas para descargar automáticamente un virus desde la siguiente dirección:

http://89.187.49.18/install.exe

CRC32: 263AF417
MD5: 0F44ED00C0B67D9E5062B8E2C3574345
SHA1: 4D9B42BBD950EA0C253A483EA2DB3F888055C1C6
Ese ejecutable podría instalarse automáticamente si el Internet Explorer no está bien configurado, o hacer una pregunta que de pronto la mayoría, pensando que es algo legítimo o por desconocimiento sobre que hacer, respondería que proceda con la carga o instalación de esa rutina, que no es más que un virus.

Está latente la necesidad de estar conscientes de que no existe antivirus infalible, y que últimamente hay virus muy especializados que incluso anulan la configuración de todos los antivirus de renombre, así como detectan y anulan intentos de revisión de procesos, terminación de procesos, etc. Algunos usan técnicas de rootkit tan avanzadas (emulando a la famosa protección ilegal de Sony) que impiden que el explorador de windows y el task manager (Administrador de Tareas) muestren ciertos procesos y archivos (los del virus), obstaculizando enormemente su detección y eliminación.

Etiquetas:, , , , ,
Publicado en Alertas, Antivirus | No hay comentarios »

Peligroso virus que se propaga por Messenger

Sábado, 23 de Agosto de 2008

Ayer me tocó eliminar un virus que se propaga por Messenger. La técnica de propagación es bien audaz: infecta un equipo, y el usuario de ese equipo, al estar conectado con su messenger, envía a sus contactos diversos mensajes como “Mira la foto tuya que voy a poner en mi blog” o “Esta es la foto de mi novio” y vienen con un attachment. También hay de otro tipo que envían una URL (dirección para usar en un navegador, página web) donde se inserta el nick del usuario del messenger y vá a un sitio “UltimateStufff.com” (así, mal escrito) o “imagerzz.com”. Y obviamente, resulta convincente para quien lo recibe, ya que lo envía un amigo por el messenger. Al momento de abrir lo que nos envían, empieza la pesadilla de tener un virus mutante que no es detectado por los antivirus.

En la muestra de ayer, se instaló en HKLM\Software\Microsoft\Windows\CurrentVersion\Run, con un falso nombre de “Symantec Security Loader”, a un programa symloader.exe que, obviamente, es el virus:

Tamaño: 61440 bytes.
MD5: E218CBDF96A3C9B0879A01A181D4859E
CRC32: 355A25EE
SHA1: E456849DB11361C2FE26699FEB1B7EEDF886B9CD

Usa otro nombre cuando infecta Pen Drives (su otro medio de propagación): ShellView.exe.

Para dañar el modo a prueba de fallos, también se instala como un driver de Windows, con un nombre sin sentido (como “rrkcduvh“), pero el supuesto driver es un archivo zoie.sys. Esto es lo más difícil de detectar, y complica bastante toda tarea de desinfección al punto de considerar reinstalar todo Windows, pues no se puede bootear en modo a prueba de fallos, no se pueden usar programas para verlo en memoria y matarlo, no se puede cambiar la configuración del Registry, anula Task Manager, etc.

Es el virus más avanzado que he visto hasta el momento. Existen virus especializados que anulan la configuración de todos los antivirus conocidos. Pero este, no se preocupa de anular los antivirus, más bien anula toda rutina de Update a antivirus y anti-spyware/malware conocidos.

Lo que lo convierte en una perfecta amenaza, es que también detecta las herramientas más conocidas y usadas mundialmente para ver procesos en memoria, como los de SysInternals (Process Explorer, ProcDump).

Forma de Eliminarlo

Mientras el virus esté activo en memoria, es imposible atentar contra él con herramientas modernas… habría que probar con utilitarios obsoletos pero que al menos listen procesos y sean compatibles con XP/Vista.

La única manera de eliminarlo, es offline, osea, sin que el Windows esté cargado. Podría ponerse el disco duro infectado en otro equipo como esclavo o en un enclosure, con las molestias y riesgos que esto significa.

Opté por el avast BART CD. Usando el avast BART CD, un CD Booteable hecho por los creadores del avast Antivirus, es posible accesar al Registry de Windows del equipo infectado. El virus no se carga porque no estamos booteando en modo normal ni en modo a prueba de fallos. El BART viene con varias herramientas.

Con el Registry Editor eliminé las entradas de HKLM\Software\Microsoft\Windows\CurrentVersion\Run, las entradas que apuntaban al virus.

Con el Servant Salamander, una especie de Windows Explorer, pude accesar al filesystem del equipo infectado y borrar el symloader.exe. También usé la herramienta de búsqueda para detectar todos los archivos con fecha de ayer (el virus, en su modo de infección agresiva, comprueba y recomprueba que esté debidamente alojado en el equipo, lo que hace que sus archivos tengan fecha del día). Hay que ser cuidadoso con esto, pues obviamente saldrán en los resultados muchos otros archivos válidos. Me guío para reconocer los que pertenecen al virus por su tamaño… así fué como detecté al supuesto driver, de otra forma, es un dolor de cabeza tratar de reconocer un falso driver de la enorme lista de drivers que resultan (el BART también tiene un utilitario para ver drivers y servicios).

Borré todos los archivos que reconocí como el virus, y aproveché (por seguridad) para borrar todos los archivos de caché de Internet Explorer y Firefox (el equipo infectado usaba los dos), así como todos los temporales, e incluso todo el contenido de la carpeta de sistema RECYCLER (Papelera de Reciclaje) pues los virus se alojan allí, etc.

Luego tuve que usar RegUnlocker para habilitar de nuevo el Administrador de Tareas / Task Manager.

Etiquetas:, , ,
Publicado en Antivirus | 2 comentarios »

Recuperar archivos del baúl de avast

Jueves, 14 de Agosto de 2008

Usualmente sus archivos infectados se mueven al “baúl” de seguridad que tiene avast antivirus (salvo que sean archivos infectados y dañados, que los vuelva irrecuperables, como los programas que infecta el virus Sality).

Para abrir el baúl, tiene que hacer click con el boton derecho del mouse sobre el ícono de avast que esta en el System Tray (en su monitor, abajo a la derecha) y escoger la opcion “Iniciar avast” (o similar, tengo a mano la version en ingles solamente).

Una vez que sale la pantalla de avast, se hace click en el ícono del baúl:

En la lista de archivos infectados, se hace click con el boton derecho al que se desea extraer. No es recomendable extraer un archivo infectado, peor usarlo luego de extraerlo, pues corre el riesgo de infectar su equipo. Puede volver a testear un achivo en el baúl, por la posibilidad de que las nuevas firmas de virus establezcan nuevas pautas de detección y posible reparación.

Etiquetas:, , ,
Publicado en Antivirus | No hay comentarios »

avast: resolución de problema al marcar la casilla de “No mostrar esta ventana de nuevo”

Viernes, 18 de Julio de 2008

Esto no es un problema propio del avast Antivirus sino de cualquier programa que use archivos de ayuda compilados que interactúen con ActiveX. Es un problema de ActiveX Compatibility en Internet Explorer.

Solución

Hay que editar el Registro de Windows para resolver este problema. Simplemente hay que asegurarse de que este valor esté en el Registro de Windows, tal como se indica a continuación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ADB880A6-D8FF-11CF-9377-00AA003B7A11}]
“Compatibility Flags”=dword:00000000

O pueden descargar el archivo comprimido ie_compat_fix.zip que tiene el archivo de Registro necesario para modificar/agregar la llave ya indicada:

ie_compat_fix

Etiquetas:, , , , , ,
Publicado en Antivirus, Tips | No hay comentarios »

Kavo Killer: extremadamente útil y sencillo programa para eliminar virus KAVO y variantes / arreglar y reparar daños por Kavo

Viernes, 13 de Junio de 2008

Es un problema eliminar el virus Kavo de un equipo infectado (ni que decir de arreglar y reparar el daño hecho por Kavo en el Registro de Windows). Especialmente por el método de infección, que al matar un proceso está otro inmediatemente resucitando.

Acabo de probar una herramienta (lo único malo es que está en chino, pero la nueva versión es mucho más fácil de usar.. se llama Kavo Killer.

El Kavo Killer elimina todos los procesos y variantes conocidos del Kavo en forma inmediata, impidiendo que se corra nuevamente, y a su vez repara todos los settings de Windows que el virus Kavo ha afectado para lograr estar escondidos.

A mas de reparar Windows y eliminar el virus de la memoria, Kavo Killer tambien elimina todo rastro del virus del disco duro. Su uso es sencillo, simplemente hacer click en el primer botón superior (grande):

Otra herramienta útil y más flexible es la llamada Killer. Esta herramienta lamentablemente está en chino, pero usa archivos de texto para los nombres de archivos de virus y variantes, nombres de procesos de virus, etc. Se convierte en una buena herramienta para casos de nuevos virus, donde los nombres de procesos y archivos lleguen a determinarse. Tiene un auto-extractor basado en Winrar, para extraer un folder (que si no le cambias el nombre queda en chino) y dentro están los archivos de configuración y el programa en si:

Que pasa si tu antivirus ya desinfectó tu sistema?

Normalmente los antivirus eliminan virus, pero no corrigen lo que el virus ha afectado (especialmente el Registro del sistema). Es probable que no puedas usar Regedit, o ver archivos y carpetas ocultos, o que la opción ni siquiera te salga en las Opciones de carpeta (solución publicada aquí). Para esto un sencillo programa que “desbloquea” todo lo que la mayoría de virus afecta en Windows: Registry Unlocker.

Es una muy útil herramienta que permite arreglar y reparar el Registro de Windows cuando ha sido afectado por un virus de computador (o cualquier otro tipo de daño o mal uso). Permite reparar y desbloquear los daños más comunes y molestosos de los virus, que precisamente hacen para no ser detectados y eliminados fácilmente.

Etiquetas:, , , , , , , , , ,
Publicado en Antivirus | No hay comentarios »

Ultimas versiones de FlashGet si tienen Spyware!!

Jueves, 29 de Mayo de 2008

Es una lastima que las ultimas versiones de FlashGet, a cargo de desarrolladores chinos ahora, este comprobado que tiene Spyware (lo lamentable es que programas Antivirus y AntiSpyware no lo reporten aun).

El que fue excelente manejador de descargas (download manager), ya no lo es mas. Viene con add-ons para manejar torrents y emule, pero aun desactivando todas las opciones extras, aun se ve trafico constante, continuo y abundante, sin estar bajando nada, sin mostrar ads (anuncios)…. Esto me motivo a auditar las conexiones:

Estas conexiones son mayormente a sitios en China (o al menos las IPs a las que esta enviando trafico corresponden a China).

Analizando los paquetes, resulta que en uno de ellos se fue mi clave de RapidShare asi, sin mas ni mas, sin encriptar, en modo plain/text !

Varios de los mejores antivirus y antispyware no clasifican esto (incorrectamete) como spyware. No usen FlashGet.

Hay una excelente alternativa, gratuita, que se llama Free Download Manager.

Etiquetas:, ,
Publicado en Antivirus | No hay comentarios »

Problemas para correr el servicio de Wireless en Windows Vista?

Martes, 27 de Mayo de 2008

Luego de una infeccion de una variante de Baggler en un equipo con Windows Vista Ultimate, era imposible levantar el servicio de red Wireless, de igual manera el servicio de red Ethernet. El virus hizo de las suyas y no solo desactivo esos servicios, sino tambien otros servicios y drivers que impedian agregar dispositivos como Pen Drives, instalar programas, etc.  En estos casos es preocupante reinstalar el sistema operativo por todo el tiempo que involucra la instalacion y configuracion del sistema.

La solucion mas rapida para resolver el problema de los servicios desactivados, fue usar el .bat respectivo que pone la programacion de los servicios a default (predeterminado), en mi caso use el de Vista Ultimate:

vistasafe

defaultvistaultimate

defaultvistahomepremium

defaultvistahomebasic

defaultvistabusiness

Sin embargo estos defaults no aplican a todos los equipos, pues para el caso de los que tienen Wireless integrado o agregado, hay que entrar en Herramientas Administrativas> Servicios y cambiar el servicio WLAN AutoConfig a inicio automatico, e iniciarlo en la sesion actual si lo requerimos.

Servicio WLAN AutoConfig no iniciaba (NDIS Usermode I/O Protocol)

A pesar de ello, el servicio WLAN AutoConfig no se iniciaba, y el unico error que daba era el evento 6100 y “Detect and repair” no era muy util, arrojaba esto:

Result of diagnosis: Problem found

Root cause:
The Windows Wireless Service is not running on this computer

Detailed root cause:
The Windows Wireless Service is not running on this computer

Repair option:
Start Windows Wireless Service

Analizando mas extensivamente esto, una de las dependencias de este servicio parecia no estar funcionando: NDIS Usermode I/O Protocol.

Esto no esta facilmente accesible para el usuario.

Solucion

Verificar que todas las dependencias esten activadas. el NDIS Usermode I/O Protocol no se activa ni en Servicios ni en las propiedades de red. Es un driver escondido, de Windows. Para activarlo, hacer click con el boton derecho en Computer (Start> Computer) y elegir Manage. En Computer Management hacer click en Device Manager. Para ver dispositivos escondidos, ir al menu de View> Show hidden devices. Una vez alli, expandir Non-Plug and Play Drivers. Buscar el NDIS Usermode I/O Protocol, y dar doble click:

En el tab de Driver, se puede dejar especificado en Type como Demand.

De esta forma, ya se puede iniciar correctamente el servicio de Wireless Lan en Windows Vista,

Etiquetas:, , , ,
Publicado en Antivirus, Windows Vista | No hay comentarios »

Cómo eliminar virus Kavo…

Martes, 22 de Abril de 2008

Si se usa WindowsMe, WindowsXP, Windows Vista, etc., y se conoce la fecha de infección, podría ser útil usar la opción de restauración del sistema. Aunque no siempre esto ayuda (se eliminan configuraciones e instalaciones posteriores). Muchas veces es perjudicial, pues se graban copias de virus, y al reestablecer, el sistema vuelve a infectarse.

Es recomendable desactivar las opciones de Restauración del Sistema antes de proceder a eliminar virus.

Use avast actualizado para detectar todas las copias de virus que tenga instalado su equipo. Si no dispone de avast, puede bajarlo haciendo click aquí (soporte para Ecuador desde Guayaquil).

Repare o borre los archivos infectados. Si el virus está ejecutándose en memoria, el antivirus no podrá repararlo o borrarlo. Recuerde que normalmente los antivirus reportan que no se pueden reparar ciertos gusanos y/o troyanos, pues no hay nada que reparar, es mejor borrarlos.

Normalmente, el Kavo existe en estos archivos:

  • %System%\kavo.exe
  • %System%\kavo0.dll
  • %System%\kavo1.dll
  • %User Temp%\vvspj7qa.dll

En caso de que no se puedan borrar los archivos infectados, debe intentar eliminar esos procesos en memoria usando el Administrador de Tareas (Task Manager). Termine el proceso respectivo, y vuelva a intentar el borrado de los archivos infectados.

También hay que editar el Registro (Registry) para arreglas los cambios hechos por el virus. Debe tener mucho cuidado al cambiar el Registro, si modifica ciertas llaves de manera incorrecta, puede dejar inutilizable al sistema.

  • Elimine las siguientes entradas del Registro: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run

kava = "%System%\kavo.exe"
  • Restaure las siguientes entradas del registro: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
Hidden = "2"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL
CheckedValue = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
SuperHidden = "0"
ShowSuperHidden = "0"

    Nota: el valor default de estas llaves es “1″.

Reinicie el ordenador y haga un escaneo con el antivirus. Mejor programe un escaneo al momento de iniciar el equipo.

Etiquetas:, , , , , , , ,
Publicado en Antivirus | No hay comentarios »