Virus molesto para empezar el año

Este fin de semana tuve que enfrentarme a un virus muy molesto, posiblemente era un Beagle, no me dejaba hacer casi nada, no se podía utilizar el CMD, las MMC, el panel de control, el antivirus estaba desactivado, la interfaz de red no funcionaba, el restaurar sistema se encontraba inactivo y el modo seguro reiniciaba el equipo.  Con el tiempo descubrí que el usuario había instalado Ares y seguramente a través de él había llegado el incomodo visitante.  Como ninguna de las sugerencias de internet parecía funcionar, estuve probando algunas aplicaciones nuevas para mi.  El equipo utiliza Windows XP Home.

Paso #1:

Utilice BitDefender Rescue CD para remover el virus e impedir que se cargue en la memoria y me permita acceder a las herramientas de administración del sistema operativo.  BDRCD es un LiveCD basado en Gentoo que incluye las herramientas antivirus de Bitdefender.  Algo interesante es que permite actualizar las firmas del antivirus, ya sea en el ramdisk (se pierde al reiniciar el equipo) o almacenándolas en una memoria USB.

Se inicia el equipo con el CD de la distribución.

Actualización de las firmas.

Se abre una ventana de terminal (shell) y se ejecutan los siguientes comandos.

$ cd /ramdisk/BitDefender-scanner/bin

$ ./bdupdate.sh

La actualización toma un poco de tiempo.

Verificación de los archivos.

Se ejecuta el siguiente comando desde el mismo shell.

$ ./bdscan --action=disinfect --log /media/hda1

Siendo hda1 la partición a revisar.

Paso #2:

Después de la verificación fue posible iniciar Windows XP normalmente y tener un acceso completo a las herramientas del sistema operativo.

Se realizó una revisión y remoción de viruses con las siguientes herramientas.

Con estas aplicaciones se removieron varios archivos que aparecían contaminados con diferentes troyanos.

SuperAntiSpyware incluye una opción muy útil que permite reparar varios de los daños al registro que acostumbran a hacer los viruses: Preferences > Repairs.  Utilicé varios de ellos para solucionar algunos inconvenientes, sin embargo no arreglaron los problemas mencionados inicialmente.

Paso #3:

Para reparar el modo seguro utilicé la herramienta SafeBootKeyRepair que se puede obtener de la siguiente dirección.

http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

Paso #4:

Para restaurar el acceso a la interfaz de red utilicé la herramienta Winsock XP Fix que se puede obtener de la siguiente dirección.

http://www.snapfiles.com/get/winsockxpfix.html

Paso #5:

Para activar el acceso a la restauración del sistema es necesario modificar las políticas de grupo que fueron alteradas por el virus.  Para hacer esto se deben seguir estos pasos.

Re-enabling System Restore in Windows XP via the Group Policy Editor

In some cases, System Restore is disabled via the Group Policy Editor. In these cases, System Restore does not show up as a tab under My Computer Properties in Windows XP. If it doesnt show up, the question becomes how do you turn it on in the first place. To re-enable System Restore via the Group Policy Editor, follow these directions:

1) Start the Group Policy Editor by clicking on Start, Run and typing gpedit.msc in the Run box and pressing Enter
2) In the left hand column, click on Computer Configuration, Administrative Templates, System, System Restore
3) In the right hand column, set Turn off System Restore and Turn off Configuration to Disable
4) Minimize the Group Policy Editor
5) Right click on My Computer and Select Manage
6) In the right hand column, double click on Services and Applications, then Services
7) Find the System Restore Service and double-click to open
8) On the General tab set [Startup Type] to Automatic using the drop down list
9) Click the Start button to start the service
10) Close the Computer Management console
11) Maximize the Group Policy Editor and set Turn off System Restore and Turn off Configuration to Not Configured
12) Close Group Policy Editor and reboot the system.
13) Once the system is rebooted, Click on Start, Right-click on My Computer, click on Properties and the System Restore tab should appear again.

Desafortunadamente no me fueron útiles ya que mi equipo tenía Windows XP Home y este, al parecer, no incluye un Editor de Políticas de Grupo.  Por suerte pude encontrar una mejor solución para este caso gracias a esta fuente.

  1. Iniciar el editor del registro: regedit.
  2. Navegar hasta la llave HKEY_LOCAL_MACHINE Software Policies Microsoft Windows NT SystemRestore.
  3. Borrar las siguientes llaves del panel derecho: DisableConfig y DisableSR.
  4. Cerrar el regedit.
  5. Acceder a la configuración de la restauración del sistema.
  6. Remover la casilla para desactivar la restauración del sistema y presionar Aplicar para aceptar los cambios.
  7. Seleccionar la casilla para activar la restauración del sistema y presionar Aplicar para aceptar los cambios.
  8. Sugiero realizar este proceso (dos últimos puntos) para garantizar que la información de restauración ha sido eliminada y con ella cualquier vestigio del virus en este mecanismo de copia de seguridad.

Con estas instrucciones, hasta ahora, el equipo parece estar funcionando correctamente.

Leave a Reply

Your email address will not be published. Required fields are marked *