Infectado por nueva variante de Virut ????

BocaDePez 15 julio 2010 15:11

⋮

Hola a todos.

Llevo algun tiempo con el equipo infectado por el Virut.n del que no he encontrado vacuna alguna todavia. El McAfee Enterprise 8.7, el Avast y Kaspersky actualizados, se lo han comido con patatas.

Encontre que el LiveCD del Dr.Web Antivirus era capaz de limpiarlo, pero probablemente se escondia en algun sitio que no se conseguia limpiar, y vuelta de nuevo a estar infectado.

Para los que no conozcan la familia Virut comentar que es uno de los bichos mas peligrosos que hay corriendo ahora, ya que se infecta aleatoriamente en decenas de ejecutables, aunque no hayan sido arrancados (va buscando por todas las unidades e infectando). Toma el control del NTFS.SYS para infectar solo con hacer un DIR, enganya a los antivirus, bloquea las consultas DNS de todas las webs de antivirus, bloquea el acceso a Microsoft para hacer actualizaciones, corrompe Internet Explorer y Chrome hasta dejarlos sin funcionar (Por ahora subsisto con Firefox), infecta todos los ficheros HTML forzando la carga de ejecutables en un frame oculto, se va auto-actualizando continuamente con accesos a servidores remotos, si se ve amenazado por limpiadores empieza a descargar e instalar mas Malware de diverso tipo ... toda una joya.

Bien, creo que el virus ha mutado, ya que el Dr.Web no reconoce ya los patrones. Desde Linux he enviado a VirusTotal el userinit.exe (por ejemplo) y me saca el analisis que podeis encontrar en este enlace:

(link roto)

Mi pregunta es facil (o no). De todos los antivirus que hay en la lista de esa pagina de VirusTotal ... conoceis alguno que realmente limpie los ejecutables y no se limite a borrarlos o pasarlos a cuarentena ?????

Gracias.

(P.D. He arrancado desde el LiveCD del Dr.Web Antivirus, y no van los acentos. Disculpas en ese sentido)

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

BocaDePez 15 julio 2010 15:19

⋮

avira.es

✖

BocaDePez 20 julio 2010 14:41

⋮

La ISO de Avira Antivir detecta unos 3750 ficheros infectados, pero no es capaz de limpiar ninguno, no sabe como.

Gracias de todas formas.

Moisfd 15 julio 2010 16:06

⋮

Prueba con el nod32 el mejor antivirus del mundo. Saludos.

✖

BocaDePez 15 julio 2010 16:11

⋮

Gracias por el consejo, aunque NOD32 no tiene ISO autoarrancable, asi que es probable que no funcione si se instala.

Virut no puede matarse desde dentro, apaga el ordenador a lo bestia si se intentan matar sus procesos (nada de cerrar windows, apaga como si quitases el cable de electricidad). Ten en cuenta que actua como rootkit, toma el control de todos los recursos antes de que lo haga WINLOGON y USERINIT (a los que tambien infecta) y cualquier antivirus.

Voy a probar primero la ISO de Avira, a ver que pasa.

✖

Sokiev 15 julio 2010 21:06

⋮

Prueba el ejecutable .iso de G DATA ;)

Borra todos los virus sin ejecutar Windows si quiera (especie Linux), y tiene un 99,97% deposbilidades de cumplir su trabajo según AV Comparatives

✖

BocaDePez 20 julio 2010 18:59

⋮

No consigo encontrar un enlace de descarga en su web.

Buscando con Google, salen resultados de un GDATA BootCD 2010 en otras webs.

Descargo esa ISO (fechada en Noviembre de 2009), la meto en un regrabable, pero luego no arranca.

El GRUB no encuentra el kernel en la ruta ... el fichero si que esta, pero no interpreta la ruta (cd)/boot/... etc ... en algun foro decian que ciertamente era un fallo.

El nuevo GDATA BootCD 2011, si es que existe y es gratuito, no lo encuentro.

HooDMaNNeR 20 julio 2010 21:17

⋮

yo me infecté con el virut, y lo solucioné de la siguiente manera:

1.- Descargué el DrWeb y el Malware Bits

2.- Desactivé restaurar el sistema

3.- Reinicié en modo a prueba de fallos con funciones de red, ejecuté limpieza de papelera, instalé ambos y los actualicé

4.- Examen completo con el DrWeb y acto seguido completo con el Malwarebits. Con esto limpias los archivos infectados (DrWeb) y el registro (MalwareBits)

5.- Reinicio a prueba de fallos y vuelta a pasar los dos en examen completo

6.- Reinicio normal

7.- Como no me fiaba, por si acaso, volví a reiniciar en modo prueba de fallos, y volvi a pasar los dos completos de nuevo.

Limpio!!

Suerte!

✖

BocaDePez 21 julio 2010 03:43

⋮

Hola HooDMaNNeR,

Como comente mas arriba, llevo unas 5 semanas con el virus. Cuando me puse a investigar, lei que el Dr.Web conseguia limpiarlo. Lo instale y desde dentro no era capaz de ello, porque no se puede matar los procesos de Winlogon, UserUI, etc ... por lo que el virus esta en RAM siempre. La version de Dr.Web en ISO si que limpiaba, y la pase 2 veces ... pero algo se dejaria.

Pero el virus ha mutado, ya el Dr.Web no ve los ficheros como infectados en absoluto. Ademas el virus ha tomado control total del DNS, y bloquea todas las webs de antivirus y los servidores de actualizacion de Dr.Web, Kaspersky, McAfee, Panda, SuperAntiSpyware, MalwareBytes, etc ...

Para colmo ha metido un keylogger, porque salen mal los acentos (como aquel bicho antiguo del Word) ´´a´´e´´i´´o´´u´´A¨¨E¨¨U y al entrar en s´´imbolo de sistema no funciona el tabulador, al entrar en Google te pone una pagina falsa, hace capturas de pantalla que paran los videos cada 50 segundos ... jodido.

Es gracioso que simplemente sacando un EXE de un RAR, sin ejecutarlo, ya aumenta su tamaño 25 KB.

BocaDePez 21 julio 2010 12:45

⋮

Sobre el asunto, lee este hilo de ayuda: AYUDA

Aunque, específicamente, sobre el Virut se habla a partir del BocaDePez el 27/06/10, lo consecuente en estos casos es formatear y olvidarse de intentar "matar" un virus con alguna herramienta antivirus, y, sobre todo, en adelante, aplicar la recomendaciones básicas de seguridad para no volver a infectarse.

No sigáis perdiendo más tiempo inútilmente, y creando falsas expectativas a otros lectores. Lo importante es saber qué hacer para no infectarse en el futuro, porque una vez infectado: RIP

✖

BocaDePez 21 julio 2010 12:55

⋮

Soy cabezón, qué se va a hacer. No, en serio, por ahora llevo trabajando infectado 5 semanas a sabienda de los riesgos (ya no paso ningun programa a nadie).

Mi objetivo en mente es poner una especie de "cuarentena" a todo ese sistema, metiéndolo en una burbuja de una máquina virtual, dentro de otro Windows nuevo que pueda instalar en otro disco duro.

Es que son más de 200 los programas que tengo que instalar y configurar, y eso llevará meses a ratos libres. Encima ahora tendré que conseguir los ficheros de instalación de nuevo, de quién sabe dónde.

------------

En fin, sigo relatando mi odisea. Anoche a las tantas, consegui encontrar una ISO del GDATA Antivirus 2011 BootCD que ha salido nuevo. Como el bicho tiene control del DNS, tuve que meter unas entradas a pelo en el fichero HOSTS para que pudiese descargarla. Grabé la ISO y arranqué. Todo bien a la primera, nada que ver con la del 2010 y su fallo del GRUB.

Le puse a escanear a eso de las 4 de la mañana, con la opción de desinfectar si podía. Iba muy lento y me fui a la cama. Esta mañana a las 12 aún seguía y aborté. Resulta que no es capaz de eliminarlo tampoco. Este GDATA Antivirus 2011, reconoce al bicho como Win32.Virtob.Gen.12

------------

Por cierto, hablando de máquinas virtuales, no sé si es mejor VMWare o Sun VirtualBox ... me decanto por éste último, a no ser que alguien comente algo en contra.

Saludos.

✖

BocaDePez 21 julio 2010 13:14

⋮

Según tengo entendio, VMWare es lo mejor que hay, hoy en día, mañana no sé.

BocaDePez 21 julio 2010 13:11

⋮

Por cierto, el BocaDePez que comentó eso el 27/06/10 era yo mismo ... que sigo peleandome con el bicho, hahaha.

✖

BocaDePez 21 julio 2010 13:22

⋮

Me lo imaginaba... Ya te dije entonces lo que pensaba, porque aquel BocaDePez era yo, Jajaja.

BocaDePez 7 agosto 2010 05:24

⋮

Hola a todos. Soy el que inició el hilo. Después de haber leído mil páginas sobre los catastróficos efectos del virus Virut, y que todo el mundo decía que era incurable por su elevado polimorfismo, y que efectivamente había una nueva versión "in the wild" creada en Mayo de 2010, mucho más "tocapelotas" que las anteriores ...

... resulta que van los de Kaspersky y consiguen diseñar una herramienta que lo quita !!!!

support.kaspersky.com/viruses/solutions? … id=208280756

No me lo creía, pero este VirutKiller.exe (Virus.Win32.Virut.q,ce removing tool, Kaspersky Lab 2010 version 1.0.6.0 Aug 2 2010 11:04:16) funciona de veras.

Lo flipo.

✖

BocaDePez 23 agosto 2010 14:48

⋮

Pues yo seguiría pensando en formatear, por dos motivos:

1- A estas alturas, después de transcurrido tanto tiempo con el equipo infectado, no hay garantía de estabilidad en ese equipo, por lo más que probables daños colaterales que te haya podido dejar el bicho.

2- Si tu Windows es Vista o 7, ¿conoces los daños colaterales que genera Karpesky?...

Piensa en salvar tus datos y reinstala el Sistema, cuando puedas. En caso contrario, sólo tendrás pan para hoy hambre para mañana.

BocaDePez 15 marzo 2012 23:13

⋮

de verdad sirve la cura de Kaspersky, la recomiendo

✖

BocaDePez 16 marzo 2012 19:15 ✎

⋮

Eres un ********* [normas]. Me has hecho entrar a este hilo para ver que lo has revivido y para colmo con un comentario absurdo e inútil.