Inicio Seguridad Problema con virus Tanatos y Sality solucionado

Problema con virus Tanatos y Sality solucionado

20 6307

El fin de semana me llego una laptop Pentium 4 con Windows XP Pro y un problema de virus. Después de investigar un poco de distintos foros de por acá y por allá, descubri que es el famoso Win32/Tanatos.M (según AVG)  ó también nombrado como Win32/Sality.M (según Avast!). Por lo general el medio de contagio es a través de las memorias USB y correos basura que son abiertos por curiosidad.

¿Cómo actua?

La forma que opera el virus es muy peligrosa pues deja inútil, inservible cualquier ejecutable (.exe) que se le antoje ó este en memoria, incluyendo los antivirus. Si deseas instalar un programa de limpieza (como el ccleaner) solo te permite abrirlo (ya que te lo cierra en un par de segundos) luego lo infecta y lo deja inservible y además el instalador. Por lo que descargar y luego instalar se vuelve un proceso tedioso. En mi caso también instale el SUPERAntiSpyware pero … ¿que creen?Luego de un par de reinicios al sistema ya no servia.

Sintomas

Los sintomas de las PC’s infectadas son las siguientes:

  • No puedes abrir el Administrador de tareas de Windows.
  • No puedes abrir el Editor de Registro.
  • No puedes ver el submenu Opciones de carpeta del Explorador de Windows.
  • No puedes reiniciar en Modo a Prueba de Errores.
  • La mayoría de los ejecutables los deja inservibles, los convierte en su clon, pues al tratar de abrirlo se extiende más y más.
  • Los programas tipo uninstallno funciona por que desinstalar un antivirus para probar otro es un proceso de no acabar.
  • Afecta algunos ejecutables de la carpeta windows/system32 como: taskmgr.exe, wscript.exe, mspaint.exe, cmd.exe, etc y una serie de librerías DLL.
  • Cuando colocas una memoria USB sale un mensaje (en inglés) indicando que esta protegido contra escritura, por más que le des clic en: Continuar, Cancelar o Aceptar persiste.

Aunque parezca la mejor opción formatear la partición del sistema, cuando se tiene otras particiones, no es lo mejor pues puede que el virus allá afectado ejecutables en estas. Formateando todo el disco puede ser una alternativa, pero si tenemos información importante y deseamos sacarla de allí fácil sale de yapa el virus también. Dejando el cuento de terror en continuación.

Mi experiencia

Les explicare que hice en mi caso, no es determinante pero quizás les sirva. Es una serie de paso a paso (de las que recuerdo, pues me tomo casi 2 días).

Primero abri la Utilidad de configuración del sistema, inicio > ejecutar > escribir msconfig. Probe deshabilitando algunos programas dudosos que iniciaban junto con Windows para ver cual de ellos volvia a iniciar luego de reiniciar. Y me di con la sorpresa que msfun80, msime82.exe y scvvhsot.exe se sentian como en su casa.

Instale el CCleaner, con el fin de limpiar el disco y arreglar el registro, pero al abrirlo no pasaba ni dos segundos y se cerraba.

Instale SUPERAntiSpyware con sus actualizaciones e hice un scan al sistema. Encontro una serie de infecciones que acompañaba al principal virus. Una carga menos! Ya podia usar el Administrador de tareas y el Editor de Registro.

La PC contaba con el antivirus ESET NOD32 el cual era un zombie (no servía), así que lo desinstale sin ningún problema (hay que tener en cuenta que el virus malogra los programas de desintalación). Instale el AVG Free (una versión de marzo que tenía por allí) actualice y reinicie. Luego de reiniciar AVG me informa de varios ejecutables infectados con Win32/Tanatos.M. Hice un scan de todo el sistema y encontro un gran cantidad de infectados con este virus a la vez que cada dos minutos algo se infectaba, realmente tedioso.

La mayoría de los ejecutables infectados eran los que se iniciaban con Windows. La PC contaba con PowerDVD, Utilidades de Canon, algo de Adobe, etc. Así que con la ayuda de ccleaner que ya funcionaba los deshabilite, solo deje el SUPERAntispyware y AVG Free.

Pero al reiniciar seguía igual. En uno de tantos reinicios el SUPERAntispyware no funcionaba pues había sido contagiado. Me di cuenta entonces del funcionamiento de virus que es: contagiar cualquier ejecutable al que accedieras luego de un par de usos. Lo más gracioso fue cuando AVG Free me decia que avgtray.exe (uno de los herramientas que usa AVG) estaba infectado. Estaba en graves problemas.

Luego me acorde de mi amigo Avast! y su scan que realiza antes de iniciar Windows (no sé si AVG tiene una opción así, pero ya era tarde para saberlo). Antes necesitaba desintalar AVG pero el desintalador no servía. Lo que hice fue instalar de nuevo solo para desintalar. Instale Avast! y automáticamente programa un scan a todo el sistema antes de iniciar Windows. En ese momento fue cuando me encontro una serie de ejecutables del sistema (windows/system32) infectados.

Y allí es donde recomiendo darle la opción eliminar todo pues si dejamos rastro allí rapidamente se va a propagar (y lo confirmo pues yo no los elimine a la primera y el problema persistio). En mi caso Avast! eliminó los siguientes ejecutables infectados taskmgr.exe mspaint.exe, cmd.exe, rundll32.exe, wscript.exe y más.

Al iniciar Windows parecia como si un huracán había pasado. Programas que no abrian y tenia que volver a instalarlos. Arreglar el registro con ayuda de CCleaner y más.

Pero faltaba solucionar un problema, no inicia en Modo a Prueba de Errores. Esto se soluciona con ayuda de SUPERAntispyware (el cual volvi a instalar) en la opción Preferencias en la pestaña Arreglos seleccionamos de la lista Repair broken Safeboot key y pulsamos Ejecutar arreglo. Y reiniciamos para probar presionando F8 antes de iniciar Windows.

Lo que te recomiendo hacer

En resumen (para no leer todo lo anterior):

  • Instalar SUPERAntispyware y hacer un scan completo, así eliminar y corregir algunos errores.
  • Instalar avast!  y hacer un scan de todo el sistema antes que este inicie. Permitir que elimine algunos ejecutables del sistema, luego se puede recuperar de otra PC que tenga Windows instalado y no esté infectado.
  • Usar nuevamente SUPERAntispyware para corregir el Modo Seguro.

Otras cosas que hice y no recuerdo en que momento son:

  •  En Propiedades de sistema en la pestaña Restaurar sistema clic en la casilla Desactivar Restaurar sistema en todas las unidades. Con el fin de que el virus no guarde copias allí.
  • También instale una utilidad de AVG llamada rmtanat.exe (http://www.avg.com/filedir/util/avg_rem_sup.dir/rmtanat/rmtanat.exe) para comprobar que no allá otro infectado. Funciona independiente de AVG instalado.

Espero les sirva mi experiencia a alguien pues la información que encontré en diversos foros son mi generales.

Programador y Desarrollador Web. Administrador de RibosoMatic y Proyecto Yupy. Blogger y entusiasta de la tecnología, internet, software y tutoriales para desarrollo de aplicaciones para la web ....