Problema con virus Tanatos y Sality solucionado

20
6561

El fin de semana me llego una laptop Pentium 4 con Windows XP Pro y un problema de virus. Después de investigar un poco de distintos foros de por acá y por allá, descubri que es el famoso Win32/Tanatos.M (según AVG)  ó también nombrado como Win32/Sality.M (según Avast!). Por lo general el medio de contagio es a través de las memorias USB y correos basura que son abiertos por curiosidad.

¿Cómo actua?

La forma que opera el virus es muy peligrosa pues deja inútil, inservible cualquier ejecutable (.exe) que se le antoje ó este en memoria, incluyendo los antivirus. Si deseas instalar un programa de limpieza (como el ccleaner) solo te permite abrirlo (ya que te lo cierra en un par de segundos) luego lo infecta y lo deja inservible y además el instalador. Por lo que descargar y luego instalar se vuelve un proceso tedioso. En mi caso también instale el SUPERAntiSpyware pero … ¿que creen?Luego de un par de reinicios al sistema ya no servia.

Sintomas

Los sintomas de las PC’s infectadas son las siguientes:

  • No puedes abrir el Administrador de tareas de Windows.
  • No puedes abrir el Editor de Registro.
  • No puedes ver el submenu Opciones de carpeta del Explorador de Windows.
  • No puedes reiniciar en Modo a Prueba de Errores.
  • La mayoría de los ejecutables los deja inservibles, los convierte en su clon, pues al tratar de abrirlo se extiende más y más.
  • Los programas tipo uninstallno funciona por que desinstalar un antivirus para probar otro es un proceso de no acabar.
  • Afecta algunos ejecutables de la carpeta windows/system32 como: taskmgr.exe, wscript.exe, mspaint.exe, cmd.exe, etc y una serie de librerías DLL.
  • Cuando colocas una memoria USB sale un mensaje (en inglés) indicando que esta protegido contra escritura, por más que le des clic en: Continuar, Cancelar o Aceptar persiste.

Aunque parezca la mejor opción formatear la partición del sistema, cuando se tiene otras particiones, no es lo mejor pues puede que el virus allá afectado ejecutables en estas. Formateando todo el disco puede ser una alternativa, pero si tenemos información importante y deseamos sacarla de allí fácil sale de yapa el virus también. Dejando el cuento de terror en continuación.

Mi experiencia

Les explicare que hice en mi caso, no es determinante pero quizás les sirva. Es una serie de paso a paso (de las que recuerdo, pues me tomo casi 2 días).

Primero abri la Utilidad de configuración del sistema, inicio > ejecutar > escribir msconfig. Probe deshabilitando algunos programas dudosos que iniciaban junto con Windows para ver cual de ellos volvia a iniciar luego de reiniciar. Y me di con la sorpresa que msfun80, msime82.exe y scvvhsot.exe se sentian como en su casa.

Instale el CCleaner, con el fin de limpiar el disco y arreglar el registro, pero al abrirlo no pasaba ni dos segundos y se cerraba.

Instale SUPERAntiSpyware con sus actualizaciones e hice un scan al sistema. Encontro una serie de infecciones que acompañaba al principal virus. Una carga menos! Ya podia usar el Administrador de tareas y el Editor de Registro.

La PC contaba con el antivirus ESET NOD32 el cual era un zombie (no servía), así que lo desinstale sin ningún problema (hay que tener en cuenta que el virus malogra los programas de desintalación). Instale el AVG Free (una versión de marzo que tenía por allí) actualice y reinicie. Luego de reiniciar AVG me informa de varios ejecutables infectados con Win32/Tanatos.M. Hice un scan de todo el sistema y encontro un gran cantidad de infectados con este virus a la vez que cada dos minutos algo se infectaba, realmente tedioso.

La mayoría de los ejecutables infectados eran los que se iniciaban con Windows. La PC contaba con PowerDVD, Utilidades de Canon, algo de Adobe, etc. Así que con la ayuda de ccleaner que ya funcionaba los deshabilite, solo deje el SUPERAntispyware y AVG Free.

Pero al reiniciar seguía igual. En uno de tantos reinicios el SUPERAntispyware no funcionaba pues había sido contagiado. Me di cuenta entonces del funcionamiento de virus que es: contagiar cualquier ejecutable al que accedieras luego de un par de usos. Lo más gracioso fue cuando AVG Free me decia que avgtray.exe (uno de los herramientas que usa AVG) estaba infectado. Estaba en graves problemas.

Luego me acorde de mi amigo Avast! y su scan que realiza antes de iniciar Windows (no sé si AVG tiene una opción así, pero ya era tarde para saberlo). Antes necesitaba desintalar AVG pero el desintalador no servía. Lo que hice fue instalar de nuevo solo para desintalar. Instale Avast! y automáticamente programa un scan a todo el sistema antes de iniciar Windows. En ese momento fue cuando me encontro una serie de ejecutables del sistema (windows/system32) infectados.

Y allí es donde recomiendo darle la opción eliminar todo pues si dejamos rastro allí rapidamente se va a propagar (y lo confirmo pues yo no los elimine a la primera y el problema persistio). En mi caso Avast! eliminó los siguientes ejecutables infectados taskmgr.exe mspaint.exe, cmd.exe, rundll32.exe, wscript.exe y más.

Al iniciar Windows parecia como si un huracán había pasado. Programas que no abrian y tenia que volver a instalarlos. Arreglar el registro con ayuda de CCleaner y más.

Pero faltaba solucionar un problema, no inicia en Modo a Prueba de Errores. Esto se soluciona con ayuda de SUPERAntispyware (el cual volvi a instalar) en la opción Preferencias en la pestaña Arreglos seleccionamos de la lista Repair broken Safeboot key y pulsamos Ejecutar arreglo. Y reiniciamos para probar presionando F8 antes de iniciar Windows.

Lo que te recomiendo hacer

En resumen (para no leer todo lo anterior):

  • Instalar SUPERAntispyware y hacer un scan completo, así eliminar y corregir algunos errores.
  • Instalar avast!  y hacer un scan de todo el sistema antes que este inicie. Permitir que elimine algunos ejecutables del sistema, luego se puede recuperar de otra PC que tenga Windows instalado y no esté infectado.
  • Usar nuevamente SUPERAntispyware para corregir el Modo Seguro.

Otras cosas que hice y no recuerdo en que momento son:

  •  En Propiedades de sistema en la pestaña Restaurar sistema clic en la casilla Desactivar Restaurar sistema en todas las unidades. Con el fin de que el virus no guarde copias allí.
  • También instale una utilidad de AVG llamada rmtanat.exe (http://www.avg.com/filedir/util/avg_rem_sup.dir/rmtanat/rmtanat.exe) para comprobar que no allá otro infectado. Funciona independiente de AVG instalado.

Espero les sirva mi experiencia a alguien pues la información que encontré en diversos foros son mi generales.

20 COMENTARIOS

  1. Buenas

    Ah, bendito sea Linux, que no tiene problemas de virus.

    Una solución que te habría ahorrado problemas, habría sido usar precisamente una distro Live de Linux con antivirus.

    No conozco ninguna, pero haciendo una búsqueda en Google me aparece por ejemplo PLoP (http://www.plop.at/en/ploplinux.html#features) que incluye precisamente Avast

  2. Si fuera mi PC lo hubiera formateado todo pero bueno así se aprende 🙂 Y pues claro que pense en Linux en esos momentos e interesante la distro que mencionas la chequearé. Saludos!

  3. Wo0o0oW!!
    inspiradora la historia de aver sabido de como eliminar esos tediosos virus no abria perdido mis 30 GB de peliculas!!!!!!!!! estoi super furioso con ese virus aun siguia buscando info sobre este virus pero gracias ati encontre la informacion q necesitava por si me sucedia algun otro dia… ahorita mismo bajare esos programas y los respaldare por si las dudas xD
    sale gracias hermano cuidese va a favoritos este FORO =)

  4. Hola mi nombre es fredy
    en cuanto al problema con el gusano o caballo de troya llamado win 32/sality e intentado todo tipo de formas de cómo eliminarlo del pc
    entre otras complicaciones este virus a eliminado gran parte de los programas ya instalados de mi computadora probé con Avast! pero lo único que hizo fue registrar el virus y no eliminarlo! Lamentablemente no sé como poder volver a la normalidad todo el sistema, yo no soy técnico ni nada para estas cosas..bueno con el avast una vez que lo instalé me pidió una ventana reiniciar el sistema y lo hice una vez que se reinicia la pc comienza a ejecutarse Avast y me pide un monton de aplicaciones apreté eliminar y encontró varios virus según el caso dice que eliminó todos los virus troyanos que se habían propagado en la computadora pero no fue asi. después reinicie el sistema y me di cuenta que avast no habia eliminado nada.. una vez iniciada sesión avast comenzo a revisar todos los virus que tenia más o menos 2.850 tipos del famoso virus sality que no podia eliminar y en eso estoy buscando la forma de sacarlo y que vuelva todo a la normalidad..además no puedo ejecutar nada como programas ni videos lo vuelve todo más lento y las ventanas se repiten
    por favor les pido ayuda..no sé que hacer!! escrínbanme a mi msn:
    Fredy_hxcbkn@hotmail.com
    necesito ayuda por favor!!

  5. Interesante información, pero puedo sugerir algunas cosas mas (que son tambien de experiencia propia)

    1. Algunos sistemas pueden estar tan corruptos que al realizar la eliminación puede restringir el acceso al administrador y usuarios (al eliminarlos con antelación)…. y si ese es el caso los que novatos estan servidos, ya que no pueden ingresar ni a prueba de fallos ni normalmente.
    “Solución”
    – Si tienen mas de un disco local:
    1. Antes de hacer cualquier cosa, copiar toda su información en otro disco diferente al del Sistema Operativo
    2. Pasar el Superantispyware (recuenden bajarse la database y actualizar) y eleiminar todo lo que se les ponga en frente, reinician y eliminan todo lo que esta en cuarentena y vuelven a reiniciar. Si tienen acceso a: Inicio>ejecutar>regedit (administrador de registros) se libraron de una buena. Porque ya tienen permiso de instalar antivirus (que necesitan registrarse),
    3. pero antes deben desactivar todos los ejecutables posibles como instruyo el buen autor de este post e instalen Avast (y tambien descargen y actualizen la database antes del reinicio y eliminen todo) si todo va bien ya no tienen ese molesto virus.
    4. al reinicio puede que ya no inicie (ya que elinamos muchos archivos de la carpeta Windows), reinicien
    5. Reinstalen el sistema operativo(S.O) y elijan la opcion reparar donde estaba el sistema operativo (normalmente el C: ).(No saben como?…. Pues ya es hora de aprender! que es mas facil que respirar, es apenas dar un par de clicks y siguiente, etc. Hagan que alguien que sepa les muestre y aprendan de una vez!!)
    6. Listo cuando inicie nuevamente dan un nuevo scan completo y pasan el Ccleaner y listo, Todos felices.

    NO FUNCIONO y sigue el problema?
    1. Repetir los pasos 1 al 4
    2. Formateando el disco donde estaba el antiguo S.O. y reinstalar uno nuevo
    3. Cuando ingresen, comprueben que abre el regedit. De ser asi podemos continuar.
    4. No hagan click a ninguna carpeta ni nada (porque muchos son clones del sality.exe) ya que de hacerlo volvemos al principio Instalen inmediatamente el antivirus recomiendo NOD32 o AVAST que son faciles de actualizar (Siempre!!! con la database actualizada :), que incluso se puede descargar offline y llevarlo en un USB limpio y sin Sality XD, claro esta!) escanean y eliminan todo. Veran que incluso Los archivos e instaladores de Superantispyware son eliminados (como ejecutables fueron corrompidos con Sality) y eliminan (Cuidado! a la hora de eliminar por si luego se arrepienten, Pero lo normal es eliminar todo 🙁 ) y listo consiguen otro Spuerantispyware y database y ejecutan, Ccleaner y listo!!

    Lo pongo lo mas simple posible, espero que le sea util. Nos vemos

  6. Asi me olvidaba:
    1. Para los que ya no funciona el ingreso a prueba de fallos, es por que se eliminaron con Superantispyware o terminaron corruptos con Sality. Pueden descargar SafeBootKeyRepair lo ejecutan y listo (hay tutoriales por ahi) y hacen todas las acciones en modo a prueba de fallos.

    2. Es verdad! Sin duda Linux tiene muchas ventajas. No me gusta mucho la presentación que tiene, pero a parte de ello sin duda es muy confiable!

    3. Siempre deben intentar actualizar el antivirus, porque, que es lo que puede eliminar una Database obsoleta de hace dos años?

  7. pues yo tuve ese virus en 2 compus y mi solucion fue mas simple primero en uan formatee y leugo isntale el avg y cunado me lo limpio volvi a formatear para arreglar todo lo q se habia infectado en la otra instale el avg y luego formatee asi de simple y mas facil 😀

  8. yuo tambien tuve ese virus formatee mi disko c y instale el avg escanneee y sako algunos luego instale el AVIRA FREE PERSONAL EDITION y me los kito a todos de encima dejandolo como nuevo BUEN ANTIVIRUS LO REKOMIENDO ¡

  9. jajaja si es sierto podes bloquear algunas cosa pero cuando una vez esta el virus dentro te deja sin posibilidades yo tengo en este momento el mismo problema .

    e querido entrar a regedit para eliminar alguna cosas no puedo.

    me Bloqueo el administrador de tarea.
    me bloqueo el acceso a las propiedades de mi pc
    me bloqueo el descomprimir alguna archivo en zip o rar
    instale el AVG y me elimina algunos virus pero el antivirus tambien se elimina por que se ase bulnerable al intalarlo y se contagia automaticament en milisegundos.
    alt+ctrl+spr no exixte en este caso con este virus Tanatos M. o Tanatos R.

    are los pasos que estan arriba ojala me solucione el problema por que en este momento no tengo permiso de nada con este virus.

    otros dicen que la forma es formatear tu pc. pero ese no es el caso el virus te corrompe el instalar nuevamente. si instalas el windows nuevamente puede que te lo instale en otra unidad de sistema no elegida y todos tus documento se te eliminen. asi que formatear no es la solucion. a no ser que primero pares este virus y luego le metas un buen antivirus les aconsejo mucho el AVIRA es el mejor antivirus que e probado es mucho mejor que el kaspersky por que se los digo por que el kas no te eliminia algunos archivos como el Reciler y el archivito system information que alguna vez te aparecio sigue oculto y listo para despertar cualquier momento. el avira me lo elimino no me lo bloqueo del todo pero ise algunas cosillas para modificar ese asunto y me lo elimino el AVIRA xD

    bueno suerte para ustedes y para mi tambien 🙂

  10. hagan una cosa.!!!
    no descarguen boludeces de cualquier pagina y we.!!!
    formteen la pc en especial las particiones y hagan un backup en los archivos ejecutables(.exe) y utiliven avast 2010 q sta muy vueno

  11. yo tengo ese famoso virus Win32/Tanatos.M que me tiene podrido pero voy a seguir los pasos que mencionaste y espero que funcione para sacarmelo de encima porque si no voy a ir a la casa del creador de ese virus y lo cago a tiros jeje na mentira se me hace mas facil formatear XD

  12. Hola tengo un problema en mi pc descargue un juego de dado y n me ejcutaba y bueno lo trate de eliminar y no podia al rato se apago sola y cuando la volvi a prender me salian 4 opciones la primera 1)modo seguro
    2)Modo seguro con funciones de red
    3)Modo seguro con simbolo del sistema
    4)Modo normal
    Bueno le doy a cualquiera de las opciones y nada al darle a alguna de las opcione se te reinicia y buelve a las opciones ayuda aki dejo mi correo
    Para que me ayuden o me digan que devo hacer daniel-bastidas@hotmail.com
    Ayudenme porfavor necesito la pc no es mia

  13. gracias, tengo xp y no sabia como solucionar eso del admin de tareas y del registro use el superantispyware y listo! Tampoco me servia el avast internet security con licencia ahora si lo pude instalar, RECOMENDADO!!

  14. Me parece que tengo una solucion diferente a la vuestra, ya que el problema de la computadora que me trajeron es un poco mas serio de lo que parece, terminare de provarla y regreso para dejar el resultado, al parecer va funcionando de ostias, un saludo!

Comments are closed.