Estimados amigos de T!, hace mas de 1 año que soy usuario del sitio y hace un tiempo vengo pensando y repensando que es lo que puedo postear, algo que no se haya posteado antes ni que sea Crap!, todos sabemos que hay mucho de eso en T!.
Les comento que soy técnico de una empresa de informática.
El Hecho
:
hace aproximadamente 1 mes vino una máquina que tenia un problema muy peculiar. No iniciaba sesión, es decir quedaba en un bucle infinito: iniciaba y se cerraba; tenia instalado como antivirus el ESET Smart Security (muy bueno a my saber y entender) pero bueno uno nunca está excento ante ningún ataque y todos sabemos que los antivirus no son infalibles.
como resultado y solución decidimos hacer un backup de la información del cliente y cargar el sistema operativo de nuevo, limpiarla de virus y listo, problema solucionado.
el Lunes de esta semana llego una maquina con el mismo problema. y aca es cuando se arma el problema. Como anti virus tenia el Avast professional. y fue entonces cuando decidi investigar como solucionar el problema sin formatear. encontré en la Red un tutorial que explicaba el motivo de este bucle, y la forma de solucionarlo (mas adelante les explico como, pero aca no termina la historia), solucione el problema del bucle y efectivamente inició la sesión nuevamente, y aca es cuando se arma el desastre!!. resulta que accidentalmente conecté el cable de red a la máquina infectada. el virus se propagó por toda la red y 15 máquinas se infectaron al mismo tiempo con el mismo virus, nunca vi una cosa igual. Fue en este momento cuando decidí investigar mas a fondo pero no encontré información que me ayude (no queria formatear 15 máquinas) entonces empecé a probar soluciones. Habia una maquina que no estaba conectada a la red entonces conecté el disco de una de las infectadas y le corrí el antivirus (ESET Smart security). supuestamente había borrado el virus, pero al conectarlo el problema persistía. Entonces caí en la cuenta de que era un virus mas jodido y decidí tratar de borrarlo manualmente.
La solución lista en 15 minutos :
En esta parte voy a describir el como lo solucione y las herramientas que utilicé, no voy a postear la descarga de las herramientas porque el T! estan todas solamente les voy a citar los nombres y uds. las descargarán (para que postear de nuevo lo mismo que otros postearon)
En primer lugar utilicé un sistema operativo portable el nombre es "Windows mini PE Edition" lo encontré en T! hace un tiempo, el cd trae otras utilidades también. El cd se llama "Diamond boot Cd 2.0" trae incluido el "hiren's 8.5, el mini PE, el ultimate boot cd" (es un excelente cd de rescate.
Con esta herramienta logramos entrar en nuestros discos rígidos y hacer lo que sea es excelente para recuperar datos perdidos, hacer backup de información cuando el sistema operativo no arranca, testear el disco en busca de errores, etc. (bajenlo es excelente)
Una vez que ingresamos al sistema vamos al menú de
inicio-->programs-->registry tools-->avast regisry editor.
Con esto vamos a ingresar al registro de windows de nuestro sistema dañado. de esta forma vamos a reparar el problema del bucle. Este problema sucede porque el virus borró una clave del registro: el userinit.exe, entonces... al abrir el avast registri editor nos va a preguntar el registro que queremos abrir y nos da por defecto el c:\windows lo cargamos... nos va a alertar que no puede hacer backup del registro antes de modoficarlo (no le damos importancia), una vez que ingresamos nos vamos a la siquiente clave de registro:
hkey_local_machine-->software-->microsoft-->windows nt-->currentversion-->winlogon
en esta clave vamos a buscar el valor userinit. notaremos que el valor userinit esta en blanco o que va a estar de la siguiente manera: c:\windows\system32\userinit.exe, c:\windows\system32\system.exe. este último valor es el virus (el system.exe). modificaremos el valor y solamente dejaremos c:\windows\system32\userinit.exe, (la coma tiene que estar al final). Listo! ahora nuestro sistema iniciará, pero aún tendra el virus activo, porque? porque este virus se aloja en la papelera de reciclaje y en los archivos temporales. entonces borraremos todo esto.
cerramos el editor de registro. y abrimos el windows explorer.
inicio-->programs-->file managers-->windows explorer
notaremos que el windows explorer no muestra absolutamente todo: archivos ocultos, archivos de sistema, etc. asi que ojo con lo que borran. en la raiz del c:\ van a ver la carpeta RECYCLER, la abrimos y borramos todo lo que esta adentro.
luego vamos a las carpetas temporales.
c:\windows\temp\
borramos todo lo que haya. luego:
c:\documents and settings\"tu usuario"\configuración local\temp
borramos todo. ojo si hay mas de un usuario en la maquina tienen que acerlo con todos los usuarios (donde dice "tu usuario" es el nombre de inicio de sesión sea: Administrador, juancito, fulanito, sultanito, etc)
una vez hecho esto reinician inicio-->shutdown-->reboot
e iniciamos el sistema operativo en modo a prueba de fallos.
una vez iniciado usamos el programa autoruns (busquenlo en la web es gratuito) esto es para editar el registro de windows nuevamente. notaremos que este programa nos muestra el registro mas ordenado y es mas fácil editarlo. Ojo con lo que borran aca también
van a borrar solamente las claves que en una de las columnas "image path" diga "file not found" (esto es porque ya borramos el virus manualmente en los temporales y en la papelera de reciclaje) todas la claves podrán ser borradas sin problemas excepto una, que es la que apunta a la papelera de reciclaje "recycler" el nombre de la entrada es mozillaCorp (este es el virus) solamente podremos destildar la casilla.
una vez terminado todo esto correremos el antivirus una ultima vez para que limpie los rastros que quedan del virus. Esto es todo amigos
EL VIRUS FUE ELIMINADO
Espero les haya servido de mucho. Comenten
PD: hice un videito que muestra como lo solucione y que funciona. después lo pongo
Lo prometido... el video
disculpen la calidad. esta grabado con un celular nomas
link: http://www.videos-star.com/watch.php?video=D-z9BC6K3fM
Les comento que soy técnico de una empresa de informática.
El Hecho
:
hace aproximadamente 1 mes vino una máquina que tenia un problema muy peculiar. No iniciaba sesión, es decir quedaba en un bucle infinito: iniciaba y se cerraba; tenia instalado como antivirus el ESET Smart Security (muy bueno a my saber y entender) pero bueno uno nunca está excento ante ningún ataque y todos sabemos que los antivirus no son infalibles.
como resultado y solución decidimos hacer un backup de la información del cliente y cargar el sistema operativo de nuevo, limpiarla de virus y listo, problema solucionado.
el Lunes de esta semana llego una maquina con el mismo problema. y aca es cuando se arma el problema. Como anti virus tenia el Avast professional. y fue entonces cuando decidi investigar como solucionar el problema sin formatear. encontré en la Red un tutorial que explicaba el motivo de este bucle, y la forma de solucionarlo (mas adelante les explico como, pero aca no termina la historia), solucione el problema del bucle y efectivamente inició la sesión nuevamente, y aca es cuando se arma el desastre!!. resulta que accidentalmente conecté el cable de red a la máquina infectada. el virus se propagó por toda la red y 15 máquinas se infectaron al mismo tiempo con el mismo virus, nunca vi una cosa igual. Fue en este momento cuando decidí investigar mas a fondo pero no encontré información que me ayude (no queria formatear 15 máquinas) entonces empecé a probar soluciones. Habia una maquina que no estaba conectada a la red entonces conecté el disco de una de las infectadas y le corrí el antivirus (ESET Smart security). supuestamente había borrado el virus, pero al conectarlo el problema persistía. Entonces caí en la cuenta de que era un virus mas jodido y decidí tratar de borrarlo manualmente.
La solución lista en 15 minutos
:
En esta parte voy a describir el como lo solucione y las herramientas que utilicé, no voy a postear la descarga de las herramientas porque el T! estan todas solamente les voy a citar los nombres y uds. las descargarán (para que postear de nuevo lo mismo que otros postearon)
En primer lugar utilicé un sistema operativo portable el nombre es "Windows mini PE Edition" lo encontré en T! hace un tiempo, el cd trae otras utilidades también. El cd se llama "Diamond boot Cd 2.0" trae incluido el "hiren's 8.5, el mini PE, el ultimate boot cd" (es un excelente cd de rescate.
Con esta herramienta logramos entrar en nuestros discos rígidos y hacer lo que sea es excelente para recuperar datos perdidos, hacer backup de información cuando el sistema operativo no arranca, testear el disco en busca de errores, etc. (bajenlo es excelente)
Una vez que ingresamos al sistema vamos al menú de
inicio-->programs-->registry tools-->avast regisry editor.
Con esto vamos a ingresar al registro de windows de nuestro sistema dañado. de esta forma vamos a reparar el problema del bucle. Este problema sucede porque el virus borró una clave del registro: el userinit.exe, entonces... al abrir el avast registri editor nos va a preguntar el registro que queremos abrir y nos da por defecto el c:\windows lo cargamos... nos va a alertar que no puede hacer backup del registro antes de modoficarlo (no le damos importancia), una vez que ingresamos nos vamos a la siquiente clave de registro:
hkey_local_machine-->software-->microsoft-->windows nt-->currentversion-->winlogon
en esta clave vamos a buscar el valor userinit. notaremos que el valor userinit esta en blanco o que va a estar de la siguiente manera: c:\windows\system32\userinit.exe, c:\windows\system32\system.exe. este último valor es el virus (el system.exe). modificaremos el valor y solamente dejaremos c:\windows\system32\userinit.exe, (la coma tiene que estar al final). Listo! ahora nuestro sistema iniciará, pero aún tendra el virus activo, porque? porque este virus se aloja en la papelera de reciclaje y en los archivos temporales. entonces borraremos todo esto.
cerramos el editor de registro. y abrimos el windows explorer.
inicio-->programs-->file managers-->windows explorer
notaremos que el windows explorer no muestra absolutamente todo: archivos ocultos, archivos de sistema, etc. asi que ojo con lo que borran. en la raiz del c:\ van a ver la carpeta RECYCLER, la abrimos y borramos todo lo que esta adentro.
luego vamos a las carpetas temporales.
c:\windows\temp\
borramos todo lo que haya. luego:
c:\documents and settings\"tu usuario"\configuración local\temp
borramos todo. ojo si hay mas de un usuario en la maquina tienen que acerlo con todos los usuarios (donde dice "tu usuario" es el nombre de inicio de sesión sea: Administrador, juancito, fulanito, sultanito, etc)
una vez hecho esto reinician inicio-->shutdown-->reboot
e iniciamos el sistema operativo en modo a prueba de fallos.
una vez iniciado usamos el programa autoruns (busquenlo en la web es gratuito) esto es para editar el registro de windows nuevamente. notaremos que este programa nos muestra el registro mas ordenado y es mas fácil editarlo. Ojo con lo que borran aca también
van a borrar solamente las claves que en una de las columnas "image path" diga "file not found" (esto es porque ya borramos el virus manualmente en los temporales y en la papelera de reciclaje) todas la claves podrán ser borradas sin problemas excepto una, que es la que apunta a la papelera de reciclaje "recycler" el nombre de la entrada es mozillaCorp (este es el virus) solamente podremos destildar la casilla.
una vez terminado todo esto correremos el antivirus una ultima vez para que limpie los rastros que quedan del virus. Esto es todo amigos
EL VIRUS FUE ELIMINADO
Espero les haya servido de mucho. Comenten
PD: hice un videito que muestra como lo solucione y que funciona. después lo pongo
Lo prometido... el video
disculpen la calidad. esta grabado con un celular nomas
link: http://www.videos-star.com/watch.php?video=D-z9BC6K3fM