El Blog de Malagana

Hace unos días me trajeron a reparar una pc infectada con este malware.

Los sintomas eran aparte de lenta, que se puso una leyenda aun lado del reloj con VIRUS ALERT!, aparte de borrar los 20 caracteres del id de la licencia del Windows.

También cambia el escritorio de windows, se quitan los derechos para abrir las propiedades de pantalla, regedit, el administrador de tareas, entre otros.

Existen ya herramientas para eliminar este malware pero el sistema no se recupera, es decir seguimos sin tener acceso al regedit, a las propiedades de la pantalla, nos quita accesos en el menu de inicio, etc.

Las siguientes instrucciones son para restablecer su sistema operativo y siga funcionando como antes. (A mí me funcionó de maravilla)

1. Abres en el menu de inicio, ejecutar (si esta opcion tambien ya no se te muestra, entonces presiona al mismo tiempo la tecla de inicio + r)

2. Teclea gpedit.msc

3. Te ubicas en Configuración del Usuario – Plantillas Administrativas – Sistema y en la ventana derecha te posicionas en Impedir el acceso a herramientas de edición del Registro, esta opción por default viene como no configurada entonces lo tienes que poner en deshabilitada. (En esta pantalla te podrás dar cuenta que tambien se pueden habilitar el acceso al administrador de tareas, al simbolo de sistema entre otros).  Esto te dará la opción de ya poder ejecutar el regedit. Pero no hemos terminado porque al reiniciarla seguira sin poder acceder, por lo tanto no la reinicien.

4. Sin reiniciar volvemos abir EJecutar y tecleamos regedit.

5. Modificamos las siguientes llaves del registro:

- Para quitar la leyenda de VIRUS ALERT! en la barra del reloj:
HKEY_CURRENT_USER > CONTROL PANEL > INTERNATIONAL > (en la parte derecha de la pantalla hay que seleccionar la clave STimeformat, hacer doble clic, borramos el contenido y escribimos h:mm:ss tt y Aceptamos)

- Para quitar la leyenda de VIRUS ALERT! en el ID de la licencia de Windows: HKEY_LOCAL_MACHINE > SOFTWARE > MICROSOFT > WINDOWS NT > CURRENTVERSION > (en la parte derecha de la pantalla seleccionar la clave de ProductID, si aqui tiene la leyenda de VIRUS ALERT! ingresar los 20 caracteres y Aceptamos) (si no tienen el id del windows, entonces es necesario ejecutar la herramienta de windows de Genuine Advantage Diagnostic, para que les de los numeros que van ahi)

- Para habilitar las propiedades de Pantalla:
HKEY_CURRENT_USER > SOFTWARE > MICROSOFT > WINDOWS > CURRENTVERSION > POLICIES > SYSTEM
Da clic en la pantalla de la derecha sobre una zona libre (blanca) y crea o modifica el valor DWORD NoDispBackgroundPage, escribe 1 si lo quieres deshabilitar y 0 para habilitarlo. Esta opción también sirve si quieres que los usuarios de la pc no tengan acceso a cambiar el papel tapiz, etc. Aquí también tienes que crear el valor DWORD NoDispAppearencePage, para habilitar la pestaña de Apariencia. NoDispSettiengsPage, para habilitar la pestaña de Configuración, NoDispScrSavPage, para habilitar la pestaña del Protector de Pantalla.

Despues de esto hay que reiniciarla y entrar de preferencia a modo a prueba de fallos.

1. Desactivar Restaurar Sistema.

2. Desintalar en Archivos de Programa cualquier programa como MyWebs, etc. que tu sepas que como que no van…

3. Instalar las siguientes herramientas y ejecutarlas una por una.

- HijackThis: una vez que lo haya corrido entonces hay que seleccionar las entradas que no conozcas, ojo porque si tienes instalado algun programa que necesite servicio de red, como Contpaq, Nomipaq, etc, sus llaves de regsitro te aparecerán aquí pero esas no hay que eliminarlas, como te darás cuenta? Fácil, porque te pone toda la ruta completa de lo que se esta ejecutando, entonces asi tu podras tomar la decisión si es un programa conocido o no. Aparte que por lo general los virus, y demás siempre ponen nombres a sus archivos no muy comunes o para que no los identifiques, cosa contraria a los que de verdad tu instalas, porque siempre tendrán alguna referencia al sistema origen, hp, office, etc.

- DelPSGuard, ejecutenla, esta es muy importante porque les eliminará eficazmente todas las entradas del registro.

- Malwarebytes’ Anti-Malware, igual ejectuen esta herramienta y eliminen todo lo que puedan o envíenlo a cuarentena.

- Reinicien el sistema  y ya en modo normal instalen CCleaner para limpiar los archivos temporales, cookies, y demás archivos que tengamos que sean basura.

Se tardarán una hora más o menos pero yo creo que vale la pena para evitarse el formateo y reinstalación de todo el software de su pc, porque la verdad queda muy bien.