Restaurar sistema deshabilitado

[FernandOrtiz]

Saludos Personal de Zonavirus

Quisiera que me ayuden con este problema



Al prender mi computadora, el escritorio apareció como si fuera sacado de fábrica. Tengo todos mis archivos y programas pero la configuración de xp se configuró al estado inicial de windows.

Intenté restaurar el sistema pero me sale que la opción ha sido deshabilitada. Ingrese en modo de administrador y no me aparece la opcion al dar clic derecho, propiedades en mi Pc. Intentandolo por el panel de control al querer ingresar a los servicios de windows me sale una ventana en blanco que dice "Leviathan.hta"

Por ultimo descubrí que puedo ingresar a los servicios de windos dando clic derecho en mi Pc y luego entrar en administrar. Sin embargo al querer iniciar el servicio de restaurar sistema me sale que no encuentra la ruta del ejecutable.



Ya no sé que hacer. Ya pasé el elistara y no detecto nada de nada. El leviathan y el lucifer (no se si sean lo mismo) los había eliminado hace un mes con el elistara. Creo que estos dejaron estas desconfiguraciones y me doy cuenta recién. Que puedo hacer? Formatear?

[msc hotline sat]

Pues estan relacionados, uno es el nombre que usa en el disco duro y el otro el que usa en la propagacion por pendrive, pero parece que hay una nueva version que no controlamos totalmente al no tener muestras:





[quote"Arwing"]

virus VenoM.Lucifer



Síntomas



La nueva versión presenta los siguientes síntomas:





Al intentar ejecutar o abrir archivos de extensión .inf, .ini, .js, .msc, .txt, .vbe y .vbs muestra el siguiente mensaje: "La fuente de voltaje no es suficiente para el correcto funcionamiento , QUÉMATE EN EL INFIERNO UN RATO e intentelo mas tarde." y una pantalla negra que muestra la palabra VenoM? formada por ceros.

Crea diversas claves en el registro con la frase: "Tú has sido derrotado de nuevo por VenoM"

Impide la ejecución de los siguientes ejecutables:



notepad.exe

cmd.exe

ibprocman.exe

explorer.exe

integrator.exe.exe

HijackThis.exe

wordpad.exe

rstrui.exe

msconfig.exe

regedit.exe

HiJackthis_v2.exe

Deshabilita la Búsqueda de Windows, la ventana de Propiedades de Mi PC, la Papelera de Reciclaje y oculta las Opciones de Carpeta. No permite ver archivos ocultos, del sistema, ni las extensiones de archivos.

Se copia a dispositivos de almacenamiento externo como memorias Flash USB, discos duros externos, etc.

Registra un controlador o driver como "driver lucifer (Satanas Resurrection Of The Hell 'Black Metal')".

Genera archivos ejecutables de 54 KB (algunas personas reportan tamaños diferentes) con icono de carpeta. Estos archivos ejecutables se crean dentro de la carpeta Mis Documentos y todas las carpetas dentro de ésta, creando un ejecutable (del mismo nombre de la carpeta) por cada carpeta existente.



Métodos de Propagación



Aparentemente este malware se propaga por medio de dispositivos de almacenamiento externo, como memorias USB, discos duros externos, etc.



Método de Desinfección (en sistemas Windows XP)



Actualizado al 7 de Septiembre, 2008: Ahora pueden usar la herramienta AntiVenoM, creada por Otr3puR, para desinfectar sus sistemas automáticamente: http://rapidshare.com/files/142926018/APG_AntiVenoM_6.1.0.10.exe



Las siguientes instrucciones siguen disponibles para las personas que las encuentren útiles.



Las siguientes instrucciones son para Windows XP. Actualmente desconozco si esta versión de VenoM.Lucifer afecta a otras versiones de Windows. Hasta ahora no he visto reportes de usuarios que digan que afecten a Windows Vista u otras versiones.



Para la desinfección es necesario descargar la herramienta EliStarA (versión 16.84 o superior), que puede ser obtenida aquí: http://www.zonavirus.com/descargas/elistara.asp



Una vez descargado EliStarA sólo hay que ejecutarlo. Cuando EliStarA nos pregunte si deseamos limpiar el archivo HOSTS seleccionamos “Sí”. Esto debido a que VenoM agrega varias entradas al archivo HOSTS. Las demás preguntas que EliStarA hace con relación a Internet Explorer las podemos responder según lo consideremos útil (preguntará si deseamos eliminar las páginas de inicio y búsqueda y los archivos temporales, pero ninguna de estas tiene relación con esta variante de VenoM).



Cuando aparezca la ventana principal de EliStarA, éste probablemente ya habrá iniciado el escaneo y procederá a eliminar los archivos pertenecientes a VenoM que encuentre por el sistema, siempre y cuando la casilla “Eliminar ficheros automáticamente” esté seleccionada.



EliStarA hace todo el trabajo pesado por nosotros, matando procesos, borrando archivos, eliminando entradas del registro, restaurando configuraciones, etc. Hace un buen trabajo pero deja algunas entradas en el registro sin restaurar que pueden resultar molestas si no las cambiamos. Por ejemplo, cada vez que queramos abrir un archivo .txt, nos aparecerá un errorm pues en la información del registro se apunta a uno de los archivos de VenoM que fue eliminado por EliStarA.[/quote]Fuente: Arwing



             [img]http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif[/img]



Parece ser que usa como gusano este fichero:



VenoM.exe



y este LucifeR.exe



( que parece se copia a pendrives y unidades removibles, dentro de una carpeta oculta con nombre "System Volume Information", que no es la del Restore ! y dicho fichero tiene icono de carpeta ...! )





Buscalos con Inicio -> Buscar -> en todas las carpetas y ficheros seleccionando en opciones avanzadas archivos ocultos y de sistema, y si los encuentra envianoslos para analizar y controlar, pues parece que hay esta nueva variante que se propaga por pendrive, y puede ser la que ahora tienes.



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y revisa tus pendrives ... y vacuna tus ordenadores y pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





SALUDOS



MS, 14-1-2009

[FernandOrtiz]

Saludos. No encuentro los archivos Venom ni lucifer. El elistara tampoco tuvo exito (No posteo el resultado porque no hay nada que ver). Tampoco tengo problemas para abrir cualquiera de esas utilidades. Parece ser que el virus ya fue eliminado hace tiempo, recuerdo que lo hice parece ser con el avast porque en el archivo satinfo no hay nada. Mi pendrive estaba hace tiempo con el elipen. Parece ser que lo trajo mi hermano con su camara.

El problema es que tras la eliminacion quedo el registro muy desconfigurado.



Tengo una idea. Mala practica mia de no hacer backups periodicos de los registros, la verdad me confiaba mucho en la restauracion del sistema que mas de una vez me ayudo. De casualidad tengo un backup del registro de hace tres meses. Podria cargar ese backup y recuperar las opciones del sistema? asi podria ejecutar nuevamente restaurar el sistema hasta un punto antes de que el virus lo desconfigure. Queria preguntar primero antes de danar algo...

[msc hotline sat]

Si tienes un punto de restauracion proximo al percance, pero anterior, claro, aplicalo, ello restaurará claves y ficheros a los existentes en dicha fecha



Y nos viene al pelo lo que dices de "[b][i]Parece ser que lo trajo mi hermano con su camara[/i][/b]". Sí, como hemos dicho otras veces, las cámaras digitales son pendrives, y debe vacunarse con el ELIPEN para que no se infecten y no propaguen este tipo de virus.



De todas formas, si hubieras tenido el ordenador vacunado con el ELIPEN, no se hubiera autoejecutado el AUTORUN.INF de la memoria de la camara...



Cuentanos tus progresos al respecto, gracias



saludos



ms, 15-1-2009

[FernandOrtiz]

Una pregunta antes de hacerlo. Como el archivo de respaldo de registro que tengo es de hace dos meses (y estoy 100% seguro que en ese tiempo estaba todo bien) no es posible que lo que haya instalado en los siguientes dos meses deje de funcionar y peor aun imposible de desinstalar?



Y para estar seguro:

Para restaurar el registro voy a regedit y luego voy a la opcion importar, no?



Gracias por su colaboracion

[msc hotline sat]

Deja estar el REGEDIT en paz !!!



Decimos que si tienes un punto de restauracion anterior al problema, restaures ficheros y registro a dicho punto, pero no solo con un respaldo del registro, eso sería hacer las cosas a medias y podría ser peor el remedio quela enfermedad...



Prueba el ELRSTRUI, y mira si tienes dicho punto de restauracion y aplicalo si es el caso:



ELRSTRUI:

http://www.zonavirus.com/datos/descargas/258/elrstruiexe.asp



y nos cuentas elr esultado, gracias



saludos



ms, 18-1-2009

[FernandOrtiz]

Ya baje la aplicacion y la corri pero me sale el mismo mensaje que me sale si intento acceder a Restaurar Sistema de modo normal, me sale: "restaurar sistema ha sido deshabilitado por una directiva del grupo" y estoy en modo de arranque como admin

[julibaga]

Intenta hacer lo siguiente:



Inicio -> panel de control -> vista clásica (en la parte superior izquierda) -> herramientas administrativas -> servicios -> servicio de restauración de sistema -> doble click -> iniciar, aplicar y aceptar -> reincia el equipo.



Con el botón derecho del mouse sobre MiPc -> Propiedades, mira si está la pestaña "Restaurar sistema", si está marcada desmárcala para que se active, y reinicia la computadora para que surtan efecto los cambios.



Espero te sirva.

[FernandOrtiz]

Gracias por la sugerencia pero ninguna me funciona.



No puedo acceder desde herramientas administrativas porque el virus dejo danados esos accesos. Sale: MMC no puede abrir el archivo C:/Documents and Settings/Personal/"C":/Windows/system32/services.msc"



Esa direccion que es la que creo que esta mal es una de las cosas que el registro tiene desconfiguradas.



Puedo sin embargo acceder a los servicios de windos haciendo clic derecho en MiPc --- Administrar.

Pero cuando pongo iniciar el servicio de restaurar el sistema me dice que no encuentra el archivo en system32/svchost.exe -k -nets... algo , no recuerdo bien.

[b]

Se puede reparar el sistema con el cd de instalacion de windows?[/b]

[msc hotline sat]

Claro que piedes REPARAR arrancando con el CD de instalacion de windows:


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

Y aparte, como que supongo que has probadfo el ELISTARA, ELIPEN y demas, posteanos el contenido de c:\infosat.txt , como pedimos con todas las utilidades de evaluacion:



[b][i]Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/i][/b]



para ver el resultado de los procesos, gracias



saludos



ms, 22-1-2009