A continuación les dejo saber un método que descubrí por mi cuenta y ayuda a eliminar efectivamente el virus HLLWGaobot.Gen. Este procedimiento puede ser muy útil sobre todo si tienen instalado el Norton Antivirus en su PC y desde que el virus infectó el sistema ya no pueden ni siquiera abrir el Norton para limpiar el equipo.
Este método está basado en varios equipos que me tocó atender con esta situación. Aquí les hablaré de uno de ellos:
Gaobot crea los siguientes archivos para mantener la infección:
+explore.exe
+explore.poly (no siempre logra crearse tal vez debido a un error de programación)
+cssrs.exe
+winhlpp32.exe
A veces se crean otros 2 diferentes pero estos son los más comunes.
Regularmente se guardan en la ruta C:\Windows\System32\
en equipos con Windows 9x y/o XP
En equipos con el SO en español suelen crearse los archivos explore.exe y cssrs.exe y en la versión en inglés suele crearse el explore.exe y el winhlpp32.exe. A veces se realiza una mescla de ambos.
Se realizó un scaneo completo del sistema pues el usuario realizó un scaneo en línea en el sitio Security Check de Symantec, uno en Modo Normal y otro en Modo Seguro sin resultados de virus.
Incluso se ejecutan las ToolFix de Symantec para Blaster, Klez, Netsky y Gaobot ( !!!) sin resultado
Efectivamente, es imposible mantener abierto el Main del producto en tiempo real pues no transcurren apenas 6 segundos y se cierra
En modo a prueba de fallos se presentaba el mismo problema pero finalmente se logra entrar al main del NAV luego de varios intentos y se observa lo siguiente:
Aparece un error de Java Script y luego logra entrar el main sin cerrarse (recordemos que estamos en modo a prueba de fallos)
Acto seguido se muestra el main con opciones desactivadas.
DEFS:18/03/2004
SUSCRP: 08/03/2005
AutoProtect: Off
Análisis de Correo: Error
Scripts: On
La versión del Explorer que tiene es: IE6 versión 6.0.2800.116.xpsp2.021108-1929 por lo que no es posible pensar que el error esté vínculado a una versión de IE obsoleta y que los controles Java no estén cargando adecuadamente.
Me permití limpiar cookies y archivos offline de internet y luego restaurar los valores predeterminados del internet y reiniciar la PC
Solo así, ahora ya es posible que el Main del NAV se abra pero de nuevo no supera los 7 segundos de mostrarse cuando de nuevo se cierra.
Sin embargo, buscando detenidamente en el registro, se encuentran indicios de Gaobot en HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
VIDEO (REG_SZ)= explore.exe
e igual en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
VIDEO (REG_SZ)= explore.exe
y en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
se encuentra una clave MPR con 2 subclaves: Enum y Security
En MPR se encuentra el siguiente valor:
IMAGEPATH (REG_EXPAND_SZ) = "C:\Windows\System32\explore.exe" -service
Hay que eliminar todos estos valores en caso de encontrarlos
Como soy medio terquito cuando me encuentro un virus seguí buscando más referencias a este apócrifo servicio de vídeo y OJO: Se encuentra la siguiente cadena: HKLM\SOFTWARE\MICROSOFT\SHARED TOOLS\MSCONFIG\STARTUPREG\VIDEO
que a su vez vuelve a cargar los servicios de explore.exe -Hasta aquí es normal pues este es el servicio que se despliega al ejecutar el MSCONFIG y evidentemente desde aquí se invoca-
Pero lo interesante viene a continuación:
Es curioso que la ToolFix de Symantec para el Gaobot NO detectó ni las claves estándar ni el archivo explore.exe y finalizó como "not found".
Buscando aún, se encuentra la siguiente cadena: HKLM\SYSTEM\CONTROLSET002\SERVICES\MPR
que a su vez vuelve a invocar a explore.exe (esto evidentemente es un refuerzo del virus en caso de ser detectado en las claves anteriores)
*TIP: En ocasiones Gaobot varia el nombre de la Clave CONTROLSET. A veces crea CONTROLSET001, otras CONTROLSET002 o incluso CONTROLSET003
Eureka! Es desde aquí de donde se volvía a regenerar el trojano. No olvidemos que HKLM\SYSTEM\CONTROLSET00X\ es una clave de Servicios Permisivos directos y por ello, ya había sido autentificado como un servicio administrativo del sistema (que listo No?)
Para el caso en que el SO està en inglès, el virus crea las siguientes llaves:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
DISPLAY DRIVER (REG_SZ)= cssrs.exe
e igual en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
DISPLAY DRIVER (REG_SZ)= cssrs.exe
y en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
se encuentra una clave INDEX con 2 subclaves: Enum y Security
En INDEX se encuentra el siguiente valor:
IMAGEPATH (REG_EXPAND_SZ) = "C:\Windows\System32\cssrs.exe" -service
Hay que eliminar todos estos valores en caso de encontrarlos
Buscando aún, se encuentra la siguiente cadena: HKLM\SYSTEM\CONTROLSET001\SERVICES\INDEX
que a su vez vuelve a invocar a cssrs.exe (esto evidentemente es un refuerzo del virus en caso de ser detectado en las claves anteriores)
*TIP: En ocasiones Gaobot varia el nombre de la Clave CONTROLSET. A veces crea CONTROLSET001, otras CONTROLSET002 o incluso CONTROLSET003
Plus: Cómo eliminar los archivos creados por el Gaobot?
1. Es importante realizar TODO el proceso de eliminación de claves del Registro previamente descrito EN MODO SEGURO/MODO A PRUEBA DE FALLOS iniciada la sesión como ADMINISTRADOR
2. Luego de hacer la eliminación de las claves del Registro creadas por Gaobot, hay que eliminar los archivos que contienen el virus aún en MODO SEGURO
3. En Modo Seguro, ir a INICIO y luego a EJECUTAR y ahí escribir "COMMAND" (sin comillas) y dar ENTER.
4. Esto abrirá una ventana MSDOS. Windows manda un aviso de advertencia y demás bla, bla, blá. Dale click en ACEPTAR.
5. Por default, la ventana en MSDOS te manda a la ruta
C:\Documents and Settings\Bla, bla, blá....>
6. Debes cambiarte a la ruta C:\Windows\System32\>
Cómo?
En C:\Documents and Settings\Bla, bla, blá....> escribe "CD\" (sin comillas) y pulsa ENTER
TIP: Para los novatos en DOS, el símbolo "\" lo sacas pulsándo ALT+92 en el teclado numérico
Ejemplo:
C:\Documents and Settings\Bla, bla, blá....>CD\
Esto te llevará al directorio raiz de C:
Desde el directorio raíz de C:, escribe ahora lo siguiente:
"CD\WINDOWS\SYSTEM32" (sin comillas) y pulsa ENTER
Ejemplo:
C:\>CD\WINDOWS\SYSTEM32
Una vez situados en esta ruta hay que usar el comando ERASE. No uses el comando DEL (si deseas mayor información de la diferencia de ERASE y DEL, mándame un correo si gustas)
Y ahí hay que escribir el nombre del(los) archivo(s) encontrado(s) en las llaves del Registro
Ejemplos:
C:\WINDOWS\SYSTEM32>ERASE EXPLORE.EXE y pulsar ENTER
C:\WINDOWS\SYSTEM32>ERASE EXPLORE.POLY y pulsar ENTER
C:\WINDOWS\SYSTEM32>ERASE CSSRS.EXE y pulsar ENTER
C:\WINDOWS\SYSTEM32>ERASE WINHLPP32.EXE y pulsar ENTER
Si recibes una alerta de confirmación, di que SI
Si no recibes ninguna alerta pero la ruta sigue siendo la misma (C:\WINDOWS\SYSTEM32>_) y el cursor sigue parpadeando, esto indica que se borraron exitosamente.
Tuve un solo caso en que te decía que ninguno de los archivos existía. Sin embargo (les digo que soy terquito) recurrí al comando ATTRIB y Ups! los archivos estaban "escondidos". Para quitar la protección de estos archivos hay que usar la siguiente sintaxis:
C:\WINDOWS\SYSTEM32>ATTRIB -H -S -R -A EXPLORE.EXE y dar ENTER. Luego de desprotegerlos, hay que repetir el uso de ERASE.
ADVERTENCIA! No vayan a ejecutar la sintaxis C:\WINDOWS\SYSTEM32>ATTRIB -H -S -R -A *.* o de lo contrario van a exponer a TODOS los demás archivos de esta carpeta a ser eliminados o alterados. Hagan esto solo para los archivos infectados.
7. Una vez eliminadas las claves del Registro y eliminados los archivos infectados, borra cookies, archivos temporales y todo el contenido de las carpetas TEMP para cada usuario (en XP) o la carpeta TEMP (en W9x). Vacía la Papelera de Reciclaje.
8. Reinicia tu PC de nuevo en MODO SEGURO
9. Abre tu Norton y...Ta, tán! Norton trabaja de nuevo
10. Realiza de nuevo un scaneo COMPLETO del sistema para certificar que ya no hay más archivos infectados y/o más virus
11. Reinicia la PC en modo normal...segundo Ta, tán! El AutoProtect de Norton ya aparece activo y cuando abres Norton, este ya funciona
No me pregunten la razón exacta (me reservo mis comentarios)pero hay casos en los que Gaobot llega a corromper al mismo Norton y a veces es necesario desinstalar e instalar de nuevo el producto (Un Buuu! para Norton) si este método no te funciona.
Yo lo apliqué en 5 equipos con esta versión de Gaobot y todos fueron exitosos. Suerte!
Bugeo by Juan José Morales González. México 2004®