Virus, archivos .exe infectados, deshabilitado la modificacion del registro

Hola a todos:

Hace un tiempo ya soy usuario registrado pero es la primera vez que escribo ya que tengo un problema no muy grave pero del que no puedo solucionar de otra forma que no sea formateando el disco y quisiera saber si alguien paso por lo mismo y si lo ha podido solucionar.
Me paso en 4 pc actualmente, todas con windows XP SP2
El problema es el siguiente: debido a un virus se me bloquea el administrador de tareas y tampoco puedo modificar el registro. El AVG me detecta los archivos .exe como virus (el word, nero.. muchos) los elimina pero me dejan de funcionar esos programas. No puedo entrar en modo a prueba de fallos y en el hijackthis tengo la entrada disableregedit=1 la cual es la que no me deja modificar el registro.
Ya hice varias pruebas con muchos programas, etc.
Les cuento que por ejemplo para poder entrar en modo a pruebas de fallo tengo que modificar los valores de disableregedit y disabletaskmgr, habilitarlo lo mas rapido posible y resetear la pc antes de que vuelva a ponerse los valores en 1 y ahi me deja. Pero antes para poder ejecutar regedit tengo que darle a fix checked en el hijackthis a la entra que les comente que me deshabilita el registro y ni bien hago eso tengo que ejecutar el regedit.. me deja uno o dos segundos antes de que vuelta a deshabilitarse el administrador de tareas y el registro nuevamente.

Perdon por escribir tanto, espero que entiendan lo que les comento. Todavia tengo una pc con ese problema y antes de formatear estoy probando si puedo solucionar el problema porque de verdad me intriga, aunque ya no me quedan practicamente mas opciones. Probe el kaspersky, panda, nod y un par de antispyware mas varias herramientas pero nada, nunca me paso algo asi.

Les comento que al poder entrar en modo a pruebas de fallo tambien me aparece deshabilitado el registro, etc. Si bien algunos spyware como por ejemplo el SUPERAntispyware o el adware me detecta archivos y entradas en el registro no me las solucionan.
Me llama la atencion que al poder entrar en el registro y cambiar el valor de disableregedit y a los dos segundos darle actualizar se cambia nuevamente el valor y queda dashabilitado.
Por cierto, el avg me detectaba infectados practicamente todos los .exe con el virus "tanatos.m". Tambien se propago a travez de la red a otra pc y a travez de un pen drive.

Bueno, espero una respuesta y perdon por escribir tanto. Me intriga bastante el tema ya que nunca luche tanto contra un virus je. Muchas gracias, saludos!

Hola Matías, de este lado también nos pasó lo mismo. Es un virus muy agresivo y se esparce de todas las formas posibles. Es una versión mejorada del viejo Bugbear. Nosotros damos soporte técnico y la verdad nos pasamos toda la semana tratando de arreglar un montón de máquinas con el mismo problema.
Las que no se infectaron fue por casualidad o porque los usuarios tienen un buen antispam en su Outlook. Los usuarios que más se infectaron son los que usan muy seguido el pendrive (imprentas y gráficas) y los necios curiosos que se ponen a leer el spam que les llega.
El problema es que se las arregla para que te sea imposible arrancar en Modo Seguro. Se que en esos casos es bueno tener un Live CD de Windows o Linux con acceso a NTFS, pero en este momento no tenemos nada de eso.
Las herramientas conocidas no sirven para limpiar el virus porque hace varias copias de sí mismo que quedan cargadas y monitoreándose entre sí, de modo que no tenés forma de bajarlo. Infecta todos los ejecutables de una manera tal que por ejemplo el AVG detecta su presencia pero no puede limpiar los ejecutables.... :(
Se copia a través de la red a menos que tengas el usuario Invitado deshabilitado desde el administrador de equipos, pero si tenés carpetas compartidas, va a poner una copia de sí mismo simulando ser una foto o un documento para que las víctimas lo abran por curiosidad.

Ignoro si puede distribuirse via MSN, pero sí se que el viejo Bugbear tenía su propio motor SMTP y mandaba spam a toda la lista de contactos, así que no me extrañaría.
Captura el teclado y abre un backdoor en la PC, así que si tenías datos importantes o sensibles, como contraseñas o accesos a cuentas bancarias o de seguridad social, eliminalos urgentemente de esa PC y cambiá todas esas claves desde un equipo no infectado.
Lo único que podés hacer y a duras penas es backupear toda la información y formatear. Si tenés memoria RAM suficiente, lo más saludable es backupear a CD/DVD porque así no puede copiarse el archivo autorun. Y si tenés que hacerlo hacia un pendrive o disco externo, es buena deshabilitar la reproducción automática en la PC donde vas a levantar ese backup, y correr el Flash Disinfector al poner el pendrive para que lo inmunice (básicamente le resetea el autorun.inf). Lo que sí, no bacapees archivos ejecutables ni ejecutes nada que no hayas copiado al pendrive porque es 90% posible que esté infectado.

Lamentablemente la solución más rápida que encontramos estos dias fue formatear los equipos afectados.

Como prevención simplemente no abran ingún mail de spam o sospechoso ni acepten archivos no solicitados por MSN. Desinfecten los pendrives con Flash Disinfector. Seteen las zonas de seguridad de sus navegadores a por lo menos el nivel Medio (en Internet Explorer alcanza con ponerlo por default). Si no tienen un router en su conexión que posea funciones de firewall, pueden instalarse el Comodo Personal Firewall que es muy bueno y tiene mejores funciones de monitoreo y alerta que las del TeaTimer que trae el Spybot. Si usan Outlook u otro cliente pop3, setearlo para que use zonas de seguridad altas, que bloquee ejecutables en adjuntos, que no muestre imágenes por default aunque el remitente esté en la lista de conocidos. Si usan cuentas pop3 asegurense de usar un buen antispam, en el servidor y en su PC (nosotros recomendamos SpamFighter Spamihilator, que son gratuitos y muy buenos).

Las PCs más vulnerables son, además de las que no cuentan con esas protecciones, las que tengan poca memoria RAM, porque evitarán el fluido anállisis y ejecución de los antivirus y firewall.

Nada más que agregar. Espero que sirva de algo, pero es una infección muy dificil de arreglar.

Bueno Sres. pensé que sería el único q lamentaría el no haber estado lo suficientemente protegido contra este tipo de infecciones pero al haber encontrado a más de uno q pasa por el mismo problema me estimula a seguir investigando y dar con la cura antes de llegar casi al inminente formateo y poder compartirlas con usds.

Publiqué desde ya unos días en un foro vecino la descripción detallada del problema q estoy teniendo desde casi una semana atrás y de momento he logrado diagnosticar el principal causante y algunos otros de consideración.
Se los paso a detallar como para que vayan tomando las medidas preventivas y correctivas en caso prevaleciera.

Aparte de los sintomas q tuvieron les paso a detallar los míos.

SINTOMAS

- exes infectados
- mensaje de ERROR en archivo NETSH.EXE al cerrar WINDOWS (Reinicio, Apagado o Cierre de Sesión)
- BLOQUEA INICIO A MODO A PRUEBA DE FALLOS (PANTALLA AZUL SIMILAR AL DE VOLCADO DE MEMORIA pero haciendo notar q es problema de virus o sistema)
- BLOQUEA INICIO MODO SEGURO CON O SIN CONEXION WIN2003, XP Y ULTIMA BUENA CONOCIDA.
- CREA CUENTAS RESTRINGIDAS.
- Deshabilita ANTIVIRUS NOD32 versión actual, NO TE DEJA REINSTALAR O INSTALAR OTRO ANTIVIRUS.
- Administrador de Tareas y Editor de Registro (REgedit) BLOQUEADOS
- Aún estando como Administrador te quita permisos de escritura en opciones de configuración.
- No accede a opciones de seguridad que antes eran accesibles siendo administrador del sistema.
- Cambia la configuración de opciones de carpeta y no deja ver archivos ocultos.
- y .. lo MAS GRAVE q hace poco me percaté: PONE AL DESCUBIERTO LA IP PRIVADA.
- SE REGENERA USANDO MULTISISTEMAS, AL USAR en otra partición WIN2003 PRESENTÓ LOS MISMOS PROBLEMAS luego de ser iniciado.
- DESHABILITA ACTUALIZACIONES DE WINDOWS.

LO Q HICE AL RESPECTO hace unos días... (para q tengan una idea y no piensen hacerlo d nuevo ya q será pérdida de tiempo)

- Lo primero q hice fue intentar de acceder al registro y modificar las claves relacionadas al adminstrador de tareas y registro regedit.exe para saber si existen procesos ocultos q pueda detener, usé tanto el regcleaner como el regworkshop y logré ver claves DisableRegistryTools y DisalbeTaskMgr con valores 1 estando activos lo que causa q no pueda tener acceso al adminstrador de tareas ni al regedit y funciones propias de él. Al tratar de eliminarlas o colocar valores 0 se regeneran e incluso la propia carpeta system q las contiene c vuelve a crear. Al haberme quitado derechos de administrador era de esperarse q no pudiese modificar el registro pero quize intentar antes de saber q habia sido desacreditado.

En el modo normal aun teniendo acceso a internet con cuenta limitada siendo administrador del equipo no puedo navegar en paginas de antivirus online, repito no puedo ejecutar ningun antivirus online.

Probé ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA) sin éxito, ejecutandolo via comando con CSCRIPT ELIRESTR.VBS sale q el archivo no está terminado o algo similar como si el código q lleva dentro no haya sido cerrado o finalizado correctamente como para ser ejecutado.

También probé el REGUNLOCKER con la finalidad de al menos recuperar el inicio en MODO SEGURO pero tampoco c pudo al estar bloqueado el registro no logra modificar nada.

Probé el usar PORTABLES tanto el NOD32 como el KAPERSKY actualizados pero los logra abir un instante y luego los cierra, ojo que lo probé en otra pc y normal los ejecuta.

PUEDO USAR LOS LIVE CD TANTO DEL LINUX COMO DEL XP q trae algunos utilitarios y 2 antivirus pero desfazados, mi último recurso antes de formatear a bajo nivel (de ser virus residente en memoria) sería tratar de actualizar esas utilidades del LIVE CD XP vía USB bajando los archivos update a éste y ver que resulta aunq no es algo seguro pero veremos.

Defrente podría haberles sugerido q usaran un live CD del XP ojo actualizado con herramientas de desinfección pero no les serviría para tratar con este tipo de virus por el grado de infección, ya que requiere de memoria y espacio adicional para poder realizar la desinfección (cosa q experimenté) así q no servirá en este caso.





ANTES Q NADA...

No naveguen desde la pc infectada, deshabiliten la red ya que su ip privada puede estar al descubierto.

Deshabiliten RESTAURAR SISTEMA ELIMINEN TODOS LOS PUNTOS DE RESTAURACION CREADOS YA Q AQUÍ ES DONDE SE ENCUENTRA ALOJADO EL VIRUS.

BAJEN LAS STES HERRAMIENTAS

- HIJACKTHIS
- SCPROCESS
- ELISTARA
- REGUNLOCKER
- Herramientas de Limpieza (Disk Cleanner, RegCleanner, etc en el foro encuentran info al respecto)


PROBAR...

- Envíen su hijackthis.log para q sea analizado aunq no servirá de mucho si es el virus q os menciono pero al menos orientará a saber q procesos o claves también están afectando a su pc e ir descartando una x una.

- ELISTARA (Actualizado) inicienlo en modo normal ya que no tienen acceso en modo seguro, pero eso sí, tengan cualquier antispyware o antivirus deshabilitado
cierren cualquier otro programa o navegador para evitar q se cuelque o no concluya con el diagnóstico; si les pasó lo que a mí tendrán sólo una oportunidad de poder abrirla así q APROVECHENLA. No detallaré todas sus funciones ya q eso correrá por cuenta suya además del correcto uso simplemente les recomendaré q eliminen los hosts cuando se los indique además de temporales y otros sospechosos encontrados en el análisis, lo principal es los hosts ya q crea una enorme lista con vulnerabilidades de sites encontrados por SPROCESS q genera un listado con procesos activos guarden el archivo y peguen el sproglog.txt q les genera para sea revisado.

- Indiquen si pueden tener acceso a pag web de antivirus online desde la pc infectada, quizá puedan hacer un chequeo online con AV ONLINE de kapersky Lab ( http://www.kaspersky.com/kos/spanish//kavwebscan.html) y si es así envién los análisis para checarlos también.

- Si ninguna de las formas antes descritas funciona realizen lo sgte. q es lo q tuve q hacer....

PASOS (USUARIO MEDIO AVANZADO)

- Mediante utilitarios booteables creen una particion NTFS de al menos unos 6GB para instalar un nuevo SO desde donde realizaran el diagnóstico y posteror limpieza,les recomiendo un aligerado q no tenga soft adicional o complementos innecesarios pero sí lleve el SP2. Si tienen el XP LEGACY mucho mejor.

OJO:
------
Luego de tener el nuevo xp NO ABRAN O EJECUTEN ARCHIVO O PROGRAMA ALGUNO DE las DEMÁS PARTICIONES Q YA ESTAN INFECTADAS ya q si lo hacen automaticamente su nuevo SO estará infectado y habrá sido en vano la install.

- Instalen un antivirus confiable para usds el q usé fue kapersky internet security 2009 la versión de prueba no tendrá problema en desinfección así q ya podrían volver a habilitar su red para q tengan una licencia por 30 dias y bajen las actualizaciones.

- Luego de haber instalado Kapersky realizen un análisis completo a las demás particiones y elijan la opción de desinfección automática y en caso no se pueda q la elimine.

- Luego de haber realizado el análisis y desinfectado inicien en la particion infectada en MODO NORMAL.

- EJECUTEN REGUNLOCKER y elijan las opciones convenientes según los problemas q tengan para recuperar los permisos de administrado y acceso al registro corrección de userinit y winlogon restauración del INICIO EN MODO SEGURO.

- REINIICEN en modo seguro o aprueba d fallos con RED en la particion q esta infectada y realizen la limpieza sugerida por el foro en casos de spyware., para esto usen DiskCleaner, RegCleaner etc etc. limpien temporales Cookies etc

- Realizen todo lo q normalemente c pudiera realizar en modo a prueba de fallos por un problema de estos --Hay q ir a la segura.

- Finalmente realizen un testeo online desde AV Online y envién lo q encuentra.

POSTEEN como respuesta.

PD.
Configuren en las pc q formatearon tanto firewall como antispywares y virus actualizados para q no vulevan a tener los mismos problemas y q por supuesto sean confiables. Recomiendo ZoneAlarm y Kapersky .


Salu2

Estos son los susodichos q c encontraron en mi pc...,

- VIRUS.WIN32.SALITY.AA
- VIRUS.HEUR.VIRUS.GENERIC
- TROJAN.MAILFINDER.WIN32.AGENT.UX

olvidé indicarlos anteriormente pero si podrían dar una chequeada a una descripción detallada de cada uno.

Salu2 y espero rptas.

para los que cuenten con avg, tienen esta opcion

ingresar a www.avg.com y seguir los pasos que detallan (coloquen buscar rmtanatos.exe en el buscador), este es el virus que les afecta)

Virus Removal
We provide you with a list of specialized utilities for virus removal. The utilities can be used to remove of some of the most common viruses. The list is updated on regular basis.

Win32/Tanatos
If you have infected computer connected to a LAN, you need it to unplug from the LAN, and re-connect again in the moment when all computers are clean.

Download the following files rmtanat.exe and rmtanat.nt.
Update AVG and run test of the Windows System folder to schedule the removal of the infected DLL/OCX library on computer restart.
Restart computer, so the DLL/OCX file will be removed.
Thereafter run the removal tool with parameter C:\ to heal the infected files. You can specify more drives (example: rmtanat C:\ D:\).

NOta: luego de esto aun habran errores procedentes del mismo virus que deben ser pulidos manualmente, es decir, reparar los archivos dañados por buenos haciendo uso de los instaladores.