Eliminar virus Sage.A

26 septiembre, 2012

Limpieza de virus

Nombre: W32/Sage.A
Tipo: Gusano de Internet
Alias: WORM_SAGE.A, Win32/Sage.A

El virus crea dos archivos en la carpeta c:\windows\system intentando imitar los archivos de windows. Para visualizar los dos archivos tenemos que modificar la opción de mostrar archivos ocultos y archivos de sistema en Inicio->Ejecutar/Buscar escribimos cmd y pulsamos Intro en la ventana de color negro escribimos control.exe folders y pulsamos Intro

Abrir opciones de carpeta con la linea de commando

Se abre siguiente ventana

Borrar los archivos del virus

En la pestaña ver buscamos el apartado

1. Mostrar archivos,carpetas y unidades ocultos y marcamos esta opción buscamos

2. Desmarcamos la opción Ocultar archivos protegidos del sistema operativo (recomendado)

3. Pulsamos Aceptar

Entramos en c:\windows\system32 ( en win98 c:\windows\system\ )

Borramos los archivos Svch0st.exe y Winsocks.dll (los archivos están en modo oculto svch0st esta escrito con cero) cuidado hay dos archivos de windows que son parecidos svchost.exe y winsock.dll

Si no se puden borrar instalamos unlocker ( Descarga la ultima versión en la parte derecha aparecerá un botón Descargar la última versión). El programa sabe parar el proceso que lo mantiene abierto. Para borrar con la herramienta unlocker tenemos que hacer botón derecho sobre el archivo y seleccionamos unlocker -> )

Borrar los registros de sistema del virus

En Inicio -> ejecutar/buscar escribimos cmd y pulsamos Intro

El troyano infecta todos los .exe así que para ejecutar el editor de registros tenemos que renombrar el ejecutable

Pasos:

1. escribimos en la ventana negra

command /c rename c:\regedit.exe regedit.com

y pulsamos Intro

2. escribimos regedit.com y pulsamos Intro

3. Buscamos las siguientes cadenas en :

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

vamos a encontrar

Nombre                    Datos
(Predeterminado)   c:\windows\system32\Svch0st.exe “%1” %*

Pulsamos encima del registro predeterminado para editarlo y borramos c:\windows\system32\svch0st.exe dejando solo “%1” %*

Repetimos el paso 3 con la siguientes cadenas

HKEY_CLASSES_ROOT\exefile\shell\open\command

4. Buscamos la siguiente cadena

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

y borramos el registro winsock

Repetimos el paso 4 con las siguientes cadenas

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

 Borrar el inicio del virus

Entramos en Inicio – > Ejecutar/Buscar  y escribimos cmd

En la ventana negra escribimos win.ini se abre el archivo con notepad.

Buscamos la siguiente cadena

[windows]
run = c:\windows\system\Svch0st.exe

si existe la modificamos con

[windows]
run = 

Al salir de notepad guardamos el archivo win.ini

Reiniciamos el sistema y ya esta limpio

 

No comments yet.

Leave a Reply

Verificación Humana * Límite de tiempo se agote. Por favor, recargar el CAPTCHA por favor.