93 202 38 13

Teodor Roviralta, 9

EmailButton Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.

Miércoles, 23 Mayo 2012 11:38

Eliminar Virus SGAE

Hace unos días escribimos un articulo sobre como eliminar el virus de la Policía Nacional. En esta ocasión nos encontramos con una nueva variante más actual del Virus.

 Virus SGAE

Esta vez el problema que nos encontramos es que al arrancar el equipo se nos queda la pantalla en blanco con dos frases, una en Inglés y debajo una en Alemán (“Please wait while the connection is being established / Bitte warten Sie während die Werbindung herges tellt wird.”). Esta variantes del virus ramsonware además de bloquearnos el equipo, por lo general, impide que accedamos al sistema en ninguno de sus modos de arranque (Modo Seguro, Modo seguro con símbolo del sistema…).

 

Para poder resolver el problema y deshacernos del dichoso virus, proponemos varias alternativas:

 

Para todos los casos, deberemos descargar las herramientas POLIFIX  (de los amigos de Infospyware) y MalwareBytes  y copiar ambos en un PenDrive.

 

1ª Opción:

 

  • Iniciar el equipo pulsando la tecla F8 e intentar arrancar Windows con "LA ULTIMA CONFIGURACIÓN BUENA CONOCIDA" y si falla probaremos con “MODO SEGURO CON SÍMBOLO DEL SISTEMA”

  • Si conseguimos arrancar Windows, introduciremos el PenDrive en el ordenador y accederemos al símbolo del sistema (inicio-ejecuta-CMD), accederemos a la memoria USB y ejecutaremos POLIFIX

  • Una vez finalice el ordenador se iniciará normalmente.

  • Una vez iniciada sesión en Windows, deberemos intalar, actualizar y ejecutar MalwareBytes.

 

2ª Opción:

 

  • Si nos ha fallado la primera opción recurriremos al arranque con un LiveCD. En este caso utilizaremos el de Kaspersky Rescue Disk 10.

  • Descargaremos la imagen .iso del disco en un ordenador no infectado  Descargar Aquí y la grabaremos (o quemaremos) en un CD con ImgBurn.

  • Arrancaremos el ordenador infectado con el disco que acabamos de crear y nos aparecerá un menú. En él debemos elegir primero el idioma y posteriormente que nos arranque Kaspersky Rescue Disk en un entorno gráfico.

  • Tras unos minutos, llegaremos al entorno gráfico donde nos aparecerá la ventana de Kaspersky Rescue Disk (imágenes extraídas de Infospyware, donde encontrareis más información de este proceso)

    Kaspersky Rescue Disk 10

  • En primer lugar deberemos actualizar la aplicación tal y como marca el gráfico anterior. Después entraremos en las opciones del programa y marcaremos la última Pestaña donde pone “Seleccionar Acción” y dejaremos las opciones de Desinfectar y eliminar si falla la desinfección activa)

    Kaspersky Rescue Disk 10

  • Una vez realizada la actualización y el cambio de opciones, procederemos a analizar el equipo.

  • Al finalizar, nos mostrará los archivos infectados y se procederá a la limpieza o eliminación de estos. Una vez finalizado el proceso, reiniciamos el equipo y hacemos un escaneo con MalwareBytes.

 

3ª Opción:

 

  • Si nos han fallado las otras 2 opciones y nuestro estado anímico es desesperante aún nos queda otra opción (y no es formatear que sería una cuarta que de momento descartaremos…)

  • En primer lugar deberemos conseguir un LiveCD de Linux (podemos encontrar algunos en la red) y si no desde Aula de Mitre, recomendamos la última versión de Hirens boot CD que contiene un acceso a Linux y un Mini Windows desde el que tendremos acceso a internet y a las carpetas del equipo.

  • Una vez ahí tenemos que buscar los siguientes archivos y eliminarlos: FSnapshot_x86.exe y/o BSI.bund.exe . (son los archivos que ejecuta esta versión del virus de la SGAE)

  • Una vez eliminados, ahora si que podremos arrancar el ordenador (recomendamos hacerlo en modo seguro y ejecutar el Polifix y MalwareBytes.

  • Reiniciamos el equipo y ya lo tendremos limpio.

     Modo seguro virus SGAE

    NOTA: Nos podríamos encontrar con que en esta tercera opción, tras eliminar los archivos FSnapshot_x86.exe y/o BSI.bund.exe, al arrancar el equipo (tanto el arranque normal de Windows como en el modo seguro) no nos aparezcan los iconos del escritorio y por tanto no podamos ejecutar las herramientas de eliminación de Windows ni, obviamente visualizar nuestro escritorio. Para ello seguiremos estos sencillos pasos:

  • Tras eliminar los archivos FSnapshot_x86.exe y/o BSI.bund.exe, arrancaremos el ordenador en modo prueba de fallos con símbolo del sistema. Desde ahí ejecutaremos el Polifix. Una vez finalice se nos reiniciará el equipo pero volveremos a acceder en el modo prueba de fallos con símbolo del sistema.

    -          En el símbolo del sistema, accederemos a la ruta c:\windows\system32\restore y ejecutaremos rstrui.exe con lo que nos aparecerá el asistente para restaurar el sistema a un estado anterior.

  • Restauraremos el sistema y se reiniciará el equipo perfectamente. Ya solo quedará hacer un análisis con MalwareBytes y tendremos el equipo limpio.

    Espero que os sirva de ayuda. Para más información os podeis poner en contacto con el departamento técnico de Aula de Mitre.

Publicado en Informática