lunes, 1 de junio de 2009

Virus que convierte archivos de word .doc a archivos.exe. y otros problemas serios

Acabo de tener un tremendo lío.


Después de estar toda la tarde investigando, cuando fuí inocentemente a guardar en el pendrive todos los archivos de word se convirtieron en .exe. Este problema ya lo había visto, pero no sabia como resolverlo hasta que me toco hoy, pues anteriormente el problema no era mio. Pues bien. para que sepan de que virus les hablo, es un virus que reemplaza los archivos de word por uno del mismo nombre y el mismo icono, pero que realmente es una copia del virus. Pues, lo triste del caso es que de primera respuesta uno ya da eso archivos por perdidos. Pero ¡atención!
Estuve investigando. Resulta que el virus en cuestion no borrar definitivamente los archivos. Lo que hace es ocultarlos y crearse una copia falsa del mismo. Pues, los intentos de hacer ver esos archivos de nuevo fueron muchos he infructusos, pero despues de mucho analizar (y agradeciendo la ayuda, aunque no hayan servido de inmediato) ya tengo aquí el proceso a traves del cual, si se ven en esa situacion algún dia, o en este momento, quien sabe, puedan recuperarlos.

Si solamente quieres recuperar los archivos y no tienes ningun problema extra saltate esta parte y leete mas abajo, yo cuento esto por que fue mi experiencia pero no necesariamente tenemos todos los mismos sintomas.

Para empezar decir que ademas de ese problema tenia otros bien complicados que resolvi en el transcurso, pero como no se si son ajenos, o son parte de la programacion del virus, explicare aquí como los resolvi.

Lo primero fue el editor del registro y el administrador de tareas bloqueados, mas la opcion ejecutar desaparecida del menu inicio. Al dar ctrl+alt+suprimir aparecia una opcion que decia: “el administrador de tareas a sido deshabilitado por el administrador” o “no tiene permiso como administrador” etc.

Pues esto se resuelve en el registro, pero como recordaran que les dije, tambien estaba deshablitado. Pues, por suerte tenia instalado TuneUp Utilities 2007, una bendicion, pues entre las muchas herramientas que tiene trae un conveniente editor de registro (supongo que si logran conseguir un editor de registro alternativo al de window tambien podran, visiten softonic para ver si tiene alguno que les resulte).

Pues, ahora bien. Arreglar el registro y el administrador.

El registro:

Buscar esta clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Policies\Explorer

Alli deben estar estas dos claves (sino están crealas, son DWORDS, ponles el nombre que se indican)

DisableRegistryTools

DisableTaskMgr


Cambia el valor de ambas por 0. Esto las habilitara nuevamente, prueba darle ctrl+alt+supr para que veas. Si puedes proteger de escritura el registro hazlo (en el programa que yo use esta en el menu archivo) pues el virus puede intentar cambiarlo al rato.

Ahora, ya con estas dos cosas, solo queda habilitar ademas la opcion ejecutar en el menu inicio. Agrego que esta opción no solo no aparecia, sino que encima no se le podia llamar desde las propiedades del menu inicio, donde debia aparecer en el menu avanzado.

Pues bien. Ve a esta clave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Policies\System

Alli debe estar esta clave, sino creala tu mismo (DWORDS nuevamente) y ponle el valor de 0:

NoRun

Ahora. Ya resuelto por ahora todo este rollo, vamos a recuperar los archivos (sino tienes ninguno de estos problemas agregados solo leete lo que sigue y olvidate de lo anterior):

para ver los archivos y recuperarlos necesitamos entrar en modo MSDOS a traves del menu inicio>ejecutar: cmd

Ahora te sale la consola del sistema (complicadita para los que nunca nos metemos alli) pero tratare de ponerlo de modo facil.

Pues, lo primero que sale alli es una ruta. En mi caso decia: C:\Documents and Settings\Administrador pero mis archivos no estaban en la maquina sino en mi pendrive (unidad usb, llave portatil, o como lo llamen ustedes) por lo que lo primero es moverse a la unidad que trae los archivos. Puede ser que la ruta de ustedes sea diferente pero basicamente es la misma cosa.

Esto se hace muy facil. Alli donde estamos solo hay que escribir: cd X: donde X es la letra de la unidad, por ejemplo, si el pendrive conectado aparece en el explorer como G: o H: o F: entonces sera respectivamente:

cd G:
cd H:
o
cd F:


Mas facil no puede ser. Pero esto resultara para los archivos que esten fuera de carpetas dentro del pendrive, si estan en una carpeta, por ejemplo: el archivo, esta en una carpeta llamada Chicas, y el pendrive es el disco G: pues la cosa es asi:

cd G: Chicas

y listo.

Deberias con esto haber cambiado de directorio y metidote en una carpeta especifica. En mi ejemplo al final me decia:

I:\investigacion

si ya estabas dentro y estabas esperando el resto alegrate... ¡Pues ahora a rescatar los archivos!

Simple.
Basta con escribir el siguiente comando:

attrib -s -h ruta

evidentemente la ruta es la que tenemos que teclear en diferentes casos. Por ejemplo para mi fue:

attrib -s -h I:\investigacion

pero en tu caso seguro la ruta es diferente. Si solo estan afuera bastara con teclear la letra de la unidad G:\ o F:\ o la que sea segun tu maquina.

Y listo. Todos los archivos de word apareceran ahora.

Ahora, si ya tienen los archivos pueden copiarlos a otra parte mas “segura” y borrar a mano los virus, pero si estan mas interesandos en saber por que (y me alegraria mucho si algún programador preocupadoy altruista leyera esto, para que nos heche una mano a todos entendiendo el problema y creando algo mas Xpress para los poco versados en programacion y consolas) les explicaré lo que aprendi en el transcurso.

Pues, los archivos como dije no estan borrados sino ocultos. El problema, y no crean que no lo intente, es que al darle a la opcion de “mostrar archivos y carpetas ocultas” en el menu de opciones del explorer seguian sin aparecer. Aun si encima le desactivaba la opcion “ocultar archivos del sistema” para ver si mejoraba.

Pues esto es asi, porque los archivos extraviados son cambiados por el virus en sus atributos, haciendoles ver como archivos del sistema intocables. Pues, el comando attrib que seguramente los programadores lo reconoceran mas que yo, es para cambiar esos atributos: -s cambia ese atributo de sistema, quitandole lo intocable, y -h hace que se muestren quitandoles el atributo de ocultos.

Tuve que llegar a entender esto para resolver el problema de tener mis archivos conmigo de nuevo. Aun asi, esto solo sirve para recuperarlos, pero no para eliminar el virus, por lo que despues de recuperarlos les sugeriria a todos formatear su pendrive y pasarle varios antivirus a su maquina, hasta que esten seguros de poder guardar tranquilos nuevamente sus archivos de Word.

Uff... hasta aquí. No piensen por favor que soy muy bueno en esto de la programacion, simplemente reuni la informacion que necesitaba de diferentes fuentes y trato de ponerlas aquí, al alcance de todos, para que no sufran si se les presenta el caso (o los casos, según los otros problemas que tuve). En caso de que esto no les sirva oles sirva poco pueden intentar leer algo d eloq ue yo lei, aunque debo decir que no todas las respuestas son faciles ni utiles, pero aqui estan, la informacion que me sirvio d eguia mas la poca que encontré util sobre el virus en cuestión:






Tengan mucha suerte y no acepten el pendrive de cualquiera en su PC sin antes pasarle un buen antivirus. yo voy en este momento a cambiar los mios (tenia dos) pues entiendan que no existe antivirus infalible, asi que no se confien y cuando se les presenten problemas como este y ustedes se pregunten "¿por qué si yo tengo antivirus?" es buen momento para cambiar a otro diferente.