lunes, 1 de junio de 2009

Virus que convierte archivos de word .doc a archivos.exe. y otros problemas serios

Acabo de tener un tremendo lío.


Después de estar toda la tarde investigando, cuando fuí inocentemente a guardar en el pendrive todos los archivos de word se convirtieron en .exe. Este problema ya lo había visto, pero no sabia como resolverlo hasta que me toco hoy, pues anteriormente el problema no era mio. Pues bien. para que sepan de que virus les hablo, es un virus que reemplaza los archivos de word por uno del mismo nombre y el mismo icono, pero que realmente es una copia del virus. Pues, lo triste del caso es que de primera respuesta uno ya da eso archivos por perdidos. Pero ¡atención!
Estuve investigando. Resulta que el virus en cuestion no borrar definitivamente los archivos. Lo que hace es ocultarlos y crearse una copia falsa del mismo. Pues, los intentos de hacer ver esos archivos de nuevo fueron muchos he infructusos, pero despues de mucho analizar (y agradeciendo la ayuda, aunque no hayan servido de inmediato) ya tengo aquí el proceso a traves del cual, si se ven en esa situacion algún dia, o en este momento, quien sabe, puedan recuperarlos.

Si solamente quieres recuperar los archivos y no tienes ningun problema extra saltate esta parte y leete mas abajo, yo cuento esto por que fue mi experiencia pero no necesariamente tenemos todos los mismos sintomas.

Para empezar decir que ademas de ese problema tenia otros bien complicados que resolvi en el transcurso, pero como no se si son ajenos, o son parte de la programacion del virus, explicare aquí como los resolvi.

Lo primero fue el editor del registro y el administrador de tareas bloqueados, mas la opcion ejecutar desaparecida del menu inicio. Al dar ctrl+alt+suprimir aparecia una opcion que decia: “el administrador de tareas a sido deshabilitado por el administrador” o “no tiene permiso como administrador” etc.

Pues esto se resuelve en el registro, pero como recordaran que les dije, tambien estaba deshablitado. Pues, por suerte tenia instalado TuneUp Utilities 2007, una bendicion, pues entre las muchas herramientas que tiene trae un conveniente editor de registro (supongo que si logran conseguir un editor de registro alternativo al de window tambien podran, visiten softonic para ver si tiene alguno que les resulte).

Pues, ahora bien. Arreglar el registro y el administrador.

El registro:

Buscar esta clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Policies\Explorer

Alli deben estar estas dos claves (sino están crealas, son DWORDS, ponles el nombre que se indican)

DisableRegistryTools

DisableTaskMgr


Cambia el valor de ambas por 0. Esto las habilitara nuevamente, prueba darle ctrl+alt+supr para que veas. Si puedes proteger de escritura el registro hazlo (en el programa que yo use esta en el menu archivo) pues el virus puede intentar cambiarlo al rato.

Ahora, ya con estas dos cosas, solo queda habilitar ademas la opcion ejecutar en el menu inicio. Agrego que esta opción no solo no aparecia, sino que encima no se le podia llamar desde las propiedades del menu inicio, donde debia aparecer en el menu avanzado.

Pues bien. Ve a esta clave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Policies\System

Alli debe estar esta clave, sino creala tu mismo (DWORDS nuevamente) y ponle el valor de 0:

NoRun

Ahora. Ya resuelto por ahora todo este rollo, vamos a recuperar los archivos (sino tienes ninguno de estos problemas agregados solo leete lo que sigue y olvidate de lo anterior):

para ver los archivos y recuperarlos necesitamos entrar en modo MSDOS a traves del menu inicio>ejecutar: cmd

Ahora te sale la consola del sistema (complicadita para los que nunca nos metemos alli) pero tratare de ponerlo de modo facil.

Pues, lo primero que sale alli es una ruta. En mi caso decia: C:\Documents and Settings\Administrador pero mis archivos no estaban en la maquina sino en mi pendrive (unidad usb, llave portatil, o como lo llamen ustedes) por lo que lo primero es moverse a la unidad que trae los archivos. Puede ser que la ruta de ustedes sea diferente pero basicamente es la misma cosa.

Esto se hace muy facil. Alli donde estamos solo hay que escribir: cd X: donde X es la letra de la unidad, por ejemplo, si el pendrive conectado aparece en el explorer como G: o H: o F: entonces sera respectivamente:

cd G:
cd H:
o
cd F:


Mas facil no puede ser. Pero esto resultara para los archivos que esten fuera de carpetas dentro del pendrive, si estan en una carpeta, por ejemplo: el archivo, esta en una carpeta llamada Chicas, y el pendrive es el disco G: pues la cosa es asi:

cd G: Chicas

y listo.

Deberias con esto haber cambiado de directorio y metidote en una carpeta especifica. En mi ejemplo al final me decia:

I:\investigacion

si ya estabas dentro y estabas esperando el resto alegrate... ¡Pues ahora a rescatar los archivos!

Simple.
Basta con escribir el siguiente comando:

attrib -s -h ruta

evidentemente la ruta es la que tenemos que teclear en diferentes casos. Por ejemplo para mi fue:

attrib -s -h I:\investigacion

pero en tu caso seguro la ruta es diferente. Si solo estan afuera bastara con teclear la letra de la unidad G:\ o F:\ o la que sea segun tu maquina.

Y listo. Todos los archivos de word apareceran ahora.

Ahora, si ya tienen los archivos pueden copiarlos a otra parte mas “segura” y borrar a mano los virus, pero si estan mas interesandos en saber por que (y me alegraria mucho si algún programador preocupadoy altruista leyera esto, para que nos heche una mano a todos entendiendo el problema y creando algo mas Xpress para los poco versados en programacion y consolas) les explicaré lo que aprendi en el transcurso.

Pues, los archivos como dije no estan borrados sino ocultos. El problema, y no crean que no lo intente, es que al darle a la opcion de “mostrar archivos y carpetas ocultas” en el menu de opciones del explorer seguian sin aparecer. Aun si encima le desactivaba la opcion “ocultar archivos del sistema” para ver si mejoraba.

Pues esto es asi, porque los archivos extraviados son cambiados por el virus en sus atributos, haciendoles ver como archivos del sistema intocables. Pues, el comando attrib que seguramente los programadores lo reconoceran mas que yo, es para cambiar esos atributos: -s cambia ese atributo de sistema, quitandole lo intocable, y -h hace que se muestren quitandoles el atributo de ocultos.

Tuve que llegar a entender esto para resolver el problema de tener mis archivos conmigo de nuevo. Aun asi, esto solo sirve para recuperarlos, pero no para eliminar el virus, por lo que despues de recuperarlos les sugeriria a todos formatear su pendrive y pasarle varios antivirus a su maquina, hasta que esten seguros de poder guardar tranquilos nuevamente sus archivos de Word.

Uff... hasta aquí. No piensen por favor que soy muy bueno en esto de la programacion, simplemente reuni la informacion que necesitaba de diferentes fuentes y trato de ponerlas aquí, al alcance de todos, para que no sufran si se les presenta el caso (o los casos, según los otros problemas que tuve). En caso de que esto no les sirva oles sirva poco pueden intentar leer algo d eloq ue yo lei, aunque debo decir que no todas las respuestas son faciles ni utiles, pero aqui estan, la informacion que me sirvio d eguia mas la poca que encontré util sobre el virus en cuestión:






Tengan mucha suerte y no acepten el pendrive de cualquiera en su PC sin antes pasarle un buen antivirus. yo voy en este momento a cambiar los mios (tenia dos) pues entiendan que no existe antivirus infalible, asi que no se confien y cuando se les presenten problemas como este y ustedes se pregunten "¿por qué si yo tengo antivirus?" es buen momento para cambiar a otro diferente.

4 comentarios:

Reynaldo dijo...

amigo, muy muy bueno su aporte esta excelente. Un amigo esta presentando este problema pero los archivos no estan en un pen drive sino en algunas carpetas de mis documentos entonces te hago una pregunta ¿se resolveria de la misma forma que con el pen drive?esperando tu ayuda me despido dando gracias de antemano.

Anónimo dijo...

Mi pana no se si ya pudiste encontar la forma mas rapida pero yo ya la consegui solo faltaba colocarle unos parametro mas si colocas Help attrib te dara la explicacion del significado de cada letra.

esta es la forma mas rapida
y para mostrar los archivos ocultos por el virus

entra a
inicio
ejecutar
escribes cmd
colocas la unidad donde se encuentra tu usb ejemplo f://
estribes tal y como esta
attrib -s -r -h /s /d
y listo en todo el pendrive se ven los archivos

Francisco Javier Pittol Carias dijo...

Tengo ese virus en el PC del trabajo y comparto información entre ese PC y el de mi casa, manejo distintos Pendrives por lo que cree un archivo en el editor con la siguiente instrucción

attrib -s -r -h /s /d

lo guardé con el nombre de mostrar.bat y lo copie en todos los pendrives que ustilizo, de esta manera solo doy doble click sobre él y listo aparecen todos. En casa tengo un buen antivirus que elimina los .exe pero no reestablece los .doc con la versión 2007 del office (.docx) no hay este problema.

Unknown dijo...

Oye lider, muchisimas gracias por el aporte, Dios te bendiga. Me sirvió instantáneamente