Como Eliminar el Virus Venom, Método de desinfección

Virus VenomUltimamente mis conocidos me han estado preguntando mucho acerca del virus VenoM, que últimamente esta auge en las computadoras de la institucion en la que estudio.

Este virus se manifiesta de la siguiente manera:

  • Crea un ejecutable de 181 kb por cada carpeta existente en una unidad de disco o memoria.
  • Crea un explorer.exe y un mis documentos.exe de 181 kb.
  • Deshabilita las opciones de carpeta y el administrador de tareas.
  • Conforme pasa el tiempo empieza a enviar un mensaje de texto que dice:
  • “El juego a terminado. Tu has sido derrotado por VenoM (Metauro_3@hotmail.com).
  • Cambia las propiedades del Explorador de Windows para no poder visualizar los archivos ocultos y esconde las extensiones de archivos.
  • Oculta la carpeta del sistema (Windows) y crea un archivo ejecutable con ícono de carpeta llamado Windows en la unidad del sistema, entre algunas cosas más.

Mi amigo Fer o mejor conocido como arwing ha detallado una completa guia paso a paso para la desinfección de este molesto Malware. Dicho tutotial lo cito a continuacion

La única herramienta que necesitaremos será HijackThis 1.99.1 o superior.Ejecuta HijackThis y realiza un escaneo del sistema. A continuación presiona el botón Config…, luego Misc Tools y por último selecciona Open process manager. Aparecerán todos los procesos que corren en tu sistema.

En específico, tienes que terminar los siguientes procesos (en este caso específico la letra de la unidad es C:\):

C:\crsvc.exe
C:\WINDOWS\System\winlogon.exe <-- Ojo, está en System y no en System32
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
C:\WINDOWS\system32\cmd.exe <-- Este es el archivo real de Windows, pero hay que finalizar su proceso para poder realizar la desinfección
C:\Documents and Settings\usuario\Datos de programa\lsass.exe

Para terminar un proceso lo único que debes hacer es seleccionar el proceso y presionar el botón Kill process.

Una vez terminados los procesos anteriores, presiona el botón Back en HijackThis. Regresarás al escaneo que realizaste anteriormente. Ahora marca las casillas de las siguientes entradas:

O4 - HKLM\..\Run: [Syslog] C:\crsvc.exe
O4 - HKLM\..\Run: [CFTMON.EXE] C:\WINDOWS\System\winlogon.exe
O4 - HKCU\..\Run: [CFTMON.EXE] C:\Documents and Settings\usuario\Datos de programa\smss.exe
O4 - Startup: MS-DOS.pif = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Una vez seleccionadas dichas casillas, presiona el botón Fix checked. Realiza otro escaneo para asegurarte que las entradas ya no aparecen. Una vez eliminadas estas entradas puedes cerrar HijackThis.

Ahora ya podrás abrir el Editor de registros. Dirígete a Inicio >> Ejecutar >> y escribe “regedit” (sin las comillas por supuesto) y presiona Aceptar.

Una vez adentro expande la carpeta (o clave) correspondiente a HKEY_CURRENT_USER. Podrás notar de inmediato que exiten unas claves que dicen VenoM y un número aleatorio. Elimina todas las claves dando click derecho sobre la clave y seleccionando Eliminar.

Una vez eliminadas todas esas claves, expande las claves siguiendo la siguiente secuencia: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies.
Debajo de Policies hay dos claves: Explorer y System. Entra a System y elimina los valores llamados DisableTaskManager y DisableCMD, dando click derecho sobre el valor y seleccionando eliminar. Ahora dirígete a la clave Explorer, donde sólo queda eliminar el valor NoFolderOptions.

Cierra el Editor del registro y ahora abre el Explorador de Windows. Puedes abrirlo dirigiendote a Inicio >> Programas >> Accesorios >> Explorador de Windows o presionando la tecla Windows y la tecla E al mismo tiempo. Aquí el Explorador de Windows es importante, porque tenemos que explorar las carpetas desde la estructura de árbol para no ejecutar los archivos autorun.inf que se encuentran en algunas carpetas, como en C:\ por ejemplo.

Primero intenta mostrar los archivos ocultos de nuevo. En Windows XP la opción estará en el menú Herramientas >> Opciones de Carpeta. En versiones anteriores de Windows la opción estará en el menú Ver. Si la opción no aparece tendrás que reiniciar el sistema. No debería haber problema de reinfección pues hemos eliminado todas las entradas de arranque del malware. Si la opción Opciones de Carpeta aparece, entonces selecciónala, dirígete a la pestaña Ver y selecciona la opción “Mostrar todos los archivos y carpetas ocultos”. También desmarca las casillas “Ocultar archivos protegidos del sistema operativo” y “Ocultar las extensiones de archivo para tipos de archivo conocidos”. Presiona el botón Aceptar.

En el Explorador de Windows dirígete a la unidad del sistema (generalmente es C:\). Una vez ahí elimina la carpeta oculta VenoM.666 y los archivos crsvc.exe y autorun.inf. También elimina el archivo Windows.exe, asegúrate de que sea el ejecutable porque de otro modo estarías intentando borrar la carpeta del sistema (que puede aparecer como oculta, cambia sus propiedades seleccionando la carpeta con un click derecho >> Propiedades, y desmarca la casilla Oculto). También es probable que tengas un archivo ejecutable cuyo nombre sea el nombre de tu usuario y el texto “100%”. Por ejemplo: “usuario 100%.exe” o “100% usuario.exe”

Sigue utilizando el Explorador de Windows para borrar los siguientes archivos. Antes de eliminar estos archivos, anota la fecha de creación y modificación, la vas a necesitar después para buscar más archivos sospechosos.

C:\WINDOWS\System\winlogon.exe
C:\Documents and Settings\[usuario]\Datos de programa\smss.exe
C:\Documents and Settings\[usuario]\Datos de programa\services.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\winlogon.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\autorun.inf <-- Puede no estar
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif

Abre el buscador de archivos (Tecla Windows + F o en Inicio >> Buscar) y en la opción Buscar todos los archivos y carpetas, escribe autorun.inf y realiza la búsqueda. Es posible que encuentres varios autorun.inf si tienes guardadas en el disco duro imágenes de CD’s o DVD’s. En ese caso ignóralas. Pero si ves archivos autorun.inf en otra ubicación revísalos (para revisar un autorun.inf basta con dar click derecho, seleccionar Abrir con.. y selecciona el Bloc de Notas para abrirlo) y si hacen referencia a algún archivo de los que acabas de borrar, o hace referencia a VenoM, entonces elimínalos.

Puede que hayan quedado algunos pocos archivos esparcidos por el sistema de los que no estoy enterado. Sin embargo, si realizaste todo lo que indiqué aquí, el malware VenoM ya no debería ser molestia, pues ya eliminaste sus archivos principales y sus entradas de arranque.

Revisa en busca de ejecutables sospechosos. En especial, elimina aquellos que sean ejecutables y tengan como icono una carpeta de Windows. Utiliza las fechas de creación y modificación que te pedí que anotarás previamente para facilitar la búsqueda con el Buscador de Windows.

Si tienes alguna pregunta o comentario, puedes colocarlo en este post

Otro enlace que te puede interesar es como eliminar el virus venom de una memoria usb

Descarga | HiJackThis
Enlace | xarw

UPDATE:
 Nod32 y Kaspersky en sus ultimas versiones lo eliminan  

Esta entrada fue publicada en Aplicaciones, Internet, Software, Virus, Windows Vista, Windows XP y etiquetada , , , , , . Guarda el enlace permanente.

58 respuestas a Como Eliminar el Virus Venom, Método de desinfección

  1. Pingback: Carlos Leopoldo

  2. mary dijo:

    ya formatearon todo y volvio a aparecer me estoy volviendo loca

  3. juancho dijo:

    buenas, visitandolos con una gran duda, tengo el mismo problema, al parecer alguien abrio una memoria infectada en mi pc, ahora las opciones de mostrar carpetas ocultas esta deshabilitada, al no darme un resultado de infeccion nod32, no tengo idea de k virus pueda ser, suponia que era el mismo, pero al realizar los pasos aqui mensionados hijack no muestra los procesos que deberian salir, asi que estoy en 0, alguna idea, o recomendacion se las agradeceria.

    P.D. tambien intente scans en linea, panda y eset ninguno arrojo nada

  4. Michel dijo:

    Hola hay otro medotod mas facil. Es instalando el Nod32 version 2.7 o superior. Primero se hace un escaneo y se eliminan la mayoria de lso archivos. Despues nada mas se entra al registro y se eliminan las claves que ya antes menciono el amigo de Fer. en caso de no entrar con el programa HijackThis 1.99.1 se marca la entrada O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 .

    Despues se hablita la opcion de carpetas ocultas y ps se elimina los que ya se menciono como VenoM.666, etc y archivos sospechosos y listo. Con el escaneo del Nod32 se hace mas facil el proceso de desinfeccion

  5. Esteban dijo:

    gasias eres una gran persona no tenia ni la menor idea de como fregaos quitar esta madre. te estoy demaciado agrdecido

  6. hola, seguí todos los pasos, no encontré desde un principio C:/crsvc.exe

    tengo varias carpetas repetidas y con 180 kb, las tengo que eliminar, son las repetidas..??’

    la otra pregunta es que si tengo que desmarcar “mostrar todos los archivos y carpetas ocultos” y volver a marcar las casillas “ocultar archivos protegidos del sistema operativo” y “ocultar las extensiones de archivo para tipos de archivo conocidos”….???

    lcon esto no elimino al 100% el virus o si???

    de antemano, muchas gracias, estuve a punto de mandar a formatear mi compu…

  7. paulina dijo:

    No se que hacer con esta mendigo virus ya me arte
    la neta quisiera ke me ayudaran a kirarlo de mi compu y de mi
    usb no se ke hacer
    estoy desesperada porque en mi usb tengo archivos que son muy importantes para mi
    ke si los paso a otra compu tambien se puede contagiar
    aayyyyuuuuuddaaaaaaaaaaaaaaa
    por favor
    auxilio

  8. alba dijo:

    hola chico!! bueno, hice todo eso en mi máquina, según yo ya la había desinfectado, pero creo que no… y amm ya después volví a ejecutar el hijackthis y pues hay unos procesos que dice que no se pueden terminar porque está en ejecución o algo así… sale el wingolon.exe con eso de que no se puede terminar, pero me aparce en system32… eliminé todas las carpetas que tenían lo de venom, pero no sé si me desinfecté o no, me confunde System32 y system 32… tiene algo que ver la letra mayúscula?….. aparte ammm, cuando le doy clic derecho a la unidad C me sale una opción que dice símbolo del sistema… qué es eso?? no me acuerdo que saliera antes! :S y pues por eso como que no entiendo bien que es lo que tengo que hacer para quitarme el virus… o cómo puedo saber que ya no lo tengo…. otra cosa!! el virus me entró el domingo, ya es miercoles y el mensaje en bloc de notas me ha salido nada más como unas 6 veces en todo lo que va.. hoy no me ha aparecido…..
    bueno, ojala que puedas ayudarme!!
    saludos!!!