Como Eliminar el Virus Venom, Método de desinfección

Virus VenomUltimamente mis conocidos me han estado preguntando mucho acerca del virus VenoM, que últimamente esta auge en las computadoras de la institucion en la que estudio.

Este virus se manifiesta de la siguiente manera:

  • Crea un ejecutable de 181 kb por cada carpeta existente en una unidad de disco o memoria.
  • Crea un explorer.exe y un mis documentos.exe de 181 kb.
  • Deshabilita las opciones de carpeta y el administrador de tareas.
  • Conforme pasa el tiempo empieza a enviar un mensaje de texto que dice:
  • “El juego a terminado. Tu has sido derrotado por VenoM ([email protected]).
  • Cambia las propiedades del Explorador de Windows para no poder visualizar los archivos ocultos y esconde las extensiones de archivos.
  • Oculta la carpeta del sistema (Windows) y crea un archivo ejecutable con ícono de carpeta llamado Windows en la unidad del sistema, entre algunas cosas más.

Mi amigo Fer o mejor conocido como arwing ha detallado una completa guia paso a paso para la desinfección de este molesto Malware. Dicho tutotial lo cito a continuacion

La única herramienta que necesitaremos será HijackThis 1.99.1 o superior.Ejecuta HijackThis y realiza un escaneo del sistema. A continuación presiona el botón Config…, luego Misc Tools y por último selecciona Open process manager. Aparecerán todos los procesos que corren en tu sistema.

En específico, tienes que terminar los siguientes procesos (en este caso específico la letra de la unidad es C:\):

C:\crsvc.exe
C:\WINDOWS\System\winlogon.exe <-- Ojo, está en System y no en System32
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
C:\WINDOWS\system32\cmd.exe <-- Este es el archivo real de Windows, pero hay que finalizar su proceso para poder realizar la desinfección
C:\Documents and Settings\usuario\Datos de programa\lsass.exe

Para terminar un proceso lo único que debes hacer es seleccionar el proceso y presionar el botón Kill process.

Una vez terminados los procesos anteriores, presiona el botón Back en HijackThis. Regresarás al escaneo que realizaste anteriormente. Ahora marca las casillas de las siguientes entradas:

O4 - HKLM\..\Run: [Syslog] C:\crsvc.exe
O4 - HKLM\..\Run: [CFTMON.EXE] C:\WINDOWS\System\winlogon.exe
O4 - HKCU\..\Run: [CFTMON.EXE] C:\Documents and Settings\usuario\Datos de programa\smss.exe
O4 - Startup: MS-DOS.pif = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Una vez seleccionadas dichas casillas, presiona el botón Fix checked. Realiza otro escaneo para asegurarte que las entradas ya no aparecen. Una vez eliminadas estas entradas puedes cerrar HijackThis.

Ahora ya podrás abrir el Editor de registros. Dirígete a Inicio >> Ejecutar >> y escribe “regedit” (sin las comillas por supuesto) y presiona Aceptar.

Una vez adentro expande la carpeta (o clave) correspondiente a HKEY_CURRENT_USER. Podrás notar de inmediato que exiten unas claves que dicen VenoM y un número aleatorio. Elimina todas las claves dando click derecho sobre la clave y seleccionando Eliminar.

Una vez eliminadas todas esas claves, expande las claves siguiendo la siguiente secuencia: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies.
Debajo de Policies hay dos claves: Explorer y System. Entra a System y elimina los valores llamados DisableTaskManager y DisableCMD, dando click derecho sobre el valor y seleccionando eliminar. Ahora dirígete a la clave Explorer, donde sólo queda eliminar el valor NoFolderOptions.

Cierra el Editor del registro y ahora abre el Explorador de Windows. Puedes abrirlo dirigiendote a Inicio >> Programas >> Accesorios >> Explorador de Windows o presionando la tecla Windows y la tecla E al mismo tiempo. Aquí el Explorador de Windows es importante, porque tenemos que explorar las carpetas desde la estructura de árbol para no ejecutar los archivos autorun.inf que se encuentran en algunas carpetas, como en C:\ por ejemplo.

Primero intenta mostrar los archivos ocultos de nuevo. En Windows XP la opción estará en el menú Herramientas >> Opciones de Carpeta. En versiones anteriores de Windows la opción estará en el menú Ver. Si la opción no aparece tendrás que reiniciar el sistema. No debería haber problema de reinfección pues hemos eliminado todas las entradas de arranque del malware. Si la opción Opciones de Carpeta aparece, entonces selecciónala, dirígete a la pestaña Ver y selecciona la opción “Mostrar todos los archivos y carpetas ocultos”. También desmarca las casillas “Ocultar archivos protegidos del sistema operativo” y “Ocultar las extensiones de archivo para tipos de archivo conocidos”. Presiona el botón Aceptar.

En el Explorador de Windows dirígete a la unidad del sistema (generalmente es C:\). Una vez ahí elimina la carpeta oculta VenoM.666 y los archivos crsvc.exe y autorun.inf. También elimina el archivo Windows.exe, asegúrate de que sea el ejecutable porque de otro modo estarías intentando borrar la carpeta del sistema (que puede aparecer como oculta, cambia sus propiedades seleccionando la carpeta con un click derecho >> Propiedades, y desmarca la casilla Oculto). También es probable que tengas un archivo ejecutable cuyo nombre sea el nombre de tu usuario y el texto “100%”. Por ejemplo: “usuario 100%.exe” o “100% usuario.exe”

Sigue utilizando el Explorador de Windows para borrar los siguientes archivos. Antes de eliminar estos archivos, anota la fecha de creación y modificación, la vas a necesitar después para buscar más archivos sospechosos.

C:\WINDOWS\System\winlogon.exe
C:\Documents and Settings\[usuario]\Datos de programa\smss.exe
C:\Documents and Settings\[usuario]\Datos de programa\services.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\winlogon.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\autorun.inf <-- Puede no estar
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif

Abre el buscador de archivos (Tecla Windows + F o en Inicio >> Buscar) y en la opción Buscar todos los archivos y carpetas, escribe autorun.inf y realiza la búsqueda. Es posible que encuentres varios autorun.inf si tienes guardadas en el disco duro imágenes de CD’s o DVD’s. En ese caso ignóralas. Pero si ves archivos autorun.inf en otra ubicación revísalos (para revisar un autorun.inf basta con dar click derecho, seleccionar Abrir con.. y selecciona el Bloc de Notas para abrirlo) y si hacen referencia a algún archivo de los que acabas de borrar, o hace referencia a VenoM, entonces elimínalos.

Puede que hayan quedado algunos pocos archivos esparcidos por el sistema de los que no estoy enterado. Sin embargo, si realizaste todo lo que indiqué aquí, el malware VenoM ya no debería ser molestia, pues ya eliminaste sus archivos principales y sus entradas de arranque.

Revisa en busca de ejecutables sospechosos. En especial, elimina aquellos que sean ejecutables y tengan como icono una carpeta de Windows. Utiliza las fechas de creación y modificación que te pedí que anotarás previamente para facilitar la búsqueda con el Buscador de Windows.

Si tienes alguna pregunta o comentario, puedes colocarlo en este post

Otro enlace que te puede interesar es como eliminar el virus venom de una memoria usb

Descarga | HiJackThis
Enlace | xarw

UPDATE:
 Nod32 y Kaspersky en sus ultimas versiones lo eliminan  

58 thoughts on “Como Eliminar el Virus Venom, Método de desinfección

  1. G R A C I A S !!!

    Yo sólo se estrictamente lo básico para usar una computadora, pero creo tener lógica en mi cabeza… hice el proceso unas tres veces antes de que todo jalara normalmente, aunque en la primera parte hubo procesos que jamás aparecieron, pero supuse que había que ignorarlo…

    Bueno, además de decir gracias, gracias, gracias… quisiera saber cómo eliminar el virus de una unidad de USB, porque hasta donde recuerdo, o sea, no la he vuelto a meter a mi computadora, también tenía carpetas que dicen 100% usuario precisamente de 180 kb… La metí en una Mac y pude eliminar una carpeta que dice VenoM, pero, no se si sea necesario eliminar otros archivos también…

    Pues nada, un beso y más gracias…

  2. Gracias brother de verdad muhas gracias, pero si tambien quisiera saber como borrarlo de una memoria USB. Te lo agradeceria infinitamente y de verdad; eres un genio

  3. oie no se k hacer segun yo hice hasta lo de las carpetas con HijackThis 1.99.1 pero algunas no me aparecen y el Editor de registros no me lo habre k hago????????????

    ayudame

  4. trate de hacer la desinfecion de “venoM”. mostre los archivos ocultos pero no se podia eliminar el archivo WINDOWS.exe entonces me cambie de carpeta y cuando regrese a C: se habian kitados los archivos ocultos y la opcion de de opciones de carpeta desaparecio del menu herramientas y del panel de control. y no pude completar la desinfeccion y sigue el virus. como le puedo hacer para que se vuelva a mostrar la opcion de opciones de carpeta.

    si me puden ayudar…se los agradeceré!!

  5. EXCELENTES PASOS PARA LA ELIMINACION DEL VIRUS VENOM, AGRADECIDO INFINITAMENTE. PARA ELIMINAR EL VIRUS DE UNA USB LO QUE HICE ES MEDIANTE UN LIVE CD DE LINUX (UTILICE KUBUNTU 7.10 QUE LO PUEDEN BAJAR DE http://www.kubuntu.org) Y ELIMINE TODOS LOS ARCHIVOS EJECUTABLES (aparecen como iconos de carpeta) QUE INDICAN LAS INSTRUCCIONES, ADEMAS DE LOS ARCHIVOS autorun.inf. SAludos

  6. si elimine algunas cosas, y ojala y me sirva, pero ubo como dos que no encontre, eso de los procesos

    como le ago si no aparecieron , o no ay problema si no aprecieron

    ojala y me respondas,

    gracias

  7. como yo hice para eliminar el virus de una usb
    inicie la pc en modo seguro, meti la usb y desde el explorador de windows le di formato jajajaja y asi al parecer no paso el virus a la pc donde meti la usb. lo bueno sk lo k tenia importante de la usb ya lo habia respaldado jejeje.

    si saben de algunantivirus k lo elimine les encargo k digan.

    y otra kreo k las corporaciones k fabrican los antivirus deberian de sacar ya un parche para poder eliminarlo o cuando menos k lo detecte y no lo deje instalar.

    tks :D

  8. utilicen el nod32 o el mcafee para eliminarlo de una memoria… claro… primeramente habiliten en la pc donde vayan a insertar la memoria las opciones de ver los archivos ocultos y del sistema y tambiíen deshabilitar la opcion de ocultar la extension de archivos comunes y archivos del sistema.

    saldudossssss

  9. Exelentes pasos, ya lo han dicho todos.
    Pero en ocasiones cuando desinfecto, hasta el paso donde hay que aparecer los archivos ocultos ocasionalmente, no en todas, no aparecen los ocultos.

    Tendra el hecho que ver que no elimine los procesos en el orden que diijste?

  10. Ester virus si que quita el sueño y duele la cabeza porque te infecta las PC en red y las USB. Para limpiar el USB, selecciona y corta las carpetas y archivos de tu memoria y copialas a tu PC, deja solo los que dicen 100 % VenoM etc, que tu no reconozcas y darle formatear a tu memoria. Posteriormente copia y pega de nuevo a tu memoria y ya no tendràs el enfadoso virus.

  11. no me aparece el primer programa! crvcs.exe algo asi, eso que significa!! ya lo hice dos veces y no se quita! que hago?? por fa!!

  12. ola muchisimas gracias creo q me sirvio pero no c esque no puedo abrir el administrador de tareas ya lo borre tmbn de la usb a y no saben q le paso al tal metauro si le hakearon su correo o algo
    bno mmm unas cosas no me salieron no ay problema??
    y ps no guarde las fechas no importa
    solo quiero borrarlo de la memoria lo borre con el nod32
    ademas al querer enviar un archivo y le doy clic derecho y darle enviar a:
    y me asle disco extraible y el signo de mcdos eso q es o q
    me pueden ayudar
    gracias!! saludos

  13. HAY TRES PROCESOS QUE NO APARECEN EN MI COMUTADORA. ADEMAS CUANDO INTENTO VER LOS ARCHIVOS OCULTOS SE TRABA MI MAQUINA. Y CUANDO SE DESTRABA NO ME PERMITE ABRIR MI DISCO DURO NI ABRIR NI CLICK DERECHO EXPLORAR NO PUEDO.
    LOS PROCESOS SON LO TRES PRIMEROS QUE TU DICES. EL CRVS.EXE.
    ADEMAS EL CMD.EXE NO LO PUEDO DETENER SOLO CAMBIA DE POSICION.
    Y CUANDO YA TERMINE TODO AL ABRIR MI PC ME VUELVE TODO A COMO ESTABA.

  14. muchas gracias por la ayuda brindada, lo que me queda duda es que habia archivos que no encontre, en el proceso, esto es que no se habian instalado aun o es que no busque bien aun que estoy seguro de no haberles visto , porfavor ayudenme a disipar la duda , muchas gracias

  15. YO TENGO UN PROBLEMA APARTE DE LO DEL VIRUS, MI MAUSE NO SE MUEVE, TENGO QUE REINICIARLA O DORMIRLA UN RATO PARA QUE SE MUEVA, PERO DESPUES DE UNOS MINUTOS REGRESA A LO MISMO, Y EN VECES TAMBIEN LE PASA AL TECLADO O LAS BOCINAS, AUNQUE EL RATON ES EL DE DIARIO.

    ESTO SE DEBE TAMBIEN O LO DEL VIRUS, O QUE TENGO QUE hacer? POR FAVOR SI ME PUDIERA AYUDAR ALGUIEN O DARME SU OPINION SE LO AGRADECERIA.

    aqui est mi correo
    [email protected]

    jeje un poco largo, bueno, eso es todo gracias.

  16. hola, los pasos me han ayudado bastante no sabes cuanto, tambien lo pude eliminar de mi usb pero al mostrar las carpetas ocultas me encontre con dos archivos mas ke no pude eliminar de nombre killgodzilla.vbs dentro de la usb, ke en mi compu no aparecen, me podrias ayudar con eso? GRACIAS!!!

  17. he hecho todo lo anterior… y me volví a infectar debido a lo siguiente… entras a propiedades de pantalla (clic derecho en escritorio>propiedades) despues en la pestaña de “protector de pantalla” y ahí en opciones de protector de pantalla me aparece una que dice [usuario]3D… el otro dia le di y me volví a infectar… ya volví a repetir los pasos para desinfectarlo y ya lo quité pero me sigue saliendo esa opción en el protector de pantalla, que puedo hacer para quitarlo? según yo ya quité todos los ejecutables de mi pc… lo que no encontré fue ningún “autorun.inf” por lo que no borré ninguno porque no me apareció ninguno… seguí los pasos tal y como están… que puedo hacer

  18. yo he tenido el mismo pinche problema por este virus que esta atacando a my pc y no se que hacer he estado a punto de quebrar mi mouse por culpa de este virus y nose como eliminarlo pero espero que pronto tenga solucion ya me enfade y quiero q` se elimine
    soy de nayarit _ ixtlan del rio

  19. Gracias por el método, elimine el virus son problemas, no encostre algunos de los procesos, pero supuse que no todos deberían estar.

    Gracias Fue muy fácil.

  20. Hola, esta cosa definitivamente quebro mi maquina y estoy en toda la disposicion de una recompensa para quien me la recupere tal y como estaba, saludos…

  21. soy Efrain por que si ya haces todos los pasos al pie de la letra, en la unidad c:
    ya lo quite pero tengo otra particion y quiero accesar a ella y no me la abre directamente que debo hacer

  22. hola!!

    tengo el mismo problemita pero ya me atore en este paso: “Ahora ya podrás abrir el Editor de registros. Dirígete a Inicio >> Ejecutar >> y escribe “regedit” (sin las comillas por supuesto) y presiona Aceptar.”

    a q se refiere???

    bueno espero q me puedan contestar…

    un saludo y gracias por la ayuda!!

  23. me quede en el explorador de windows donde me indica que anote la fecha de creacion y modoficacion no se como hacerle para borrrar los archivos indicados

  24. oye k onda no puedo mostrar todos los archivos y carpetas ocultos por mas k le doy aceptar y sigo los pasos no kiere como le ago?????

  25. muchas gracias man por el metodo ya lo hice en varias compu y ya no sale nada de venom y alas usb se lo quito con el explorador de windows claro con las opciones de mostar archivos ocultos

  26. a que chido ehh me ayudo bn mucho pero tube q aser el mismo proceso como 10 veses pero creo q al fin pude borrarlo aora como quien dicen “YA LE LLEGO SU SPIDERMAN A ESE VENOM” jaja

  27. ya pude jajaja eso de restaurar el sistema tambien te ayda para que puedas tener acceso a las carpetas ocultas y asi borrar todos esos archivos sospechosos

  28. sigo y sigo el procedimiento y el virus regresa….. se abren como 200 blocs de notas de nuevo….
    ya no encuentro manera de como quitarlo por favor ayudenme con una solución mas eficaz porque es desesperante eta situación

  29. hola .. bueno el problema es que no encuentro algunos de los procesos que mencionas … como el c:\windows\system\winlogon.exe .. lo encuento pero en sytem32 …

  30. hola, sigo con el procedimiento y el virus regresa, hice bien los pasos ke me indican y sl termino de ellos me volvio a aparecer el block, esto es muy desesperante y no se que hacer, todas las makinas de mired lo tienen y no se que hacer, xfa ayudenme con algo mas efectivo o me den una solucion mas efecaz. gracias y espero y me respondan.

  31. zadorov esta muy agradcido con los pasos, el problema es que en la universidad donde estudio tenemos ese virus y aun esta en muchas memorias como la puedo elimidar o proteger a mi pc?

  32. cuando kiero ejecutar “regedit” me aparece un cuadrito que dice “el administrador ha desabilitado la modificación del registro”….que hago!!!! :S

  33. eres un genio camarada¡¡¡¡¡ es super sencillo y le dimos en su madre a ese tal metauro jijo de su ch…. con venom batalle durante dos semanas probando de todo con Nod mc affeee, panda, y con otros metodos a prueba de errores, hubo uno en el que en modo a prueba de fallos te vas a inicio, ejecutar, msconfig y desactivas los programas que sean extraños en tu pc, me funciono solo un dia, por que las carpetas en modo normal se seguian duplicando y la maquina estaba superlenta…… NOS VENOMS, DIGO NOS VEMOS Y GRACIASSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSS¡¡¡¡¡¡

  34. MI MAQUINA CADA VEZ ESTA PEOR, SE APAGA SOLITA, E INCLUSO HOY NO QUERIA PRENDER, YO CREO QUE ES POR EL VIRUS VENOM, YA QUE ANTES NO ACTUABA DE ESTA MANERA.

  35. hola oye una duda, no me aparece nada de acer100% ni nada de eso pero me dasabilito el administrador de tareas y opciones de carpeta de mi cuenta pero hice otra y ahi no tengo deshabilitado nada, crees que tenga el virus?

  36. ok .. bueno resulta que hice el precedimiento y salio bien.. aparentemente , porque resulto que en unos dias volvio aparecer de nuevo .
    intento hacer de nuevo el procedimiento pero hay algunos procesos que no aparecen como c:\crvsvc.exe , todos los demas si . que hago ? o en que me afecta ? ademas quisiera saber si que sucede si no puedo eliminar el virus ni con el procedimiento ni con formatear mi maquina.

  37. EL virus Venom se manifiesta en mi computadora creando una subcarpeta con el mismo nombre de la carpeta que la contiene, y el explorador de windows detecta la carpeta como una aplicación que tiene un tamaño de 101 kb. Dichas carpetas las detecta Kaspersky con el nombre Email-Worm.Win32.Brontok.q Cuando inserto mi memoria USB en la computadora de un amigo, Kaspersky detecta el virus y lo elimina. Lo malo es que cuando deseo descargar este programa de la página, mi computadora se apaga. ¿Ustedes ya lo intentaron?

  38. tb se deven eliminar manualmente: Inicio.exe(181kb) y una carpeta llamada Administrador 3D.src(184kb) en lo persnal creeo q si no t aparecen ciertos archivos respecto al instructivo tiene q ver con q no ha progresado lo suficiente el virus y mientras elimines todo lo q tengas d lo q dice esta bn…

    y x cierto:
    MUCHAAAAAAAAAAAAAAAAAAAAS GRACIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAS a juanjosezg y a su amigo arwing x tan valiosisima aportacion! salvaron a mi cumpu de una dolorosa formateada! thks!

  39. Voy a intentar destruirlo, de antemano gracias si es que sirve el metodo y si no tambien, como veo que a varios si les funciono espero que a mi tambien.

  40. buenas, visitandolos con una gran duda, tengo el mismo problema, al parecer alguien abrio una memoria infectada en mi pc, ahora las opciones de mostrar carpetas ocultas esta deshabilitada, al no darme un resultado de infeccion nod32, no tengo idea de k virus pueda ser, suponia que era el mismo, pero al realizar los pasos aqui mensionados hijack no muestra los procesos que deberian salir, asi que estoy en 0, alguna idea, o recomendacion se las agradeceria.

    P.D. tambien intente scans en linea, panda y eset ninguno arrojo nada

  41. Hola hay otro medotod mas facil. Es instalando el Nod32 version 2.7 o superior. Primero se hace un escaneo y se eliminan la mayoria de lso archivos. Despues nada mas se entra al registro y se eliminan las claves que ya antes menciono el amigo de Fer. en caso de no entrar con el programa HijackThis 1.99.1 se marca la entrada O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 .

    Despues se hablita la opcion de carpetas ocultas y ps se elimina los que ya se menciono como VenoM.666, etc y archivos sospechosos y listo. Con el escaneo del Nod32 se hace mas facil el proceso de desinfeccion

  42. hola, seguí todos los pasos, no encontré desde un principio C:/crsvc.exe

    tengo varias carpetas repetidas y con 180 kb, las tengo que eliminar, son las repetidas..??’

    la otra pregunta es que si tengo que desmarcar “mostrar todos los archivos y carpetas ocultos” y volver a marcar las casillas “ocultar archivos protegidos del sistema operativo” y “ocultar las extensiones de archivo para tipos de archivo conocidos”….???

    lcon esto no elimino al 100% el virus o si???

    de antemano, muchas gracias, estuve a punto de mandar a formatear mi compu…

  43. No se que hacer con esta mendigo virus ya me arte
    la neta quisiera ke me ayudaran a kirarlo de mi compu y de mi
    usb no se ke hacer
    estoy desesperada porque en mi usb tengo archivos que son muy importantes para mi
    ke si los paso a otra compu tambien se puede contagiar
    aayyyyuuuuuddaaaaaaaaaaaaaaa
    por favor
    auxilio

  44. hola chico!! bueno, hice todo eso en mi máquina, según yo ya la había desinfectado, pero creo que no… y amm ya después volví a ejecutar el hijackthis y pues hay unos procesos que dice que no se pueden terminar porque está en ejecución o algo así… sale el wingolon.exe con eso de que no se puede terminar, pero me aparce en system32… eliminé todas las carpetas que tenían lo de venom, pero no sé si me desinfecté o no, me confunde System32 y system 32… tiene algo que ver la letra mayúscula?….. aparte ammm, cuando le doy clic derecho a la unidad C me sale una opción que dice símbolo del sistema… qué es eso?? no me acuerdo que saliera antes! :S y pues por eso como que no entiendo bien que es lo que tengo que hacer para quitarme el virus… o cómo puedo saber que ya no lo tengo…. otra cosa!! el virus me entró el domingo, ya es miercoles y el mensaje en bloc de notas me ha salido nada más como unas 6 veces en todo lo que va.. hoy no me ha aparecido…..
    bueno, ojala que puedas ayudarme!!
    saludos!!!

Comments are closed.