23 de enero de 2008

El virusillo del vbs(win31)

ACTUALIZADO(22-2-08)

Bueno, pues esta mañana despues de dos horas peleandome con el cacharro maltratao que tenemos en clase he conseguido extirpar de sus entrañas un jodido virus que si no es muy dañino, si es muy simpatico si no sabes como cepillartelo.

¿Lo que yo tengo es el bicho ese??


Pues si al ir a abrir alguna unidad(disco duro, una memoria flash u otras en las que pueda grabar) haces doble clic en su icono pa abrirla como toda la vida de dios pero el equipo pasa de ti y no hace nada, despliegas el menú contextual de dicha unidad(usease darle al botoncito derecho del raton sobre su icono) y al principio de la lista sale "Reproducción automatica" es bastante probable que tengas gusanito.

Otros posibles sintomas: En el titulo de la ventanita del internete eplorer pone algo de "BATAI USA".

Verifiquemos que el gusano este ha encontrado en nuestro equipo un rinconcito para vivir.
Nos vamos al panel de control(En menú inicio). Una vez dentro abrimos "Opciones de carpeta"

En la pestaña ver buscamos las opciones "mostrar todos los archivos y carpetas ocultos"(al principio dela lista) y "Ocultar archivos protegidos del sistema operativo(recomendada)" deshabilitamos esta última y habilitamos la primera (mostrar todos los archivos y carpetas ocultas), ademas desactivamos la opción "Ocultar extensión de archivo para tipos archivos conocidos".


Aceptamos y salimos, ahora ya podemos buscar a ese gusano asqueroso.

Abrimos cada unidad en la que se pueda hacer escrituras (Discos duros, memorias flash...), si aparecen los archivos "autorun.inf" y "win31.dll.vbs" es que el gusano se ha instalado en tu equipo.

¿Pero el bichejo este que es lo que hace??

Pues el gusanillo okupa este, aparte de dar porsaco a la hora de abrir nuestras unidades tambien:
-Puede modificar el papel tapíz (imagina que te pone uno guarro, veras cuando llegue tu señora y lo vea, a ver si es peligroso)
-Puede usar clientes IRC y chats para propagarse.
-Cambiar la información del usuario del equipo okupado
-Bajar los niveles de seguridad del equipo.
-Engordar, y a este le gusta, no se va a poner a dieta, si no que cada vez que se ejecuta ocupa un poco mas.

En resumen si no peligra la vida de tu equipo, si que te da el coñazo.

¿Y esto por donde ma entrao que yo no le he visto???

-Para entrar suele hacerlo por correo electronico, y no no te preocupes no abriste un adjunto que no debias, este no viene en patera, este es de los que se esconde en los bajos del camión. Viene integrado en el codigo del mensaje. Se auto propaga enviandose a los contactos de la agenda de
Microsoft Outlook(O eso he leido en VSAntivirus)
-Tambien es capaz de darse paseos por las unidades de disco compartidas en red y dejar churumbeles en cada una de ellas.
-Entrando por IRC y los chats, así que no os recomiendo aceptar archivos script por ahi, ni bat.
-Memorias flash, al poner una memoria flash en un equipo infectado, la memoria se infecta infectando todo ordenador por el que pase(Como las abejas y el polen que te da un alergiazo)

Maldito Gusano, preparate para morir


Lo proximo es matar el proceso que ha lanzado, con este en marcha no podemos hacerle nada.
Para lo que vamos al "administrador de tareas"(Ctrl+Alt+Supr). Una vez tenemos la ventanita del administrador desplegamos la pestaña "procesos". Pinchando Sobre "Nombre de imagen" se ordenan los procesos por nombre, buscamos wscript, lo seleccionamos y desplegando su menú contextual(boton derecho del raton) le damos a terminar proceso.
Ahora tenemos licencia para matar a ese gusano bastardo.

Lo siguiente es llamar al editor del registro, para esto en el menu inicio encontramos "Ejecutar" y pinchando sobre el nos saldra un casillero, en este escribimos regedit y pulsamos intro.


Se abre una ventanita tal que asi:

Desplegamos "HKEY_LOCAL_MACHINE", en el subárbol que se despliega buscamos "SOFTWARE" y lo desplegamos también, hacemos lo mismo para "Microsoft" y "Windows". En este último arbol que se despliega hay una carpeta llamada "Run", la seleccionamos y la derecha en la ventana grande nos muestra su contenido.
Ahi dentro, en uno de los registros pone "Wscript.exe", el nombre no lo puedo decir porque el gusanito este lo genera de forma aleatoria, así que sera distinto para cada gusano en concreto, aunque en mi caso, siempre lo he visto con el nombre de mcafee(actualización).
Desplegamos el menú contextual de esta/s entrada/s del registro y le damos a eliminar.

Y... no aun no lo hemos matado al bicho en cuestión, lo que acabamos de hacer es evitar que cuando lo matemos resucite, ahora tiene los segundos contados.

Abrimos mediante el menú contextual(boton derecho del raton, y abrir, no reproducción automatica) cada unidad en la que se pueda hacer escrituras (Discos duros, memorias flash...), si aparecen los archivos "autorun.inf" y "win31.dll.vbs" los eliminamos sin piedad ni compasión, pero no los envies a la papelera, acaba con ellos directamente (Shif[o la tecla de la flecha parriba]+Supr).

Ultimamente tambien lo he visto esconderse en la carpeta Windows(actualizacion)

Si en lugar de abrir estas unidades mediante el menú contextual lo hacemos directamente, el gusanillo este vuelve a activar todo lo que habiamos desactivado y no nos dejara borrarlo

Ya solo nos queda decirle a dichoso virus muere bastardo muere.


-
Gracias a todos los que habeis comentado, unos por vuestras aportaciones, y otros por vuestro "reconocimiento". Siempre es grato saber que hay gente que lee esto y hasta le sirve para algo. ;)


NOTA: Aún nos saldra saliendo lo de Batai Usa en la barra del I.Explorer, esto es sencillo de quitar, en unos días pondre como hacerlo

29 comentarios:

Anónimo dijo...

mil gracias por poner el proceso tan especificado. Llevo leyendo no sé ya cuántas páginas y no me he aclarado. Esta noche pruebo a ver si tengo suerte. Ya t cuento...

CaRaKoLiLlOs dijo...

Pues espero que te sirva, es mi primer blog y no se si me explico en condiciones jeje. Ese gusano lo he eliminado de unos 5 o 6 equipos y no he tenido problemas (Una vez que encontre la manera claro). Bueno pues eso que suerte y me alegro de haber servido de ayuda

Anónimo dijo...

ehiiii, creo q lo he conseguido y además rapidísimo!!! yupiiii!! También del disco duro externo, ole, ole... Así q, enhorabuena maestro!!! Y adelante con tu blog q t auguro mucho éxito!!
En un par de días volveré por aquí para reafirmarme en la eliminación del virus, muere bastardo, muereee, jajaja...

Anónimo dijo...

buenas mira a ver si me puedes exar una mano, a mi se me infecto el pendrive y aora no hay manera de eliminar el virus. Utilizo el Nod32 2.7 y lo elimino la primera vez que lo detectó pero luego volvia a aparecer el error cada vez que abro el pendrive y solo me pasa con el pendrive. Si busco el virus ese en el registro me aparece esto: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WIN31.dll.vbs

Ayudame xfavor que ya no se que hacer!! gracias de antemano

CaRaKoLiLlOs dijo...

Yo con el antivirus no pude quitarlo, lo que dices que lo borra pero vuelve a salir, seguramente sea por la entrada en el registro que crea. Prueba a seguir lo pasos que vienen en la entrada a ver que tal. Pones la configuracion de carpetas para poder verlo(ver archivos protegidos del sistema). Matas el proceso wscirpt, borras la entrada del registro, abres con el boton secundario la unidad y lo borras.

Viene mas detallado en la entrada, prueba a ver. Esta mañana lo he estado quitando y otros dias de los pc´s de clase y no me ha dado ningun problema. Si probando lo que pone en la entrada no lo solucionas dimelo que siga indagando mas acerca del bichejo este. Pero creo que deberia morir con lo que pone ahi arriba

Anónimo dijo...

Perfecta explicación y además con gracia, vaya peacho de crack que estás hecho. Gracias amigo.

Anónimo dijo...

¡¡Muchas Gracias!!
Lo tenia y gracias a tus explicaciones he conseguido eliminar al p....virus ese.
!!Buena labor amigo¡¡

Anónimo dijo...

ieeee, volví en más d un par d días, pero... en efeto, ni rastro de él. Q a gustitoooo!!!!!
ahora le estoy pasando tu pagunia a varios q tb lo tienen (uno d ellos es el q, supuestamente, nos lo pasó a todossssss?
arribaaaa arribaaaaaaaaaa
lourirles

Anónimo dijo...

Lo acabo de eliminar de un ordenador esta tarde tras darle muchas vueltas(antes de ver esta pagina, que putada), y me he fijado que tambien cambia el título del internet explorer. Ponia no se que de BATAI y no se que más. Si abrís el win31.dll.vbs con el bloc de notas, aparecen, abajo del todo, las entradas del registro que modifica. A mi me ha modificado 2, una con una entrada para el mcafee, y otra el título del internet explorer. La primera la he eliminado, la segunda, sólamente le he cambiado el nombre y le he pusesto "Microsoft Internet Explorer". Mirad a ver si es vuestro caso. Sólo hay que seguir la ruta del registro que pone el el bloc de notas y yas está.

C.B. dijo...

El proceso ha funcionado bien. He observado que el bicho se carga en el Inicio de windows: ejecutar -> cmd -> msconfig -> Inicio.
lo desmarqué para no ejecutarlo y luego he seguido el proceso. sigue apareciendo ahi, aunque todo va bien...
En otros ordenadores no salta... aun probando a mala leche a pinchar pendrives infectados...
¿alguien sabe si puede revivir?

Anónimo dijo...

Muchisimas gracias, funciona perfectamente. Un saludo

Anónimo dijo...

Hola, no he logrado encontrar el proceso que decías en la ventana de procesos. Ni tampoco he encontrado en la parte windows del registro la carpeta "run". ¿Puede ser que tenga el gusano con otro nombre totalmente diferente? Si es así, cómo podría eliminarlo.
El virus también se me ha pasado al pendrive pero eso lo he eliminado con linux; el problema es que no se cómo quitarlo de windows. Me da cosilla tocar el registro.

Gracias

CaRaKoLiLlOs dijo...

Hombre el vrusillo este, en teoria, cambia de nombre, asi que podria ser que lo tuvises con otro nombre. o solo lo he visto bajo el nombre de mcafee, eso como entrada del registro, en cuanto al archivo, siempre son win31.dll.vbs y autorun.inf, es posible que tengas otro virus, o una combinacion de virus, algo mas "divertido" aun. Tambien es posible uqe no lo veas porque otro virus no te permita cambiar las opciones de visibilidad de carpeta, aparentemente marcas la que sea peeeeero le das a aceptar y no ha hecho nada, vuelves a abrir las opciones de carpeta y todo sigue igual. El proceso siempre lanza wscript, si ese proceso no s epuede ejecutar.

Anónimo dijo...

algo k añadir a esta jollita...

llevar cuidado porque en mi caso creaba unos ficheritos llamados destock.ini el cual activaba otra vez el gusano...

se pone en documents and setings todas las carpetas dentro de la carpeta inicio y sus subcarpetas....

Anónimo dijo...

Muchas gracias, por la información tan detallada, sin ella no hubiera sido capaz de acabar con el mal bicho este.
Per por fin LO CONSEGUÍ!!!

Thank you

Anónimo dijo...

Ya es reconocido que tu aportación es cojonuda, pero debo insistir. La explicación es muy buena y funciona!!!

Aporto algo por si sirve de ayuda: antes de esperar a tener el equipo infectado, yo tomo la siguiente precaución cuando pincho una memoria usb:

1- Sin abrir el explorador (esto creo es peligroso) me fijo que unidad a dado al pendrive.

2- Escribo cmd en Windows->Ejecutar

3- En línea de comando cambio a la letra que corresponde al pendrive. Por ejemplo E:

4- Aquí hago dir /ah para que me muestre los ficheros ocultos

5- Si aparecen autorun.inf, win31.dll.vbs o fun.xls.exe (que es otro similar), tienen los días contados... los borro antes que contaminen mi equipo!

6- Para ello aplico attrib -r -h -s seguido del nombre de cada fichero para quitarles las propiedades de ocultos.

7- Borro cada uno de ellos con el comando del

Ahora ya puedo cerrar la ventana de línea de comando y abrir con el explorador de windows sin riesgo de gusanos.

Espero os sirva y gracias a todos por estas ayudas.

Arrugas.

CaRaKoLiLlOs dijo...

Bueno pues muchas gracias por el comentario a todos. En cuanto a lo que comenta arrugas, en cuanto tenga tiempo voy hacer un post ma generico para reconocer virus mediante el comando dir y sus opciones, mcepillarselos con del. El problema es que no solo puede estar en el pincho, si no en cualquier unidad, o ya ejecutandose, o con una entrada en el registro que nos lo ponga en un momento. Vamos veintemil historias, asi que por eso voy a escribir uno de estos dias un post mas genérico e incluso añadir un script para automatizar la eliminacion de algunos virus y la restauracion del registro con respectoa esos virus. Lo hare de la ultima legión que han entrado en los pobres y maltratados de clase.

Sol Sol dijo...

Me gusta mucho tu blog, lo veo muy practico, te enlazo.
Besos

Anónimo dijo...

GRACIAS. Si señor, en mayúsculas porque usted se lo merece!!.
A mi tampoco me aparecía nada de lo dicho en el registro (cosas del kaspersky 7 supongo) ni el maldito win31.dll.vbs en el disco externo (supongo que por haberlo eliminado con el kaspersky) pero he borrado el .inf ese y ha sido mano de santo, ya no me busca ficheros fantasma y me lo abre con doble click a la primera!! espero que dure, que son 750GB de disco duro y no me apetece mucho formatearlo!!

lo dicho, GRACIAS!!

Anónimo dijo...

Ole, ole y ole. Que grande!! Tras 15 paginas web que decian de procesos que no funcionaban llegue a vuestro blog y ha funcionado. Que jefe!! Mi mas sincera admiracion tanto por la claridad de las expliaciones como por la facilidad de entendimiento del texto. Muchisimas gracias

Anónimo dijo...

Muchas gracias, me tenía loco el cabrón este, se propaga con los USB como la peste.

Un consejo para prevenir este tipo de virus: desactivar el autorun de todas las unidades.

Anónimo dijo...

GRACIAAAAAAAAAAAASSSSSSSS.

No tengo ni idea de donde pudo venir el maldito, pero creo que no me a dado el mas minimo problema y a sido ejecutado.

Gracias de nuevo. Me alegro de ver un blog que vale de algo ^^

Atentamente
Acatifroly

PAZ...

Anónimo dijo...

Hola Carakolillos: muchas gracias. Para mi que soy profana en esto ha sido muy fácil seguir tus indicaciones y ¿eliminar al bicho?. Eso no lo sé, porque sigue apareciéndome en la cabecera del explorer BANTAI USA... ¿Hay algún paso que me haya saltado? (realmente no me lo he saltado, pero no he encontrado Wscript en procesos). Lo que si se ha resuelto es abrir carpetas con doble click. ¿Puedo pensar que me he desecho de él? Reitero las gracias. Un saludo.

CaRaKoLiLlOs dijo...

Aunque siga saliendo lo de Batai Usa, ya esta limpio, eso es una secuelilla que deja, y que es fácil de quitar. Pero muuuuy entretenido a la hora de buscar donde se cambia. Para ir derechito y poner como se arregla ese detalle me haria falta el virus, pero hace tiempo que no lo tengo :)

Anónimo dijo...

Excelente explicación, carakolillos. Lo único que tengo un problema: en mi caso wscript.exe no aparece en el registro en Windows -> Run, sino en Windows Scripting Host -> Locations, donde lo he encontrado haciendo una búsqueda en el Editor del Registro. Aparece de 'Nombre' WScript, de 'Tipo' REG_EXPAND_SZ y 'Datos' %SystemRoot%\System32\wscript.exe. ¿Borro éste o de hacerlo corro el riesgo de cargarme algo? Buscando por 'mcafee' no encuentra nada.

¡Pues nada, a ver si puedes echarme un cable más!

Recibe un cordial saludo de un internauta agradecido.

CaRaKoLiLlOs dijo...

Si te cargas esa entrada te cargaras algo que no sabemos que es, pero no es el virus, para buscarlo en el registro busca win32.vbs.dll que es ek virusillo en cuestion. el Wscript, es una maquinitia que usa windows para ejecutar esos script. Que no todos son virus.

Anónimo dijo...

Para eliminar el título BANTAI USA etc del Internet Explorer basta buscar en el registro de Windows "Bantai" y eliminar la entrada correspondiente que se encuentre.

Muchas gracias por la explicación para eliminar el virus!

Anónimo dijo...

Corrección a lo dicho: buscar en el registro de Windows "bantai". Aparece normalmente una clave que es "Windows title". En un ordenador no infectado debe aparacer que su valor en la columna de Datos es "Windows Internet Explorer". Si nuestro ordenador ha sido infectado saldrá BANTAI USA... Para solucionar esto, basta hacer clic derecho sobre la entrada y pinchar en Modificar. Ahora podremos escribir el título original que debería salir cada vez que navegamos por Internet, borrando el maldito BANTAI USA

Anónimo dijo...

hola,muchas gracias por el post,realmente esta bien explicado.Pero creo q tengo una historia de 3 pares de c....,porq tengo varios gusanos.A lo q voy es q en el REGEDIT no me aparece la entrada de registro WSCRIPT.exe.Hice el resto de pasos,pero no creo q con esto sea suficiente.Puedes ayudarme?Gracias!!