No puedo ver ficheros ocultos: Cómo eliminar el virus Autorun
Al igual que el Dr. Zhivago, me encontré con un virus en el trabajo. Estuve dándole varias vueltas hasta encontrar una forma definitiva de limpiarlo. Vi diferentes opciones en la red pero ninguna parecía ajustarse completamente a lo que yo necesitaba. Finalmente, aparecieron las indicaciones del Doctor, que seguí parcialmente con resultados positivos y, como están en inglés, me ha parecido interesante intentar hacer una traducción a nuestra lengua.
Antes de nada, un breve resumen de los pasos que seguí:
1.- Desactivé todos los programas que se cargan al iniciar Windows (Inicio->Ejecutar: msconfig).
2.- Ejecuté Malwarebytes’ Anti-Malware.
3.- Detectó dos entradas en el registro que no pudo eliminar/cambiar y un ejecutable que no pudo eliminar (seguidamente verás cuáles eran estos tres objetos).
4.- Busqué información sobre los objetos dañinos localizados por el detector de malware.
5.- Después de mucho buscar encontré la información que muestro seguidamente.
6.- Arranqué la máquina con otro sistema operativo y borré completamente la carpeta C:\WINDOWS\SYSTEM32 \ (Ojo con el espacio final de la carpeta. No confundir con C:\WINDOWS\SYSTEM32\, sin espacio).
7.- Reinicié arrancando con Windows XP normalmente.
8.- Intenté acceder al registro de Windows (Inicio->Ejecutar: regedit) para modificar manualmente las tres claves del registro afectadas y no pude. Me pedía que seleccionase el programa a usar para abrir el fichero.
9.- Las modifiqué haciendo doble clic sobre un fichero de texto con los datos válidos y la extensión apropiada (.reg). El fichero en cuestión es este: lastresclaves.reg (Si quieres descargarlo, pulsa con el botón derecho del ratón y selecciona la opción apropiada).
10.- Limpié el registro con Argente – Registry Cleaner 2.0.0.5.
Lo que sigue es la información a que me refiero en el punto 4, las indicaciones de cómo eliminar este molesto virus que impide mostrar las carpetas ocultas, las indicaciones del Dr. Zhivago. Como ves, se trata de un post en un foro, así que la redacción no está especialmente estructurada; tenlo en cuenta:
Me encontré con un nuevo virus el jueves en el trabajo. Es el virus autorun.exe. Lleva existiendo ya unos años y parece que se está volviendo más común. También se conoce por smss.exe. No estoy seguro de cuál es su propósito, pero lo que hace es escribir dos archivos en la raíz de las unidades USB cuando se insertan en un PC infectado. Los nombres de archivo son autorun.exe y autorun.inf. El nombre del archivo .EXE cambia a un nombre al azar como device_driver.exe o usb_smss.exe u otros nombres.
Se oculta configurando las opciones de carpetas para que no se muestren los archivos ocultos y marcando como ocultos los archivos que crea. Si intentas cambiar esta configuración para mostrar todo, se cambia de nuevo para ocultar todo. Esto se consigue modificando algunas entradas del registro de tal forma que el valor sin marcar es el mismo que el valor marcado. Este es el registro que se cambia:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Establece el elemento CheckedValue a «0» en lugar del predeterminado de «1».
Se crea un directorio oculto: C:\Windows\system32 \ (Fíjate en el espacio final, o, más probable, el carácter nulo). Es ahí donde se ubica. El nombre del archivo es smss.exe, que es también el mismo nombre que un archivo legítimo de Windows, el Administrador de sesión de Windows. Incluso reproduce las fechas de creación y modificación del fichero legítimo de Windows. El tamaño del archivo es, sin embargo, mucho más grande; alrededor de 1,3 MB. El archivo de serie tiene unos 50 KB.
También modifica dos entradas del Registro de modo que es casi seguro que permanzca residente. Se encuentran en las siguientes ubicaciones:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Cambia la cadena Userinit a esto:
C:\Windows\system32\userinit.exe, c:\Windows\system32 \smss.exe
Esto hace que se ejecute el virus cuando alguien se registra en la máquina, incluso en modo seguro.
Debería tener este valor:
C:\Windows\system32\userinit.exe,
La otra entrada de registro que se modifica es particularmente difícil de eliminar:
HKEY_CLASSES_ROOT\exefile\shell\open\command
La llamada al virus se antepone al valor por defecto, resultando así:
«c:\Windows\system32 \smss.exe» «%1» %*
El valor por defecto de esa cadena debería tener este aspecto: «%1» %*
La configuración modificada hace que el virus se ejecute y modifique el comportamiento de cualquier programa que se inicia desde Windows, incluso si logras detener el proceso, se relanzará al iniciar CUALQUIER programa.
Tuve mucho tiempo para observarlo, mientras averiguaba una manera de limpiarlo. Está muy inteligentemente escrito y no creo que puedas deshacerte de él con las herramientas disponibles para una instalación estándard de Windows. Prevx lo detectó, y Avast lo detectó en mi portátil, que es como lo descubrí en el primer lugar después de poner mi memoria USB en mi portátil después de haber estado en uno de los PC infectados. Están utilizando McAffee corporate AV y no lo detecta y está desactivado por el virus en un PC infectado. Quería deshacerme de él sin tener que comprar ningún software o reemplazar su AV ya que no estoy autorizado a hacer eso.
Primero usé Winternals ERD Commander 2005 para arrancar y adjuntar la instalación de Windows XP, modificar el Registro y eliminar los archivos y carpetas ocultos. Uno de los PC’s infectados tenía la unidad óptica estropeada, así que otra manera de deshacerse de él mientras se ejecuta Windows es utilizar Sysinternals Process Explorer:
1. Ejecuta Process Explorer y para (kill) el smss.exe chungo. Su icono es un tontorrón color púrpura, parecido a un calamar o un pulpo.
2. Inicio / Ejecutar / cmd
3. Para el smss.exe de nuevo con Process Explorer.
4. Abre regedit desde la ventana cmd y haz los cambios de registro.
5. Abre explorer.exe desde la ventana cmd. Establece las opciones de visualización de carpetas para que se muestre todo, incluyendo los archivos de sistema, navega hasta el directorio de Windows y borra la carpeta \system32 \. Será de color más claro, ya que tiene establecido el atributo de oculto.
6. Verifica si existe en la raíz de C:\ smss.exe o autorun.exe y autorun.inf.
7. Haz lo mismo para las unidades USB o extraíbles. Asegúrate de mantener pulsada la tecla Mayús para evitar el arranque automático. Mejor aún, desabilita Autorun por completo.
8. Reinicia el sistema.
9. Hecho y hecho.
Con el lanzamiento de programas desde la ventana de cmd en lugar de desde la interfaz gráfica de usuario, la cadena shell\open\command modificada se vuelve inerte y el virus no se relanza. No se puede terminar smss.exe desde el Administrador de tareas, es necesario utilizar Process Explorer.
Vea aquí cómo desactivar permanentemente la ejecución automática para todos los usuarios:
https://support.microsoft.com/kb/967715
Autorun es el causante de que el rootkit de Sony esté infectando tantas máquinas. Las herramientas Winternals y Sysinternals se desarrollaron en parte por Mark Russinovich, quien descubrió el rootkit de Sony y que ahora trabaja para Microsoft. Algunas de sus herramientas se han incluido en Vista y Windows 7, etcétera, como consecuencia de su adquisición por MS en una compra no hostil hace unos años. Él tiene mucho que ver con las grandes mejoras que hemos visto en las nuevas versiones de Windows. https://technet.microsoft.com/es-es/s…/bb896653.aspx
Todas las herramientas gratuitas que desarrolló siguen siendo gratis, incluido Process Explorer.
Juanjo | 15-diciembre-2010 6:34 pm
Gracias. Parece que funcionó. Por lo menos puedo activar otra vez la casilla de Mostrar todos los archivos y se mantiene.
ErGoN | 27-diciembre-2010 4:16 pm
Muy bueno. Aplicado con éxito.
David Cantón | 28-diciembre-2010 4:05 pm
Gracias a ambos por la confirmación. Me alegro de que os haya sido útil. Esa es la finalidad del artículo.