Eliminar Virus SGAE

Hace unos días escribimos un articulo sobre como eliminar el virus de la Policía Nacional, y vimos una nueva versión del virus. Pero en esta ocasión nos encontramos con una nueva variante más actual del Virus.
Esta vez el problema que nos encontramos es que al arrancar el equipo se nos queda la pantalla en blanco con dos frases, una en Inglés y debajo una en Alemán (“Please wait while the connection is being established / Bitte warten Sie während die Werbindung herges tellt wird.”). Esta variantes del virus ramsonware además de bloquearnos el equipo, por lo general, impide que accedamos al sistema en ninguno de sus modos de arranque (Modo Seguro, Modo seguro con símbolo del sistema…).
Para poder resolver el problema y deshacernos del dichoso virus, proponemos varias alternativas:
Para todos los casos, deberemos descargar las herramientas POLIFIX  (de los amigos de Infospyware) y MalwareBytes  y copiar ambos en un PenDrive.

1ª Opción:

• Iniciar el equipo pulsando la tecla F8 e intentar arrancar Windows con "LA ULTIMA CONFIGURACIÓN BUENA CONOCIDA" y si falla probaremos con “MODO SEGURO CON SÍMBOLO DEL SISTEMA”
• Si conseguimos arrancar Windows, introduciremos el PenDrive en el ordenador y accederemos al símbolo del sistema (inicio-ejecuta-CMD), accederemos a la memoria USB y ejecutaremos POLIFIX
• Una vez finalice el ordenador se iniciará normalmente.
• Una vez iniciada sesión en Windows, deberemos intalar, actualizar y ejecutar MalwareBytes.

2ª Opción:

• Si nos ha fallado la primera opción recurriremos al arranque con un LiveCD. En este caso utilizaremos el de Kaspersky Rescue Disk 10.
• Descargaremos la imagen .iso del disco en un ordenador no infectado descargar aquí y la grabaremos (o quemaremos) en un CD con ImgBurn.
• Arrancaremos el ordenador infectado con el disco que acabamos de crear y nos aparecerá un menú. En él debemos elegir primero el idioma y posteriormente que nos arranque Kaspersky Rescue Disk en un entorno gráfico.
• Tras unos minutos, llegaremos al entorno gráfico donde nos aparecerá la ventana de Kaspersky Rescue Disk (imágenes extraídas de Infospyware, donde encontrareis más información de este proceso).

• En primer lugar deberemos actualizar la aplicación tal y como marca el gráfico anterior. Después entraremos en las opciones del programa y marcaremos la última Pestaña donde pone “Seleccionar Acción” y dejaremos las opciones de Desinfectar y eliminar si falla la desinfección activa)

• Una vez realizada la actualización y el cambio de opciones, procederemos a analizar el equipo.
• Al finalizar, nos mostrará los archivos infectados y se procederá a la limpieza o eliminación de estos. Una vez finalizado el proceso, reiniciamos el equipo y hacemos un escaneo con MalwareBytes.
• En el símbolo del sistema, accederemos a la ruta c:\windows\system32\restore y ejecutaremos rstrui.exe con lo que nos aparecerá el asistente para restaurar el sistema a un estado anterior.

 3ª Opción:

• Si nos han fallado las otras 2 opciones y nuestro estado anímico es desesperante aún nos queda otra opción (y no es formatear que sería una cuarta que de momento descartaremos…)
• En primer lugar deberemos conseguir un LiveCD de Linux (podemos encontrar algunos en la red) y si no desde Aula de Mitre, recomendamos la última versión de Hirens boot CD que contiene un acceso a Linux y un Mini Windows desde el que tendremos acceso a internet y a las carpetas del equipo.
• Una vez ahí tenemos que buscar los siguientes archivos y eliminarlos: FSnapshot_x86.exe y/o BSI.bund.exe . (son los archivos que ejecuta esta versión del virus de la SGAE)
• Una vez eliminados, ahora si que podremos arrancar el ordenador (recomendamos hacerlo en modo seguro y ejecutar el Polifix y MalwareBytes.
• Reiniciamos el equipo y ya lo tendremos limpio.

• NOTA: Nos podríamos encontrar con que en esta tercera opción, tras eliminar los archivos FSnapshot_x86.exe y/o BSI.bund.exe, al arrancar el equipo (tanto el arranque normal de Windows como en el modo seguro) no nos aparezcan los iconos del escritorio y por tanto no podamos ejecutar las herramientas de eliminación de Windows ni, obviamente visualizar nuestro escritorio. Para ello seguiremos estos sencillos pasos:

Tras eliminar los archivos FSnapshot_x86.exe y/o BSI.bund.exe, arrancaremos el ordenador en modo prueba de fallos con símbolo del sistema. Desde ahí ejecutaremos el Polifix. Una vez finalice se nos reiniciará el equipo pero volveremos a acceder en el modo prueba de fallos con símbolo del sistema.

• Restauraremos el sistema y se reiniciará el equipo perfectamente. Ya solo quedará hacer un análisis con MalwareBytes y tendremos el equipo limpio.
  
  
  

Fuente