Esta vez el problema que nos encontramos es que al arrancar el equipo se nos queda la pantalla en blanco con dos frases, una en Inglés y debajo una en Alemán (“Please wait while the connection is being established / Bitte warten Sie während die Werbindung herges tellt wird.”). Esta variantes del virus ramsonware además de bloquearnos el equipo, por lo general, impide que accedamos al sistema en ninguno de sus modos de arranque (Modo Seguro, Modo seguro con símbolo del sistema…).
Para poder resolver el problema y deshacernos del dichoso virus, proponemos varias alternativas:
Para todos los casos, deberemos descargar las herramientas POLIFIX (de los amigos de Infospyware) y MalwareBytes y copiar ambos en un PenDrive.
1ª Opción:
- Iniciar el equipo pulsando la tecla F8 e intentar arrancar Windows con "LA ULTIMA CONFIGURACIÓN BUENA CONOCIDA" y si falla probaremos con “MODO SEGURO CON SÍMBOLO DEL SISTEMA”
- Si conseguimos arrancar Windows, introduciremos el PenDrive en el ordenador y accederemos al símbolo del sistema (inicio-ejecuta-CMD), accederemos a la memoria USB y ejecutaremos POLIFIX
- Una vez finalice el ordenador se iniciará normalmente.
- Una vez iniciada sesión en Windows, deberemos intalar, actualizar y ejecutar MalwareBytes.
- Si nos ha fallado la primera opción recurriremos al arranque con un LiveCD. En este caso utilizaremos el de Kaspersky Rescue Disk 10.
- Descargaremos la imagen .iso del disco en un ordenador no infectado descargar aquí y la grabaremos (o quemaremos) en un CD con ImgBurn.
- Arrancaremos el ordenador infectado con el disco que acabamos de crear y nos aparecerá un menú. En él debemos elegir primero el idioma y posteriormente que nos arranque Kaspersky Rescue Disk en un entorno gráfico.
- Tras unos minutos, llegaremos al entorno gráfico donde nos aparecerá la ventana de Kaspersky Rescue Disk (imágenes extraídas de Infospyware, donde encontrareis más información de este proceso).
- En primer lugar deberemos actualizar la aplicación tal y como marca el gráfico anterior. Después entraremos en las opciones del programa y marcaremos la última Pestaña donde pone “Seleccionar Acción” y dejaremos las opciones de Desinfectar y eliminar si falla la desinfección activa)
- Una vez realizada la actualización y el cambio de opciones, procederemos a analizar el equipo.
- Al finalizar, nos mostrará los archivos infectados y se procederá a la limpieza o eliminación de estos. Una vez finalizado el proceso, reiniciamos el equipo y hacemos un escaneo con MalwareBytes.
- En el símbolo del sistema, accederemos a la ruta c:\windows\system32\restore y ejecutaremos rstrui.exe con lo que nos aparecerá el asistente para restaurar el sistema a un estado anterior.
- Si nos han fallado las otras 2 opciones y nuestro estado anímico es desesperante aún nos queda otra opción (y no es formatear que sería una cuarta que de momento descartaremos…)
- En primer lugar deberemos conseguir un LiveCD de Linux (podemos encontrar algunos en la red) y si no desde Aula de Mitre, recomendamos la última versión de Hirens boot CD que contiene un acceso a Linux y un Mini Windows desde el que tendremos acceso a internet y a las carpetas del equipo.
- Una vez ahí tenemos que buscar los siguientes archivos y eliminarlos: FSnapshot_x86.exe y/o BSI.bund.exe . (son los archivos que ejecuta esta versión del virus de la SGAE)
- Una vez eliminados, ahora si que podremos arrancar el ordenador (recomendamos hacerlo en modo seguro y ejecutar el Polifix y MalwareBytes.
- Reiniciamos el equipo y ya lo tendremos limpio.
- NOTA: Nos podríamos encontrar con que en esta tercera opción, tras eliminar los archivos FSnapshot_x86.exe y/o BSI.bund.exe, al arrancar el equipo (tanto el arranque normal de Windows como en el modo seguro) no nos aparezcan los iconos del escritorio y por tanto no podamos ejecutar las herramientas de eliminación de Windows ni, obviamente visualizar nuestro escritorio. Para ello seguiremos estos sencillos pasos:
-
Restauraremos el sistema y se reiniciará el equipo perfectamente. Ya solo
quedará hacer un análisis con MalwareBytes y tendremos el equipo limpio.
Hola, estoy intentando seguir los pasos de este tutorial, pero me atranco en la opción 3...
ResponderEliminarSeguro que es una tontería, pero no soy capaz de encontrar los archivos FSnapshot_x86.exe y/o BSI.bund.exe y por lo tanto, no puedo eliminarlos para continuar con el resto de los pasos a seguir.
Estoy empezando a desesperarme. Alguien podría echarme un cable?
Los archivos que crea son siempre uno, pero depende de la variante del virus a cual de estos puedas tener y en los últimos reportados por el virus de la SGAE están estos:
Eliminar%appdata%\ksprskylabs1.exe
%appdata%\EPUhelpers.exe
%appdata%\itunes_service01.exe
%appdata%\BSI.bund.exe
%appdata%\WINSnapshot_x86.exe
%appdata%\FSnapshot_x86.exe
%appdata%\InfoServices_a.exe
%appdata%\Game.exe
La ruta %appdata% corresponde a C:\Users\[Tu nombre de Usuario\AppData\Roaming\archivo infectado.exe
Para mas información visita http://www.forospyware.com/t426926.html
quisiera dar mi granito de arena para que estos... no le hagan daño a nadie yo lo he quitado con bit defender prr usb con live cd ,todo lo demas no valio por que no me dejaba acceder a nada de nada
ResponderEliminar