Intentado eliminar el virus Sality, variante win32.sality.y de tu PC y memorias USB

Esta ves diré intentando eliminar ya que tuve una mala experiencia y un intento fallido a la hora de eliminar el virus Sality de mi PC, el cual hace tres días fue infectado por la variante win32.sality.y que es extremadamente destructiva y mucho mas eficiente que sus antecesores variantes. Si el virus llega entrar al PC y no actúas rápido este en cuestiones de segundos llega a infectar una considerable cantidad de archivos ejecutables (.exe) dificultándole la existencia al antivirus y en extremos casos, provocar la caída del sistema operativo.

Aunque no me siento derrotado por completo ya que al final de cuentas logre eliminar el virus del PC, pero a que precio. Tuve que reinstalar el sistema operativo sin dar formato a la unidad local en que se encontraba así manteniendo los documentos personales intactos. Todo esto para poder ingresar en modo seguro cosa que no podía hacer debido al grado de infección en que se encontraba el PC.

No es una salida cobarde ya que en mi caso el virus se propago demasiado e infecto muchos archivos del SO y otros ejecutables. Provocando el mal funcionamiento del antivirus y el bloqueo de otras herramientas para intentar una posible desinfección del mismo.

¿Como se propaga el virus Sality en un PC?

En palabras simple, el virus infecta archivos ejecutables, agregando su propio código al principio de los mismos.

¿Que hace el virus Sality en un PC?

Este es capas de capturar un gran numero de información personal, como:

– Archivos de la aplicación WebMoney
– Configuración de la computadora (memoria, discos, etc.)
– Contraseñas de recursos compartidos
– Cuentas de acceso telefónico a redes
– Dirección IP, nombre del host y nombres de usuarios
– Programas que se ejecutan al inicio
– Versión instalada de Windows, llave de producto, etc.

La información capturada, es almacenada de forma encriptada en el siguiente archivo:

c:\windows\system32\TFTempCache

Luego la misma puede ser enviada a diferentes direcciones electrónicas ubicadas en Rusia, utilizando el siguiente servidor SMTP:

msx.mail.ru

Intentando eliminar el virus Sality y sus respectivas variantes:

Luego de una breve reseña sobre mi experiencia, como se propaga y afecta el virus al PC, con propia experiencia indico la forma (no única) para eliminar este molesto virus del PC.

1.- Descargar e instala el Ad-aware pero no lo ejecutes.

2.- Desactiva “Restaurar sistema”

En Windows XP:

2.1.- En el panel de Inicio haz click sobre Panel de control.
2.2.- Abre la opción “Sistema”.
2.3.- En el panel de la izquierda selecciona “Protección del sistema”.
2.4.- En “Configuración de protección” seleccione la Unidad (cada una corresponde con un disco duro del PC).
2.5.- Haz Click en “Configurar”.
2.6.- Selecciona “Desactivar protección del sistema”.
2.7.- Haz Click en “Aceptar”.

3.- Reinicia el sistema en “modo seguro” (modo a prueba de fallos).

4.- Ejecuta el Ad-aware y elimina toda infección que este detecte.

5.- Reinicia el sistema en modo normal y has un escaneo con el Kaspersky antivirus, este debe estar actualizado hasta la fecha. Si no lo tienes puedes hacer un escaneo del PC en forma online.

¿Que sucede si no puedo ingresar en modo seguro?

Es justo lo que me paso a mi, la única solución que halle es eliminar manualmente la carpeta “System Volume Information” de cada unidad de disco local, esto después de haber desactivado “Restaurar sistema” en todas las particiones del disco duro.

Cuando el sistema operativo carga normalmente, estas carpetas no pueden ser eliminadas por que otros procesos hacen uso de ellas bloqueando su eliminación, entonces sera necesario el uso de otro programa para poder eliminar dichas carpetas, el programa encargado de ayudar en esta tarea sera el Unlocker, descargalo e instalalo.

En Windows XP:

  • Abre cualquiera de las unidades de disco duros, ej: C:\, D:\, E:\, etc.
  • Ve hacia: Herramientas> Opciones de carpeta…
  • En la pestaña “Ver” selecciona la opción “Mostrar todos los archivos y carpetas ocultos” y deselecciona la opción “Ocultar archivos del sistema operativo”, acepta los cambios.
  • Ahora ya puedes la carpeta “System Volume Information” en cada una de las unidades de disco duro, da un click derecho sobre la carpeta mencionada y ejecuta la opción Unlocker. Se abrirá una ventana con una serie de procesos y su respectiva ruta bloqueada, da click sobre la opción “Desbloquear Todo”.
  • Da un click derecho nuevamente sobre la carpeta “System Volume Information” y ejecuta el Unlocker, del menú desplegable elige la opción “Eliminar” y presiona aceptar.

En muchos casos la carpeta “System Volume Information” aun podrá ser apreciada, pero realizado lo anterior puedes estar seguro que ya esta vacía.

Procede a realizar un escaneo completo del PC con el Ad-aware y luego con el Kaspersky Antivirus.

No olvides revertir los cambios realizados a las carpetas (Mostrar todos los archivos y carpetas ocultos, Ocultar archivos del sistema operativo).

Reforzando la eliminación del virus Sality:

Existe otra medida para eliminar este virus, esta es proporcionada por la compañía AVG, solo debes descargar y ejecutar el archivo rmsality.exe (tiene el loco de avg) y el se encargar del resto, el programa de dirá si no ha podido escanear o desinfectar un archivo y te pedirá reiniciar el PC para volver a realizar un escaneo o desinfección.

En lo personal nome fuy muy util ya que no pillaba el virus y decia que todo estaba normal, pero no pierdes nada intentando.

Comparte este tema!

15s comentarios

  1. Ja, yo lo elimine con avast (analisis durante el arranque) y solo me daño los adobes pero ni los utiliso y solo tengo 12 años

    ResponderResponder
  2. Mi prima queria que le limpiara un usb que tenia virus. Y adivinen que? me encontre con ese monstruo. Lo que hace es desabilita y borra tus antivirus y programas de seguridad. Si no actuas rapido empieza a comerse todo. Se aloja en la memoria y puede provocar malfuncionamiento de la pc. Si AVG lo detecta pero no lo elimina porque ya lo infecto. Graba las ubicaciones de los archivos infectados y luego usa Malwarebytes File Assassin. con esto los puedes borrar. Claro eliminaras algunos ejecutables pero no pierdes tanto como tu systema operativo, ya que si no actuas rapido empieza a desabilitar todo. Luego que los elimines con File Assassin, descarga un anti win32/sality y escanea tu computadora desde el arranque para buscar en la memoria ya que usa stealth

    ResponderResponder
  3. Tienes los demás discos con archivos infectados, para esto tienes que formatear todos los discos duros y si tienes ejecutables (archivos.exe) que quieres conservar, pues tendrás que limpiarlos/repararlos con doctor cure it , doctor web o cualquier antivirus (Avast, Kaspersky o AVG) Luego de eso llévalos a otro disco limpio y formatea los discos restantes, no tendrás mas problema.

    Yo no logro eliminar el virus este, es difícil de limpiar totalmente (he buscado miles de soluciones, pero ninguna ha sido efectiva al 100%, dado a que se vuelve a regenerar si no formateas tus discos por completo, esto desde la modificación que hace a tu registro del sistema, lo cual una vez movido por este virus no hay vuelta atrás, crea un archivo en la carpeta recycler al eliminar cualquier archivo esto indicado por el registro infectado.

    Posible solución alguien que logre recuperar su registro de sistema antes de haberse infectado.

    Cualquier noticia, nueva de como eliminar sin formatear los discos de seguro la publicare en alguna web solo googleen NeonDJ Virus sality y ubicaran algo relacionado.

    Saludos.

    ResponderResponder
  4. ayuda para eliminar la variante t de este virus….me ha dado mucha lata y eso después de 2 re inicios totales borre todo empece desde cero reinstale divers también el sistema operativo..pero no se porque vuelve a infectarse…tengo win.xp.sp3

    ResponderResponder
  5. el mejor antivirus para destruir este virus es avast ya lo es provado i es de lo major es mas cuando un amigo me dice que su pc esta infertada con este virus solo cojo sus disco duro lo pongo en mi pc los escaneos i listo. OJO avast tiene que estar altualisado

    ResponderResponder
  6. @jhon_17: No tienes ni la menor idea de como trabaja el virus sality, desinstalar algunos programas dices, hahaha que estupides mas grande, como si el virus no pudiera infectar archivos ejecutables del sistema operativo. Hasta que tu te pongas a pensar que programas desinstalar el virus ya se comió la mitad de tu PC.

    ¿Que utilice el disco como disco externo? yo si tengo dos PC, pero que hay de los demás? aquí se trata de resolver el problema por cuenta propia.

    El virus sality tiene muchas variantes y en su mayoría los métodos de eliminación no son similares, en este tutorial solo conté mi experiencia para eliminar una de las variantes y de hecho el mismo titulo del tema dice “intentado” ya que no puede ser útil a todos si no a unos cuantos, aprende a leer.

    ResponderResponder
  7. eres un bastago esplicando y pensar q perdi mi tiempo intentando leer esto no sabes explicar una cosa es terner la computora alfrente y ver lo q hacer y otra muy distinta es q lo expliques paso por paso ok si vas a dar a portes de este tipo por favor no lo hagas tengo 12 años y creo q domino mas conocimiento de esto q tu ok . ya q lo mas efectivo seria dessintalar algunos de los programas q tengas en tu disco los q puedas instalar de nuevo facil mente liberando un poco mas de espacio del disco ya el este tipo de virus no son estaticos si no q sirculan por todas las carpetas de tu pc asi reduces las posivilidades de q se dupliq ya hecho esto tendrias multiples opsiones una de ellas seria poner tu disco como disco externo en otra pc y pasarle el avg luego kasperky y por ultimo algunos escrip anty spyware asi si si tu aporte de alguna manera sirve te agredeceria q te expliques bn ya los foros los frecuentan personas q buscan informacion no como confurdice mas

    ResponderResponder
  8. weno yo toy con ese virus ahora
    y si bien eh visto es muy pegocho
    prove el nod32 viejo lo detecta y elimina solo si la pc no esta muy afectada y no lo tomo a este
    sino te lo cierra..
    al = que al avast y otros
    no ejecuten avg q les dañara windows lo se ya por varis que lo hicieron y eso que desactivaron los remanentes.. mmm la idea de instalar otro win me gusto si funca solo si es que ya no te permite nada y no quieren entrar a meter y cambiar codigos etc..
    una buena solucion es usar avast que se ejecuta antes de iniciar windows elimina los exe y dll y demas infectados (si una lastima pero weno)
    importante desactivar restaurar sistema..guarden los archivos infectados o anoten para ver que quieres tener denuevo usen el ccleaner para limpieza
    y bueno si kieren pasaralgo mas pueden buscar add-ware spyware etc que les deje mas tranquilo mientras hacen todo eso acuerdensen de : no conectar otro rigido, pendrive, desconectar cable de red hasta que sepan que el virus esta totalmente out, luego confirmen con karpesky online
    yo no hice todo eso por eso aun tengo que ir al cyber a hacerlo con lo que me costo cargarle todos los juegos a las pc juaz suerte

    ResponderResponder
  9. Protegete pon el antivirus con avira
    Traten de ingresar al modo seguro (safe) y descarguenlo
    y despues inicien la pc en forma normal y luego cuando se habra la oc casi en 25 seg se habre un paraguas y luego inmediatamente denle doble click y se pondran 4 opciones le dan en la segunda pero la pc te pone un tiempo de reiniciado en ese tiempo en la primera oportunidad les dara como el 26% si se reinicia no se desanimen siganlo intentanto tanto como puedan hasta que esta no se reinicie.
    Cuando no se reinicie y el escaneo se aya pasado a la segunda fase y ya tendran el virus a sus pies entonces ahy dejenlo sola a la pc hasta k se escane toda no la interrumpan ni nada por que el virus seguira invandiendo y si recien les llega no les reiniciara traten de que su antivirus escanea la pc aun no daña casi nada se daña cuando la apagana ahy es cuando te infecta todos los archivos asi que descarguen avia y sigan mis pasos asy podran eliminar este inundo virus a mi me infecto dos pc pero si lo kitan no se confien receten su pc pss este sigue aki en esto que les estoy diciendo tansolo les estoy dando la opcion de recetearla por que cuando ya que te infecto ya no te deja recetearlo por lo que en cuanto te deje sin reiniciar reseteala rapido o si no ve y compra otra pc nha es una broma pero si agan los pasos esos sirven y nunca kiten la proteccion de avira

    ResponderResponder
  10. @lev: Antes de hacer tu comentario, siquiera leíste este tema?

    El virus sality tiene muchas variantes y aqui solo se da la solución para la variante win32.sality.y, debes estar seguro de cual variante tienes para buscar la solución adecuada.

    ResponderResponder
  11. hace unos dias mi primo me infecto la maquina con el virus win32/sality y quisiera que alguien me dijera como eliminarlo porfa total mente probe con avira premium solo me elimina los archivos infectados que hago y deseo formatear mi PC

    ResponderResponder
  12. y el nod32 no sirve? porque recien se me acabo de meter en mi maquina, hice un escaner con el nod32 y este encontro algunos archivos infectados, y yo le puse que los eliminara, pero no se si los habra eliminado; por eso pregunto, alguien uso el nod32?

    ResponderResponder
  13. Es cierto, esa herramienta de AVG no detecta tampoco la variante W32.Sality (Sin letra adicional) y Sality.m, sin embargo, la version completa del antivirus si es capaz de detectarlo y limpiar los archivos.

    ResponderResponder

Dejar una contestacion

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *