Les comento como fue la cosa. El dia martes 29 de diciembre me llama un cliente diciendo que la pc le empezo a andar muy mal derepente, VIRUS dije a la media hora llama otro cliente reportando el mismo sintoma y la secretaria de la oficina me dice mira lo que hace la pc. CHAN pasaba lo mismo que en las otras pc.
LO METIO POR EL MSN y los clientes despues de que me dijeron como media hora que no habian echo nada terminaron admitiendo que abrir con algo que le mandaron por el MSN
Le comento cuales son los sintomas por si les esta pasando
- modifica el archivo HOSTS y es imposible reestablecerlo ya que lo vuelve a modificar (le agrega restriccion de acceso a muchas paginas para descargar antivirus y para escaneo online).
- Desactiva la funcion MODO APRUEBA DE FALLOS (cada vez que la quieren iniciar en dicho modo entra en un loop infinito)
- No permite abrir casi ningun antivirus, antispyware, etc.... (los abre y como a los tres seg se cierran)
- Si tienen carpetas compartidas con otras pc se contagia en forma sorprendentemente rapida por la red
Buena aca les comento como logre sacarlo.
1º los programas que van anecesitar
Spybot Search and Destroy
Malwarebytes anti malware
COMBOFIX
Los tres de arriba los pueden descargar directamente desde ACA
Super Antispyware (oviamente bajen la version free)
Delpsgurad.
Bueno lo primero que tienen que hacer es reparar el SAFE BOOT esto se puede hacer de dos formas
pero antes instalen el Spybot S&D y actualizenlo.
1- instalen el SUPERantispyware (es uno de los pocos antivirus que deja funcionar el viruse hdp)
luego de instalarse en el boton prefrencias hay una solapa que dice repair. Ahi eligen la opcion REPAIR
SAFE BOOT y le dan reparar. La pc se va reiniciar sola y Ahi nomas ya empiecen con el F8 y elijan arrancar en modo safe normal (NO CON FUNCIONES DE RED) ya que la pc reinicia en modo normal nuevamente se bloquea el safeboot Otra vez
2- La segunda opcion es mucho mas facil pero no siempre funciona y es descargando un utilitario que te repara la partye del registro que se modifica.
Desacargar funcion del registro
Bueno una ves que iniciaron en MODO SEGURO NORMAL Ejecuten en Spybot S&D Limpien todo lo que detecte.
reinician la pc Otra vez en MODO SEGURO PERO ESA VEZ CON FUNCIONES DE RED.
NUNCA PERMITAN QUE LA PC INICIE EN MODO NORMAL PQ VAN A TENER QUE EMPEZAR DE 0
Ejecutan el Combofix (Esta es una utilidad saca malwares, virus y demas muy grosa,) les va pedir actualizar ponganle que si, una ves que empieza dejenlo que corra hasta que les aparezca un bloc de notas con el registro de lo que hizo.) Aveces parece que se traba pero dejenlo correr que en algún mometo va aterminar. Normalemnete tarda unos 7 u 8 minutos pero cuando la pc ta muy envirusiada puede llegar atardar 20 min.
despues de que termine Instalen el MALWAREBYTES Anti Malware y Actualizenlo. Ejecutenlo enm modo EXMEN COMPLETO y borren todo lo que les detecte.
Ahora reinician la pc en MODO NORMAL
Tienen que restaurar el archivo HOSTS (sino tienen la mas .... de lo que estoy hablando)
ejecutan el DELPSGUARD y le dan en la ocion de restaurar archivo host. y listo reinicien la pc y fijence si el archivo Hosts no se cambio nuevamente. (El archivo original no pesa mas de 3kb, el modificado pesa cerca de 5mb)
normalmente esta en c: windows/system32/drivers/etc
Espero que les sirva pq yo estuve unas 6 horas para descubrir como cuerno sacar el vurus hdp