Haz una pregunta »

Cómo quitar el virus Virut

Mayo 2015

Indice:


Qué es el virus Virut


Virut es un virus que infecta los archivos ejecutables (archivos .exe). Este virus apareció en el 2006 y se propaga a través de las redes P2P (eMule, Limewire, etc.).

Virut infecta los archivos de sistema de Windows, es decir los archivos vitales para que pueda trabajar Windows.

Este es un virus muy difícil de eliminar y en el caso de que se haya propagado demasiado, entonces no quedará más remedio que formatear el disco duro.

Existen variantes como Sality, Virtuob, Vitro. La última variante llamada Scribble aun no tiene otra solución que formatear el disco.

Medidas de precaución


Este tipo de virus abre los puertos para que ingresen otros intrusos, como troyanos, keyloggers, etc.

Por lo tanto se recomienda cambiar las contraseñas más importantes. Esto te puede tomar tiempo pero si durante el periodo de infección ingresas las contraseñas de algunas cuentas, éstas pueden ser robadas, así es que mejor tomate un tiempo en cambiarlas.

Muy importante: ya que este virus es muy difícil de eliminar y puede dañar archivos del sistema, te recomiendo que pidas ayuda en el foro de Virus y Seguridad sobretodo si no tienes la costumbre de hacer manipulaciones en el registro del sistema.

Cómo evitar ser infectado por Virut


Simplemente hay que tener cuidado con lo que se descarga de las redes P2P. Evita de descargar programas craqueados. Por lo general existen alternativas gratuitas a los programas craqueados, por ejemplo, equivalentes a Nero gratuitos o equivalentes a PhotoShop gratuitos.

Tampoco es cuestión de estar en contra del P2P. El P2P puede ser utilizado para descargar archivos libres de derecho de autor, lo que es completamente legal (por ejemplo las distribuciones Linux).

Cómo actúa Virut


Sin entrar en el detalle, digamos simplemente que este tipo de virus es algo similar a los virus humanos ya que se aloja en las células "sanas" y vitales del sistema.

Es por esto que a menudo no es posible eliminar todos los archivos infectados ya que se corre el riesgo de eliminar archivos vitales para el sistema operativo, lo que lo volvería inestable e incluso inutilizable.

Además de infectar programas y archivos de Windows, este virus posee funcionalidades que le permiten tomar el control vía remota de las máquinas contaminadas mediante la conexión a un servidor IRC.

Este virus contamina los dispositivos extraíbles (memorias USB, disco duro externo, etc.) que han sido conectados al PC infectado.

El virus puede interceptar el acceso a Internet de aplicaciones infectadas, permitiéndole desbaratar las políticas de seguridad del cortafuegos instalado. Lo que significa que un programa que tiene el permiso de conectarse a Internet puede ver usurpada su identidad por Virut y las barreras de protecciones no se activarán.

El virus contiene en su interior enlaces desde los que puede recibir instrucciones a través del canal IRC, que es por decir de algún modo su enlace con el "cuartel general".

Por lo tanto es mejor desconectar el acceso a Internet.

Para comenzar


Antes que nada haz una copia de respaldo de tus documentos importantes, de preferencia en un CD o DVD grabables.

No hagas copias de respaldo de programas ejecutables o comprimidos, si no corres el riesgo de respaldar un fichero infectado por Virut. No olvides que un solo fichero infectado con esta infección puede infectar todo el PC.

Si dispones de otro PC:
Lo mejor es que desconectes de Internet el PC infectado. Pero esto significa que ya no podrás utilizar este PC para descargar los programas que necesitas para la desinfección.

En otro PC que no esté infectado y que no esté en red con el PC infectado, descarga en una memoria USB u otro dispositivo extraíble los programas que necesitas para desinfectar el PC infectado (por ejemplo: DR. Web).

Antes de utilizar estos dispositivo extraíbles escanéalos con un antivirus y con FlashDisinfector. De preferencia el dispositivo extraíble debe ser abierto en solo lectura en el PC infectado. Aunque en Modo seguro hasta la fecha no ha habido ningún caso de infección de la memoria USB.

Para no poner en peligro el contenido del dispositivo extraíble, asegúrate de que contiene únicamente los programas que te indicamos aquí, luego haz clic derecho sobre el dispositivo y ábrelo.

Una vez cumplido su trabajo, formatea la memoria USB.

Si se te cuelga el PC, puedes recuperar tus documentos por ejemplo con un Live CD: [ Ver este articulo]

Primer método: Dr.Web CureIt!


Ya que el programa ideal aun no ha sido creado, probablemente tengas que utilizar 3 programas (Dr.Web, AVPTool y eScan).
El resultado que se obtenga dependerá de la gravedad y de cuanto se haya propagado el virus. Es posible que el virus se haya propagado bastante y haya infectado los archivos del sistema, lo que significa que habrá que reemplazar archivos vitales manualmente: esta operación es un poco más delicada.

Deberás evitar que el PC infectado se conecte a Internet, aunque si solo tienes un PC no te quedará otra opción. Ahora sigue estos pasos:
  • Descarga Dr.Web CureIt! en el escritorio.
  • Dirígete al escritorio y haz doble clic sobre el fichero drweb-cureit.exe y en la ventana que aparece haz clic en Iniciar.
  • Te aparecerá un mensaje, dale clic a Aceptar para que comience el escaneo Express de tu PC.
  • Este escaneo rápido permite el análisis de los procesos cargados en memoria, si el programa encuentra una infección haz clic en el botón Sí, Sí a todos para eliminarla en la ventana que aparece. Los archivos incurables se moverán a cuarentena.
  • Cuando el escaneo rápido haya terminado, haz clic en la pestaña Opción y selecciona Cambiar configuraciones
  • En la ventana que aparece, haz clic en la pestaña Chequear, desmarca la casilla Análisis heurístico y dale clic a Aceptar
  • Regresa a la ventana principal y selecciona Escaneo completo. Luego haz clic en la flecha verde situada a la derecha para que comience el escaneo. Si aparece una publicidad ciérrala.
  • Si algún archivo infectado es encontrado haz clic en Sí, Sí a todos.
  • Si al final del escaneo el programa detecta alguna infección, haz clic en Seleccionar todo, luego haz clic en Curar. Si es imposible eliminar la infección, haz clic en Mover.
  • Ahora en la ventana principal del programa, haz clic en el menú Archivo y selecciona Grabar lista de informe
  • Guarda el informe en el Escritorio. Ponle de nombre DrWeb.csv.
  • Cierra Dr.Web CureIt!
  • Reinicia el PC (necesariamente) ya que algunos archivos pueden ser desplazados o reparados al reiniciar.*Si has creado un tema en el foro de [ Virus y seguridad], luego de reiniciar publica el contenido del informe de Dr.Web a continuación de tu anterior post.


Nota: En su versión gratuita Dr.Web es un escáner bajo demanda por lo que no entrará en conflicto con tu antivirus residente. Si deseas puedes eliminar Dr.Web al terminar el proceso.

Segundo método: AVPTool


El escaneo se efectuará en Modo seguro, como no se tendrá acceso a Internet te recomiendo que imprimas este procedimiento.
Sigue estos pasos:
  • Descarga AVPTOOL en el Escritorio.
  • Reinicia el PC en modo seguro
  • Dirígete al escritorio y dale doble clic al archivo ejecutable setup_7.0xxxxx para ejecutar el archivo de instalación.
  • Haz clic en Next en las dos ventanas que aparecen para continua con el proceso de instalación, AVPTool se instalará en el escritorio en una carpeta de nombre Virus Removal Tool.
  • El programa se ejecutará automáticamente y aparecerá su interfaz. Marca todas las casillas de la pestaña Automatic Scan.
  • Luego haz clic en Scan para que comience el escaneo, se abrirá una nueva ventana mostrando la progresión del escaneo.
  • Al final del escaneo, AVPTool muestra los objetos infectados a través de un pop-up, entonces marca Apply to all y haz clic en Disinfect o en Delete.
  • Una vez las infecciones tratadas a través de los pop-ups, puede que aun existan archivos infectados, aparecerán en rojo en la lista. Haz clic en el botón Neutralize all y si un mensaje te indica que es necesario reiniciar el equipo, acepta haciendo clic en OK
  • Luego, en la ventana Scan accede a la pestaña Events, desmarca la casilla Show all events, haz clic en el botón Reports, luego selecciona Save to file y guarda el informe en el escritorio con el nombre Informe AVPTool
  • Cierra las ventanas de AVPTool, te aparecerá un mensaje proponiendo desinstalar el programa, haz clic en Yes.
  • Un mensaje te indicará que el PC debe ser reiniciado para terminar con la desinstalación. Responde con Yes a Would you like to restart now y deje reiniciar tu PC en modo normal.
  • Finalmente postea el informe en el foro Virus y Seguridad.

Tercer método: eScan Antivirus Toolkit


El escaneo se efectuará en Modo seguro, como no se tendrá acceso a Internet te recomiendo que imprimas los pasos a seguir.

Etapa 1:
  • Descarga eScan Antivirus Toolkit en el Escritorio.
  • Dirígete al escritorio y dale doble clic al archivo mwav.exe; haz clic en el botón Unzip para descomprimir los archivos en la carpeta sugerida (C:\Kaspersky). Luego dale clic a Aceptar
  • Haz clic en Mi PC, luego haz doble clic en el disco principal (por lo general C:\), haz doble clic en la carpeta Kaspersky; luego haz doble clic en el archivo kavupd.exe.
  • Aparecerá una ventana DOS y se llevará acabo la actualización del antivirus (esto tomará algunos minutos).
  • Cuando haya finalizado la actualización, aparecerá el mensaje 'Update process successfully completed'. 'Press any key to continue'. Presiona una tecla para continuar. Durante la actualización se habrán creado dos nuevas carpetas (C:\Bases y C:\Downloads).
  • Copia todos los archivo presentes en la carpeta C:\Downloads y pégalos en la carpeta C:\Kaspersky. Te aparecerá un mensaje para confirmar el reemplazo de los ficheros existentes, haz clic en Sí a todos para reemplazar todos los archivos.



Etapa 2:

Etapa 3:
  • Ejecuta eScan Antivirus Toolkit, para ello abre la carpeta C:\Kaspersky y dale doble clic a mwavscan.com
  • Aparecerá la interfaz del programa. Comprueba que en Scan Option estén marcadas las casillas Memory, Registry, Startup Folders, System Folders, Services.
  • Marca la casilla Drive y aparecerá una nueva casilla Drive (justo debajo); marca esa casilla (indispensable), y aparecerá un recuadro a la derecha. Haz clic en la pequeña flecha apuntando hacia abajo a la derecha del recuadro y selecciona la letra de tu disco duro, por lo general C:\.
  • En esta misma ventana, comprueba que Scan All Files esté marcado y no Program Files.
  • Haz clic en Scan Clean y espera mientras que el programa examina todo el disco duro (esto puede ser un poco largo). Cuando termine, aparecerá Scan Completed. No salgas del programa.
  • Abre el bloc de notas (Inicio > Todos los programas > Accesorios > Bloc de notas), luego copia el contenido de la ventana Virus Log Information, pégalo en el archivo texto y guardalo. eScan genera tambien un informe completo en la carpeta C:\Kaspersky (llamado mwav.log), pero es demasiado pesado para publicarlo en el foro.
  • Cierra el programa. Reinicia tu PC en modo normal. Publica (copia y pega) el informe que guardaste en el mensaje que has posteado anteriormente en el foro.

Desactivar y Activar la restauración del sistema


Será necesario desactivar y volver a activar la restauración del sistema para purgarla ya que los puntos de restauración pueden estar infectados:

Formatear con KillDisk


Cuando el PC está demasiado infectado, será necesario formatearlo (por ejemplo con KillDisk). Un formateo normal no puede ser suficiente para eliminar Virut, ya que puede volver a aparecer después del formateo.

Algunos PC de marca como Acer, Packard Bell o HP tienen particiones para la reinstalación y permiten crear un DVD de reinstalación propio a la marca. Desgraciadamente, con un formateo con KillDisk se eliminará o dañará esta partición y el DVD de reinstalación será inutilizable. En este caso no podrás reinstalar Windows y tener un CD de instalación correspondiente a la licencia de Windows que posees:


En cambio, algunas marcas como Asus, proporcionan un verdadero CD/DVD de instalación de Windows conteniendo únicamente el sistema operativo (XP o Vista) y otro CD/DVD con los drivers y programas. Con un CD/DVD de instalación de XP o Vista no tendrás ningún problema en reinstalar Windows después de haber formateado con KillDisk.

El uso de KillDisk no es lo más recomendado pero será necesario si no existe otra solución. Este método es inevitable en los siguientes casos:
  • si te resulta difícil seguir los métodos vistos anteriormente con Dr.Web y AVPTool,
  • si Dr Web eliminó archivos vitales para el buen funcionamiento del PC (esto es raro, pero posible, si el virus ha penetrado profundamente el PC),
  • si no deseas complicarte la vida y prefieres optar por formatear el PC.


El formateo de bajo nivel puede en algunos casos poner en peligro la BIOS.

KillDisk escribirá ceros (0) en todo el disco, dejándolo como salido de fabrica. Por lo tanto, antes deberás hacer una copia de seguridad de tus documentos como se explico líneas arriba.
  • Descarga el archivo ISO boot-cd-iso.zip en el Escritorio.
  • Dirígete al Escritorio, haz clic derecho sobre el fichero y selecciona Extraer todo para descomprimirlo.
  • Para grabar la imagen ISO en un CD virgen puedes utilizar IsoBurner.exe que se encuentra en la carpeta descomprimida o puedes utilizar tu programa de grabación favorito.
  • Una vez terminada la grabación de la imagen ISO, continúa con el procedimiento.
  • Modifica la secuencia de arranque en la BIOS para arrancar desde el CD que acabas de crear.
  • Una vez modificada la secuencia de arranque, inserta el CD en la unidad de CD/DVD. El CD se iniciará y KillDisk se ejecutará.
  • En la ventana principal de KillDisk, selecciona el disco o la partición a formatear.
  • Para verificar su contenido presiona la combinación de teclas CTRL+S. Para ejecutar la aplicación presiona Enter.
  • En el cartucho rojo, debes escribir ERASE-ALL-DATA.
  • Valida presionando Enter


Una barra de progreso mostrará el avance del proceso. La operación puede tomar algo de tiempo, hasta 1 hora, dependiendo del tamaño del disco y de la partición a formatear. Una vez terminado el formateo, cambia el arranque del sistema en la BIOS para arrancar desde el disco duro.

Ahora solo te queda reinstalar Windows, los programas, los drivers, tus documento, etc. Y en adelante pon mucho cuidado al descargar archivos utilizando programas P2P.

PD: El artículo original fue escrito por Destrio5, contribuidor de CommentCaMarche
Consulta este artículo sin tener que estar conectado, descárgalo gratis aquí en formato PDF:
Como-quitar-el-virus-virut.pdf

Consulta también

En la misma categoría

How to remove Virut?
Por deri58 el 2 de mayo de 2013
Comment supprimer Virut ?
Por Destrio5 el 14 de febrero de 2009
Como suprimir Virut
Por ninha25 el 22 de octubre de 2009
El artículo original fue escrito por Destrio5. Traducido por Carlos-vialfa.
El documento « Cómo quitar el virus Virut » de Kioskea (es.kioskea.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo bajo las condiciones señaladas por esta licencia. Deberás hacerla siempre visible y dar crédito a Kioskea.