He detectado el Worm

Iniciado por Erik#, 12 Diciembre 2010, 13:18 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Erik#

12 Diciembre 2010, 13:18 PM
No se si os acordais, hace meses que tengo un problema con un worm que no me deja entrar en microsoft.com ni en las páginas web de anti-virus, pues bien, he detectado que ese worm se aloja en el autorun.inf, y tambien en un archivo llamado jwgkvsq.vmx dentro de una carpeta oculta.

Los dos estan ocultos y aunque le de a ver archivos ocultos, no me deja.
Tambien he identificado que estos worms afectan a svchost.exe y a explorer.exe

He intentado arreglarlos pero los gusanos permanecen, alguna idea de como eliminarlos de USB y PC?

jbndg

#1
12 Diciembre 2010, 13:26 PM
Podrias intentarlo desde un Live CD de linux!
Yo lo he hecho este mismo finde y la verdad es que ya no tengo problemas con un ordenador que tenía un virus.

Y eso que yo lo hice en plan cutre, ya que, puse un Live cd de Ubuntu, me descargué un antivirus (Klam AV), luego, escaneé mi disco duro completo y eliminé las amenzas que encontro. No sé parece que funciona, pero, si tu sabes concretamente la carpeta dónde esta el problema podria intentar directamente borrarlo y supongo que problema solucionado.

Saludos y suerte.

Erik#

#2
12 Diciembre 2010, 13:35 PM
Pero si lo borro se borraria el svchost y el explorer, además aunque ponga en visualizar carpeta oculta, el worm sigue sin poder mostrarmela.

Randomize

#3
12 Diciembre 2010, 18:57 PM
Con la live CD de ubuntu podrás verla.

Pero vé más allá ya que hay gusanos que se meten con el registro de windows...

¿Hasta donde?


Eso depende de tí, yo solo te muestro la puerta  ::)

Arcano.

#4
13 Diciembre 2010, 22:42 PM Ultima modificación: 14 Diciembre 2010, 11:37 AM por Arcano.
Buenas!

Citarun archivo llamado jwgkvsq.vmx

Estás infectado por Conficker

Deberás descargarte la correspondiente actualización que parchea la vulnerabilidad por donde accede este gusano. Puede que, como comentas, no puedas acceder a la web de microsoft, te la he colgado en mediafire:

http://www.mediafire.com/?pfuej4l6rmknxul

De igual modo, casi seguro que tienes el dispositivo extraíble -si utilizas- también infectado. Y de ahí habrá pasado a tu PC.

Para evitar futuras infecciones, puedes mirarte este post: http://foro.elhacker.net/seguridad/como_proteger_nuestros_usb_de_infecciones_con_autoruninf_y_nuestro_equipo-t254856.0.html;msg1236208


Centrándonos en tu ordenador...

Una vez descargada la actualización, instalala y teclea en 'EJECUTAR': mrt. Si no te lanza ninguna aplicación. Descarga esto he instálalo.

Luego, para ver de nuevo los ocultos, deberás (1) Copiar el siguiente texto mediante el notepad. (2) Guardarlo con extensión .reg donde más te guste. (3) Ejecutarlo. (4) Borrar el archivo .reg si no quieres conservarlo

CitarWindows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree]
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

Más información: http://www.zonavirus.com/noticias/2010/conficker-cumple-dos-anos-y-sigue-nueva-herramienta-de-deteccion-en-red-y-resumen-proceso-de-eliminacion.asp

Podrías hacerlo de la siguiente forma:

(1) Descargas el parche.
(2) Descargas MRT -si no lo tienes en el sistema-.
(3) Inicias en modo seguro mediante F8. Mejor SIN conexiones de red.
(4) Ejecutas MRT.
(5) instalas el parche.
(6) Ejecutas el 'reg' indicado.


(0) Supongo que tendrás antivirus y... No iría mal que, después de eliminado, actualices el sistema al 100%.

Por si no tienes... Para gustos los colores: Avast Free, Avira Free, Panda Cloud, Microsoft essentials, AVG Free...

Ya nos contarás.

Saludos.

PD: Busca también por el foro... Encontrarás más datos.

http://www.google.es/search?q=conficker+site%3Aforo.elhacker.net&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a
La curiosidad es la antesala al conocimiento...

Erik#

#5
24 Enero 2011, 18:38 PM
Gracias, hacía tiempo que no me conectaba, estoy instalando todo lo que me has dicho, ahora comentare que tal ha ido.

Erik#

#6
3 Febrero 2011, 19:14 PM
Ya esta, se me ha arreglado completamente, muchísimas gracias.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario