Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

Iniciado por wolfbcn, 29 Febrero 2012, 14:07 PM

0 Miembros y 1 Visitante están viendo este tema.

a_abulafia

Hola.

Yo me he "entretenido" esto días con una de las versiones nuevas que no admite el arranque en "modo seguro" o  "a prueba de fallos" y, después de varias pruebas, he llegado a la conclusión de que la forma más simple de "darle matarile" es la siguiente:

(1) Arrancas el equipo y dejas que aparezca la famosa ventanita pidiéndote la pasta.

(2) Pulsas el botón de encendido del equipo para iniciar una hibernación o un apagado. Pero sólo hay que hacerlo durante un segundo, si lo dejas pulsado más tiempo apagarás el equipo.

(3) Al iniciarse la secuencia de cierre la ventana del malware se cierra y se van cerrando también los demás procesos.

(4) Cuando aparezca la ventana que informa del error en el proceso "explorer.exe"  y que intenta cerrarlo, debéis pulsar la tecla "escape" del teclado para interrumpirlo. De ese modo, no continúa con el apagado o hibernación.

(5) Ahora, ya tenéis la posibilidad de realizar la secuencia "Ctrl" + "Alt" + "Supr" y abrir el administrador de tereas. Desde "Archivo" - "Ejecutar" se puede lanzar el "msconfig" y eliminar la entrada que arranca el virus o el "regedit" y hacer lo mismo manualmente en el registro (creo que lo primero es más simple, para no tener que andar buscando las claves afectadas).

(6) Se reinicia y listo. No ha hecho falta arrancar desde CD o USB.

Nota1: de los CDs que he probado, sólo el de Kaspersky (http://support.kaspersky.com/viruses/solutions?qid=208285998) conseguía limpiarlo con la herramienta especifica de  desbloqueo del arranque que tiene para este tipo de malware.

Nota2: hay una herramienta automática que limpia lo modificado por el malware  que se llama "polifix.exe" (http://www.infospyware.com/antimalware/polifix/. Si queréis usarla, hay que copiarla en un pendrive, hacer los pasos descritos anteriormente hasta el 5 y, en vez usar "msconfig" o "regedit", desde el administrador de archivos se ejecuta el "polifix.exe" (hay que esperar un ratito a que se aplique, porque parece que se haya quedado colgada pero está trabajando, y he comprobado que también funciona. Yo, previamente, copié el "polifix.exe" a la unidad C:\, pero imagino que desde el pendrive debe poder ejecutarse directamente con el mismo resultado)

Nota3: después, hay que actualizar java (www.java.com) o no tardas en pillarlo nuevamente (que es lo que me ha permitido infectarme unas cuantas veces seguidas para hacer todas estas pruebas, je, je...)

darkiron

buenas noches he encontrado una forma mucho mas sencilla de eliminar el virus que se hace pasar por una infraccion contra la sgae con una mula de 100€.
consiste:
1- iniciar el ordenador normalmente
2- nos sale solo el fondo de pantalla y presionamos ctrl+alt+supr
3- en el administrador de tareas seleccionamos en la categoria archivo/nueva tarea y sale una ventana , escribimos: CMD
4- nos sale la ventana ms-dos
5- previamente tendremos en una memoria extraible el programa superantispyware.
6- conectamos la memoria extraible al ordenador
7- en la ventana ms-dos escribimos DISKPART y luego LIST VOLUME para saber que letra tiene asignada nuestra memoria. cuando lo sepamos escribimos EXIT
8- seleccionamos la letra que sea nuestra memoria extraible ejemplo (h: )
9- escribimos DIR para saber que hay dentro de la memoria extraible y cuando localizemos el archivo .exe del programa superantispyware lo escribimos y se ejecutara el solo.
10- despues de la actualizacion y la instalacion le damos al boton scan completo y paciencia y a esperar. cuando termine borramos todas las infecciones y reinicializamos.
11- por ultimo cuando hayamos reinicializado restauramos el sistema a un punto de como minimo 3 dias antes de la infeccion y solucionado el problema.

yo lo he probado en win xp y en win 7 y funciona