no volver a verte, virus (CERRADO)

[alb3rtop]

Buenas, resulta que ayudo a mi suegro con su ciber(voy solo viernes y sabados) y desde hace tiempo tengo un virus al que no le di mucha importancia. Resulta que el Avast me detecta uno en:



C:\Windows\system32\x

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OPY38PIV\xxxxx.jpg



donde "xxxxx" suelen ser nombres como "jiudhw" o alguna cosa a boleo. Desgraciadamente no me he quedado con el nombre del virus, aunque le he preguntado a una de las empleadas, que esta ahora ahi, si me puede decir el nombre del virus y parece que es este "win32 rootkl-gen [trk]"



He visto por internet algunas soluciones que hasta el viernes no podré probarlas y las tengo guardadas en favoritos. Ahora, mi pregunta es, hay alguna manera de evitar que entre el virus una vez borrado? Porque la semana pasada llego un ordenador nuevo y lo estuve preparando desde casa(le instalé tambien el avast y el spybot) y solo tenia que ir al ciber, ponerle el Deep Freeze y el Control de Ciber y listo. Pues tan pronto lo conecté a la red, me detectó el virus(y en casa no tenia nada). No sé si este virus pueda ser o tener que ver con el Conficker y la solución para evitarlo sea instalando este parche "MS08-067"



En tal caso, desconectar todos los ordenadores e ir haciendolo uno a uno es imposible de hacer porque mi suegro tiene los ordenadores de la oficina de seguros donde trabaja conectado a la misma red y no puedo quitarle el ordenador donde hace todas sus cosas.



Espero que pueda haber alguna solucion, porque el ciber este no está dando mas que problemas y la gente se está marchando y encima dejar los ordenadores indispuestos sería otro punto negativo :( Por ese motivo tambien estamos cambiando los ordenadores porque tienen el XP con 512MB de RAM y 1,8GHz y encima son de hace años y comprados de segunda mano..(pero bueno, esto no viene al caso xD)



Gracias

[msc hotline sat]

Por lo indicado es tipicamente el Conficker, y si bien lo mas probable es que haya entrado por falta del parche MS08-067, luego se propaga por comparticiones administrativas a otros ordenadores con contraseña debil, y desde cualquier unidad USB que se haya conectado a cualquier ordenado infectado, por el simple hecho de conectarlo a otro PC no protegido con la vacuna ELIPEN.



Son muchos millones los ordenadores infectados por dicho virus, y muchos miles de servidores lo propagan , como verá si busca en el Google informacion del Conficker.



Desde Enero de este año hemos desinfectado miles de ordenadores infectados por este virus, si bien debe hacerse escrupulosamnete siguiendo las normas, pues por uno solo que quede infectado y se vuelva a conectar con otros limpios, los volverá a infectar, aunque ya se haya instalado el parche y esten con antivirus residente, pero si la contraseña no es fuerte (letras mayusculas y minusculas mezcladas con numeros) se lo salta el dichoso virus rapidamente.



Vea lo que indicamos al respecto para dicho virus:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp



y posteriormente hicimos el COMPROBADOR para garantizar que un ordenador no esté infectado antes de volverlo a conectar a la red, aprovechando su caracteristica de impedir acceder a las webs antivrius, pues por su condicion de rootkit es dificil y lento cazarlo de otro modo.



DESCARGA DEL COMPROBADOR

http://www.zonavirus.com/descargas/comprobador.asp



saludos



ms, 15-11-2009

[alb3rtop]

Gracias por responder. Siento no poder dar un detalle concreto de cual es el virus que tengo. Aunque dado que eso de conficker me suena y que has dicho que se caracteriza por no poder entrar a algunas paginas web de antivirus y eso, ese virus lo tienen los otros ordenadores jaja.



La verdad, no he mirado si el ordenador nuevo(que es el que mas me preocupa, los otros ya se iran cambiando) se puede conectar a paginas como microsoft, avast, avg... que son las paginas que no me deja visitar en los antiguos ordenadores.



Mañana, a ver si va mi novia al ciber y me mira si se conecta a esas paginas y que me diga el nombre del virus de todos los archivos que detecta Avast(porque la chica que ha estado hoy parece que no está por la labor).



Pero bueno, visto que lo que me dijo la chica de hoy que uno de los archivos que detecta el Avast es un rootkit, a lo mejor en realidad es el conficker virus lo que tengo.. quien sabe. Espero daros mas información en cuanto pueda.(Sinceramente, ojala sea en verdad el conficker, asi instalo el parche y no tengo que sacar todos los ordenadores de la red. Y eso que comentaste de los USB tambien me hacia falta, porque fue enchufar mi pendrive a un ordenador y ya estaba infectado el autorun).



A todo esto, el Windows que tengo instalado es una copia de Windows original de SP2. Me gusta usar ese CD porque es anterior a cuando Microsoft puso lo de activar los Windows(no me acuerdo como se llamaba eso , pero es lo del Genuine ese) y como por culpa de esa porqueria me he quedado sin licencias originales por formatear a lo mejor un mismo ordenador 3-5 veces... Pues prefiero este Windows que tengo y me evito problemas. Pero repito que es original xD

[msc hotline sat]

Pues aqui se acaba la historia.



Efectivamente tienes el Conficker, alias Downadup y Kido, segun antivirus utilizado, pero a lo que dice de que [b][i]"el Windows que tengo instalado es una copia de Windows original de SP2"[/i][/b], en este foro no se da soporte a sistemas piratas o paralelos.



Empieza por trabajar legalmente si quieres tener soporte, por si caes en las redes de troyanos como este, de los que hay millones.



Y dando por terminado el Tema, procedemos a cerrarlo



saludos



ms, 15-11-2009

ref SP/Mad+40.4-3.68





ANEXO:
[quote="VirusTotal"]
a-squared 4.0.0.101 2009.03.26 Net-Worm.Win32.Kido!IK

AhnLab-V3 5.0.0.2 2009.03.26 Win32/Conficker.worm.88576

AntiVir 7.9.0.129 2009.03.26 Worm/Conficker.D.1

Antiy-AVL 2.0.3.1 2009.03.26 -

Authentium 5.1.2.4 2009.03.26 W32/Conficker.B

Avast 4.8.1335.0 2009.03.25 Win32:Trojan-gen {Other}

AVG 8.5.0.283 2009.03.26 Worm/Generic.WLO

BitDefender 7.2 2009.03.26 Win32.Worm.Downadup.Gen

CAT-QuickHeal 10.00 2009.03.26 I-Worm.Kido.ip

ClamAV 0.94.1 2009.03.26 Worm.Downadup-4

Comodo 1085 2009.03.26 Worm.Win32.Exploit.Conficker.c.~

DrWeb 4.44.0.09170 2009.03.26 Win32.HLLW.Shadow.based

eSafe 7.0.17.0 2009.03.26 Win32.Conficker.X

eTrust-Vet 31.6.6418 2009.03.26 Win32/Conficker.C

F-Prot 4.4.4.56 2009.03.26 W32/Conficker.B

F-Secure 8.0.14470.0 2009.03.26 Worm:W32/Downadup.DY

Fortinet 3.117.0.0 2009.03.26 W32/Kido.IP!worm.im

GData 19 2009.03.26 Win32.Worm.Downadup.Gen

Ikarus T3.1.1.48.0 2009.03.26 Net-Worm.Win32.Kido

K7AntiVirus 7.10.682 2009.03.26 Net-Worm.Win32.Downadup.iw

Kaspersky 7.0.0.125 2009.03.26 Trojan-Downloader.Win32.Kido.a

McAfee 5565 2009.03.26 W32/Conficker.worm.gen.c

McAfee+Artemis 5565 2009.03.26 W32/Conficker.worm.gen.c

McAfee-GW-Edition 6.7.6 2009.03.26 Worm.Conficker.D.1

Microsoft 1.4502 2009.03.26 Worm:Win32/Conficker.D

NOD32 3966 2009.03.26 a variant of Win32/Conficker.X

Norman 6.00.06 2009.03.26 W32/Conficker.KL

nProtect 2009.1.8.0 2009.03.26 Worm/W32.Kido.88576

Panda 10.0.0.10 2009.03.26 -

PCTools 4.4.2.0 2009.03.26 Trojan.Downloader

Prevx1 V2 2009.03.26 Medium Risk Malware

Rising 21.22.32.00 2009.03.26 Worm.Win32.MS08-067.c

Sophos 4.40.0 2009.03.26 W32/Confick-G

Sunbelt 3.2.1858.2 2009.03.26 Worm.Win32.Downadup.Gen

Symantec 1.4.4.12 2009.03.26 W32.Downadup.C

TheHacker 6.3.3.7.292 2009.03.26 -

TrendMicro 8.700.0.1004 2009.03.26 WORM_DOWNAD.AD

VBA32 3.12.10.1 2009.03.26 Net-Worm.Win32.Kido.iw

ViRobot 2009.3.26.1664 2009.03.26 -

VirusBuster 4.6.5.0 2009.03.26 Worm.Kido.Z [/quote]