No puedo eliminar un virus

[Samujedrez]

Tengo un problema con un virus en mi ordenador que no puedo eliminar por mucho que le de al botón eliminar. Al rato me vuelve a aparecer.



Estos son los datos que tengo del virus:



1- Nombre del archivo: C:\Documents and settings\NetworkService\Configuración

2- Nombre del malware: Win32:Confi [Wrm]

3- Tipo de Software perjudicial: Virus/Gusano

4- Version de VPS: 091120-0, 20/11/2009



Gracias de antemano.

[msc hotline sat]

Cuentanos el antivirus que te lo detecta, y luego, arrancando en modo seguro con funciones de red, nos envias el fichero donde lo detecta, para analizarlo:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 24-11-2009

[Samujedrez]

Lo detecta el antivirus Avast Home v. 4.8

[msc hotline sat]

En tal caso es probablemente el Conficker...



Si nos has enviado la muestra pedida, lo confirmaremos, y por si acaso lo fuera, empieza con ello:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp



y puedes constatarlo con el COMPROBADOR:

http://www.zonavirus.com/descargas/comprobador.asp



saludos



24.11.2009

[Samujedrez]

Si, la muestra la envié antes de mi segundo post. El problema es que no sé cómo eliminar este virus, aunque he buscado por internet lo único que he encontrado es esto.



Parcheado y eliminación [editar]



El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que corrige la vulnerabilidad de la que se aprovecha el virus.17 Existen herramientas de eliminación de Microsoft,18 SOPHOS19 , ESET,20 Panda Security,21 Symantec,22 Kaspersky Lab, TrendMicro,23 de Service Pack, pues el soporte para estas versiones ha expirado. Dado que puede propagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar esta característica modificando el Registro de Windows.24

[msc hotline sat]

Si, ello confirma que se trata del Conficker (por lo del MS08-067)



sigue el protocolo de actuacion que indicamos en http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp



saludos



ms, 24-11-2009

[Samujedrez]

Muchas gracias, el virus ha sido erradicado y todo funciona correctamente, pero hay un pequeño detalle.

Esta mañana me salió un encubridor.



El antivirus decía que estaba en C:\WINDOWS\System32\x

Decía que era un proceso oculto.

Ese archivo no soy capaz de encontrarlo y lo de que es un encubridor me sale cuando quiere, es decir que si analizo la carpeta system32 no detecta nada, pero a veces de repente salta el antivirus diciéndome que tengo este encubridor.



El nombre del MalWare es: Wi

[msc hotline sat]

Sobre todo asegurate que no tengas ningun resto del Conficker. Lo verás facilmente con el COMPROBADOR.EXE : http://www.zonavirus.com/descargas/comprobador.asp



y si no lo tienes activo, puede que esté llegando por otro camino, comparticiones administrativas (asegurate de tener contraseñas duras -alfanumericas con mayusculas-minusculas y numeros mezclados) , por USB (asegurate que tienes vacunados los pendrives y demas perifericos USB con el ELIPEN ([b][i][u]NO OLVIDES LAS CAMARAS FOTOGRAFICAS DIGITALES)[/u][/i][/b], mucho cuidado con los poratitles que se conecten a la LAN, y por supuesto, el dichoso parches aplicado en todas las máquinas (MS08-067)



y claro, hay muchos mas... pero habiendo tenido este, tienes muchos números para que te toque la lotería :?



Y dinos esto de Wi qué antivirus lo detecta así, lo que sea... gracias



Y si sabes donde lo detecta, mira de cazarlo con el ELIMOVER y nos lo envias para salir de dudas, y controlarlo, claro:



DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



saludos



ms, 25-11-2009

[msc hotline sat]

Y confirmado, este X es un intento de intrusion del Conficker:



[img]http://i243.photobucket.com/albums/ff128/glred/Queyucaestevirus.jpg[/img]



lo verás en esta imagen que he encontrado en internet, y en la carpeta de sistema a veces lestá sin extension y a veces como .EXE, asi que buscalo con el ELIMOVER de las dos maneras



c:\windows\system32\x



c:windows\system32\x.exe



y si lo encuentras y lo copias a C:\muestras, nos lo envias.



Fijate que en la linea en rojo indican que tiene atributos de SHR, por esto no lo verás segun como tengas configurado windows



saludos



ms, 25-11-2009







O Te faltan parches o tienes alguna maquina en red infectada o algun periferico infectado !!! ms.

[Samujedrez]

Creo que ya he conseguido eliminarlo. El problema es cuando meto un pen-drive. Un compañero me pasó el programa "Ninja-Pendisk!" para evitar que se metieran los virus del pen-drive al ordenador, pero parece que no funciona muy bien. Que me aconsejarías para evitar que se me metan virus desde los pen-drive que seguramente están infectados.



Gracias por todo.

[msc hotline sat]

Con el USB445 el ordenador ya queda prtegido contra autoejecucion de AUTORUN.INF fuera de las unidades de CD y DVD, pero además puedes vacunar todas las unidades USB con el ELIPEN:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 26-11-2009

[Samujedrez]

Parece que va peor de lo que pensaba. El virus ha vuelto a aparecer por si solo sin meter pen-drive ni nada. Parece imposible de eliminar incluso con la aplicación USB445. Ahora el virus no sólo es molesto, sino que me ha desbloqueado la unidad de DVD y no puedo leer ninguno, ademas me ha destrozado la red y no puedo acceder a ningún otro ordenador por el camino normal sino que tengo que poner la ruta para poder entrar.



El virus este me está desesperando, encima ahora no me deja descargar ningún archivo y no se que hacer a parte de formatear.

[msc hotline sat]

Ya hemos tenido muchas incidencias y sabemos lo persistente que es... y como que se actualiza cada día y descarga nuevas variantes, puede que tu antivirus no lo detecte, voy a ver el que usas, si lo dices, pues no lo recuerdo



Pero sobre todo, las reinfecciones acontumbran a venir de un ordenador infectado que vuelve a ponerse en red con los limpios, y sin contraseñas duras infecta por comparticiones administrativas



voy a ver lo que tienes como AV



Veo que dices que usas el AVAST... si es el profesional, debería haberlo controlado, pero si es el HOME... ellos sabrám :?



Nosotros usamos McAfee Enterprise 8.7i SP2 y a todos nuestros clientes se ha eliminado entre nuestras utilidades y el antivirus, gracias a que USB445 elimina un servicio del Conficker que se carga incluso en modo seguro, sino a pesar de ello se tiene el bicho en memoria y vuelve a infectar a pesar de los antivirus, pues tiene funciones de RootKit.



Ya avisamos que se esté seguro de que no queda Conficker en ninguno antes de conectarlo de nuevo a la Red de limpios (con el Comprobador), pero o no se ha limpiado bien o se ha despistado alguno... podría ser un portátil llegado de fuera (es típico), en cuyo caso, vuelta a empezar.



El protocolo a seguir está claro, solo hay que aplicarlo.



Pero sí, es duro de pelar si se despista uno, ya lo sabemos ! :roll:



saludos



ms, 27-11-2009

[Samujedrez]

Lo que ocurre es que es este ordenador el único que está infectado. Los demás ordenadores de la red no se infectan... puede que controlen el virus. Con respecto al McAfee no puedo descargármelo por lo que comenté antes, y es que ahora no me deja descargar nada.



Si también tiene relación lo de que no me detecte la unidad de DVD me gustaría que me lo dijeran. Me da un poco de vergüenza porque se supone que estoy haciendo un ciclo superior de administración de sistemas pero este virus me está matando y ya no se que hacer con él.

[Samujedrez]

Ahora mismo el Avast se ha vuelto "un poco loco". Me ha detectado 112 virus, todos Conficker, y además he desconectado el resto de ordenadores de la red.

[msc hotline sat]

Pues ya sabe, con los ordenadores desconectados, USB445 -> inmediatamente despues arrancar en modo seguro y pasar su antivirus, y nio conecte de nuevo los ordenadores entre si hasta tenerlos todos limpios (compruebelo con el COMPROBADOR.EXE)



Porque se le suponce que el parche MS08-067 lo tienen todos instalados, sino tras el USB445 y antes de reiniciar en modo seguro, lanzar un WINDOWSUPDATE.



saludos



ms, 27-11-2009

[Samujedrez]

He terminado por formatear el ordenador porque no he sabido como eliminar el virus. De todas formas gracias por haberme ayudado. Esta batalla la ha ganado Conficker jeje, pero al menos ya no tengo virus.



En resumidas cuentas, tema resuelto.

[msc hotline sat]

Hasta los buenos boxeadores tiran a veces la toalla, pero al menos ya sabe lo pesado que es el Conficker, tengalo presente para no volver a infectarse...



1º Instalar todos los parches de microsoft, especialmente el MS08-067

2º Vacunar ordenadores y pendrives con el ELIPEN

3º Poner contraseñs duras en las comparticiones administrativas

4º Vigilar que no le conecten ningun portatil a la red, sin antes no haberlo comprobado

5º Tener residente un antivirus actualizado, por si le entra, con las indicaciones pertinentes poder eliminarlo.



Y si no está seguro de que su IP no esté siendo bombardeada por el bicho, tras instalar windows, antes de conectarlo a internet (o a la red), lanzar el USB445 (para que corte el port de intrusion y ya cambie la clave de la politica respecto el AUTORUN.INF y acto seguido, en la misma sesion, conectar el ordenador a la Red y lanzar el windowsupdate, sino cabe la posibilidad que le entre el Conficker al conectarlo a la Red, por intrusion por IP.



Lo hemos sufrido miles de veces, y eliminado con mayor o menor dificultad, y en su caso, la excepcion confirma la regla.



Y dando por terminado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo ya sabe donde estamos



saludos



ms, 1-12-2009