Es el virus de moda. Aparece una pantalla al iniciar el equipo diciendo que sois unos terroristas, unos pederastas o unos puercos por mirar páginas porno... el virus de la Policia Nacional que os pide 100€ para cancelar la multa. Incluso puede hacer una captura de la webcam si disponéis de ella y os la muetra... "te hemos pillado"! Además, aparecen versiones con cuerpos de policia de todo el mundo, incluso el FBI.
Se trata de REVETON, una variante de Ramsonware. Su objetivo es secuestrar la máquina infectada y pedir un rescate para liberarla. En las últimas versiones del virus, podría incluso apoderarse de las claves almacenadas en los navegadores.
Para solucionar el problema hay que eliminar los archivos que cargan el virus. Existen muchas versiones del mismo virus, algunas incluso bloquean el modo seguro.
Si estás de suerte y aún no te ha bloqueado el modo seguro, cuando arranque windows presiona F8 y desde allí elimina los archivos que se detallan más abajo. Si modo seguro no funciona, más abajo indico un link para repararlo.
También se puede conectar el disco en un pc secundario para realizar la limpieza.
Otro metodo es analizar con un cd de un antivirus como el caso de Kaspersky, que inicia un linux virtual que se conecta a internet para conseguir las últimas actualizaciones y analiza el equipo, y en muchas ocasiones consigue limpiarlo. Si no dispones de un cd, puedes descargar el Rescue disk.
-->
Inicio/Programas/Inicio/ctfmon.exe
Inicio/Programas/Inicio/regmonstd.reg
Inicio/Programas/Inicio/msconfig.reg
Inicio/Programas/Inicio/runctf.lnk
Inicio/Programas/Inicio/0.212312343.exe (el nombre del archivo es aleatorio).
Windows XP:
C\Documents and Settings\Nombre de Usuario\Configuración local\Temp\*.*
C\Documents and Settings\All users\Menú Inicio\Programas\Inicio\ctfmon.exe
C\Documents and Settings\All users\Menú Inicio\Programas\Inicio\0.212312343.exe
C:\Documents and Settings\All Users\Datos de programa\07wb.dat
C:\Documents and Settings\All Users\Datos de programa\8479151.pad
C:\Documents and Settings\All Users\Datos de programa\as98213.txt
C:\Documents and Settings\All Users\Datos de programa\bw70.pad
C:\Documents and Settings\All Users\Datos de programa\rundll32.exe
Windows 7/Vista:
C:\Users\Nombre de Usuario\AppData\Local\Temp\*.*
C:\Users\Nombre de Usuario\AppData\Local\Temp\0.7427642126323613.exe
C:\Users\Nombre de Usuario\AppData\Roaming\Microsoft\Windows\Start Menu\ Programs\Startup\0.12379255h7.exe.lnk
C:\Users\Nombre de Usuario\AppData\Roaming\Altshell.dat
C:\Users\Nombre de Usuario\AppData\Roaming\Skype.dat
C:\Users\Nombre de Usuario\AppData\Roaming\Skype.ini
C:\ProgramData\ffofo6z.dat
C:\ProgramData\z6ofoff.reg
C:\ProgramData\z6ofoff.pad
C:\ProgramData\z6ofoff.bat
C:\ProgramData\4bido.dat
C:\ProgramData\7rdoi.dat
C:\ProgramData\as98213.txt
C:\ProgramData\iodr7.pad
C:\ProgramData\odib4.pad
C:\ProgramData\rundll32.bat
C:\ProgramData\jcojqe.dat
C:\ProgramData\eqjocj.js
C:\ProgramData\eqjocj.bat
C:\ProgramData\kjhy64.txt
C:\ProgramData\rundll32.exe
Cómo véis, el nombre de los archivos es aleatorio.
** actualización 21/11/2013 LA ÚLTIMA INFECCIÓN QUE ENCONTRÉ NO ERA DETECTADA POR KASPERSKY RESCUE DISK, Y LOS ARCHIVOS ERAN:
C:\ProgramData\f3rfllt.dss y otros similares en la misma ubicación.
C:\Users\"nombre de usuario"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ferfllt (acceso directo)
Registro:
Inicio/Ejecutar/regedit y pulsar Intro
Busca todas aquellas claves que contengan el nombre del archivo infectado, en el menú edición, la opción buscar, introduce el nombre del (de los) archivo(s) que hayas encontrado anteriormente y eliminalos, para buscar el siguiente elemento se puede pulsar F3.
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
en la parte de la derecha debe aparecer una clave shell con valor explorer.exe. Hay que borrar lo que se haya añadido.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\juzched --eliminar--
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ffofo6z.dat --eliminar--
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ctfmon.exe --eliminar--
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon32.exe --eliminar--
En ocasiones puede que el Modo Seguro haya quedado dañado, aqui las intrucciones para repararlo.
IMPORTANTE: Cuando el pc vuelva a funcionar bien, la primera vez que abráis el navegador os puede aparecer un mensaje diciendo que la última navegación se cerró inesperadamente y os ofrece restaurarla, evidentemente, NO la restauréis!
No comments:
Post a Comment