Virus Desconocido

Este fin de semana note que tenia problemas con el explorer.exe del XP.
Le pase varios antivirus (Panda, Nod32, Karspersky) todos me decian lo mismo virus desconocido en autorun.inf.

Despues de investigar el fichero origen de la infección se llama nini.exe. y el troyano (creo que es un troyano) se oculta en el fichero lsass.exe y desde aqui se hace con el control del S.O.

los antivirus detectaban el codigo en el autorun.inf de arranque del HD pero no lo detectaban en los dos ficheros que escrito antes. Cualquier dispositivo en el que se pueda escribir me ha quedado infectado (tarjetas de memoria, otros pc de la red) .

Despues de estar todo el fin de semana formateando e instalando de nuevo aplicaciones (todavia sigo) un verdadero coñazo parece que todo vuelve a funcionar.

Advertidos quedais

Gracias por la info, Salao.

Por si me contagio voy a dejar de escrib...

Ok Salao,me lo apunto,pero espero que no contagiarme porque no tengo ni pu... idea de limpiar mi cacharro,eso que todos llamais ordenador...

Soy asi de desastre...

Informacion sobre lo que cuentas Salao.


Ese virus fue detectado hace escasamente una semana, por lo que has sido uno de los primeros elegidos.

Lo que si te recomendaria es que revisaras cualquier tipo de disco extraible o pendrive, que hayas podido usar, ya que puedes estender el virus a otros sitios.


Os copio la informacion de la que dispongo:

"En los últimos días se está detectando una infección masiva de ordenadores producida por el gusano Downadup, también conocido como Conficker.
La infección se puede realizar de tres formas:

• Aprovechando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su parche extraordinario de Octubre MS08-067.
  
• A través de carpetas compartidas en red protegidas con contraseñas débiles.
  
• A través de dispositivos extraíbles, por ejemplo, lápices USB, creando un fichero con nombre autorun.inf cuya acción sea autoejecutar la copia del gusano cada vez que un usuario conecta el dispositivo extraíble a un ordenador.
  

No se descarta que en los próximos días el gusano pueda mutar e intentar acceder a los ordenadores a través de nuevas formas de acceso.
Es importante mencionar que, aunque un ordenador tenga instalado el parche MS08-067, también se puede quedar infectado si se conecta en el equipo un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft.
Los mecanismos de propagación utilizados por Downadup son muy comunes y se basan en la relajación de los usuarios para seguir unas pautas de buenas prácticas. Recomendamos a todos los usuarios que sigan estos consejos para evitar la infección:

• Actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
  
• Tener instalado un antivirus actualizado en el ordenador, el siguiente enlace contiene un listado de antivirus de escritorio gratuitos.
  
• Proteger con contraseñas fuertes las carpetas compartidas (más información sobre las carpetas compartidas para Windows Vista y Windows XP).
  
• Asegurarse de que todos los dispositivos extraíbles que se vayan a conectar al equipo están libres de virus, para ello conviene analizarlos con un antivirus actualizado antes de que se ejecute su contenido.
  
• Para evitar problemas de seguridad y prevenir las infecciones más comunes, seguir nuestros Consejos de Seguridad.
  

Entre las acciones de Downadup está la de acceder a determinadas direcciones de Internet que tiene en su código, F-Secure ha sacado el siguiente listado de direcciones de control hasta el 31 de enero. El gusano aprovecha el acceso a estas páginas para descargarse otros programas maliciosos, aunque no se descarta que, de este modo, el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red zombie (botnet).

Pues resalao, gracias por la informacion... porque algun@s andamos mas perdidos la primer yo, no se si ser verdad pero por lo que he oido yo, como bien dices, a traves de paginas como facebook, sonico, ect. de cualquier manera mirare a ver si tengo ese parche que dices si no le digo a la nissa que me haga un bodoque, que a ella se le da de hongos...jejeje. saludos

cuando hableis castellano por favor me lo traducis a un idioma que entienda algo, jejejejeje...

Jo,yo tampoco entiendo na....

Muchas Gracias FJ amplio la informacion con el consejo de un compañero


Para evitar reinfecciones te sugiero que hagas lo siguiente:

1. Si tu SO es XP SP2 o SP3 (si es SP1, omite el paso. Si no es XP, omite el paso), tienes que descargar y aplicar el parche KB950582 de aquí: http://www.microsoft.com/DOWNLOADS/d...displaylang=es

Cuando lo instales, marca la casilla para NO REINICIAR de momento el equipo y luego le das a FINALIZAR.

2. Inicio EJEUTAR, GPEDIT.MSC y le das a ENTER.

En el panel de la izquierda, bajo CONFIGURACIÓN DEL EQUIPO, expande PLANTILLAS ADMINISTRATIVAS y luego expande SISTEMA.

En el panel de la derecha, busca DESACTIVAR REPRODUCCIÓN AUTOMÁTICA y le haces doble click.

Se abre una ventana. Selecciona HABILITADA con su botón de radio para activar esa directiva. Después del desplegable que sale, lo expandes y seleccionas TODAS LAS UNIDADES. Al acabar pulsa sobre ACEPTAR para guardar los cambios y cierra GPEDIT.

3. Reinicia el equipo para completar la instalación del parche del paso 1.

4. Listo, a funcionar.


¿Qué hace todo esto?

Pues desactiva la reproducción automática de CD's y PENDRIVES.

(Que yo sepa no se puede desactivar sólo PENDRIVES sin desactivar CD's/DVD's).

Cuando introducimos un CD/DVD o un PENDRIVE, Windows busca el fichero AUTORUN.INF en su interior para saber qué comandos tiene que ejecutar automáticamente. Por eso al meter un CD de un juego o programa, automáticamente sale un menú para instalarlo, etc., porque Windows lee AUTORUN.INF (un fichero que debe cumplir estándares de Microsoft) y ejecuta los comandos de su interior.

El problema viene con los virus.

Muchos virus aprovechan el fichero AUTORUN.INF para infectar los pens.

Crean un fichero AUTORUN.INF falso con comandos de ejecución al propio virus.

Entonces lo que hace es meter un fichero *.EXE dentro del PEN y meter un AUTORUN.INF que llama a ese EXE cuando se le hace doble click al PEN.

Por eso muchas veces, con un PEN infectado, al hacerle doble click en MI PC, éste no se abre, porque Windows ejecuta lo que hay dentro del AUTORUN en vez de abrir la ventana que muestra lo que hay dentro.

Los PENDRIVE tienen un tratamiento diferente sobre el AUTORUN que los CD's, pero esto no lo voy a explicar que ya es muy complejo. Con entender lo que puse arriba, suficiente.

Además los virus estos que se propagan por los pens y que están tan de moda ahora, suelen establecer el AUTORUN.INF y el EXE que meten en modo OCULTO para no ser visible al explorar el contenido del pen. Si activamos mostrar archivos ocultos y desmarcamos casilla de ocultar archivos de sistema en opciones de carpeta de Windows, podremos verlos.

El paso número 1 hay que aplicarlo a XP SP2 o SP3 porque desde SP2 hay un bug mediante el cuál, haciendo el paso número 2, la reproducción automática no se desactiva correctamente.

En XP SP1, con hacer el paso número 2, era suficiente, pero en el SP2 o 3 hay que instalar el parche.

Ahora al meter un CD/DVD o hacerle doble click a un PEN, ya no se ejecuta automáticamente (no se lee AUTORUN.INF), sino que se abre el contenido del PEN o del CD y puedes ver los archivos sin más, sin ejecutar nada. Aunque esté infectado no ejecuta nada.

De ese modo ya no tienes que tener miedo, a menos que abras el pen y luego seas tan torpe de darle doble click a un EXE que tú no pusiste ahí y que probablemente sea el virus.

Incluso así se pueden desinfectar fácilmente sin antivirus. Si tienes activado lo de mostrar archivos ocultos y de sistema (como dije antes, son dos opciones), y ves un AUTORUN.INF y un EXE por ahí o una carpeta con un EXE dentro que tú no pusiste... (que al estar oculta ya aún es más sospechosa), entonces será virus. Se seleccionan, eliminan y listo, pen limpio hasta que lo vuelvas a enchufar en una máquina infectada.

Y toda esta mierda ocurre porque a Microsoft a veces da asco con las cosas que hace. Todo para tontos pero lleno de virus...

Jodeeerrr y yo este año no me he vacunaoooooo de la gripe con la cantidad de virus k andan sueltos......

Cagondiezzzzz, yo los viruses los saco del portátil a manotazos, y a ver si dejais de hablar en moro, ¿no sabeis que es de muuu mala educación hablarlo delante de la gente que no lo habla?

niki yo te limpio el ordenador
tu limpias la a moto te parece

Jepe rey,ni con esas salgo perdiendo....jajajajajajajajaja....que mi hordeñador esta muy chungo tio.... y eso que es "nuevo" pero tiene mas hachakes que tontuna tiene Don Pinpom....jajajajajjajajajajaja....y ya es decir....

jepe hijo tu no puedes limpiar un virus... TU ERES UN VIRÚS!!!!

no pero le pongo mas virus y
todo el verano limpiandome la a moto

MALO!!!!!QUE ERES MALO!!!!!Se te acurre hacerme eso y me vas a terminar limpiando tu otra cosa....cacho de pedorro....jajajajajjajajajaja...

La pagina es:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=cc4fb38c-579b-40f7-89c4-1721d7b8daa5

Yo tambien he padecido un par de virus...total me desactivo el antivirus,,le puse varios de los parches que los colegas informaticos, arriba recomendaron, pero de tanto medicamento y parche se ha quedao, el pobre echo unos zorros, pero solucionado el problema. En fin gracias por toda la información.

ORDENADOR DE VENUS DESPUES DE TODOS LOS PARCHES PA VIRUS.

Aunque no lo creas, sigo sin tregua a todos los bichos, virus, les meto en un baul que los congela creo, y voy a parecer a nuestra Concha Piquer, con tos sus baules, no llevo joyas, ni trajes ahora...gusanos y demas especies todas, pero el avast, me los fulmina....qsj.