Virus "Kido" no se que... Ayuda urgente!!!

[glred]

Hola, fijense que ayer 01-04, deje la pc que yo uso en el trabajo, porq termina mi turno... el punto es que de pra casualidad, regrese en la noche, solo para encontrarme a mi jefa desesperada porq ninguna pc tenia internet, entonces me dispuse a revisar y era un cable que estaba desconectado, pero en la pc principal no conectaba para nada...

La cosa es que aparecia como conexion limitada o nula (solo el icono, no daba el mensaje)

Bueno entonces le pregunte que era lo ultimo q habian visto en la pc por la tarde y me dijeron que les habia estado apareciendo un mensaje de virus, y que en un dado momento la pc se reinicio y desde ahi en adelante 

La cosa es que a mi me aparecio ese mensaje en la mañana tambien... uso el kaspersky pero en ningun momento me infecto la pc, el kasper lo bloqueaba, la cosa es q me dispuse a formatear la pc hoy en la mañana.

y luego q instale el kaspersky, como a los 30 min. me aparecio el bendito mensaje de virus, pero en esta ocasion no lo pudo detener el KAV 8.0.0.517

Les comento que un archivo llamado "x" solamente eso, no tiene extension, se inserto en "C:/Windows/System32/x", y el kasper ya no lo pudo borrar, lo intente con el "Unlocker" y segun el unlocker se inserta en casi todos los ejecutables que estan corriendo en ese momento en este caso estaba corriendo desde: winlogon.exe, smss.exe, lssas.exe, services.exe, etc...

Bueno la cosa es que le tome un screenshot pero no lo he podido sacar, luego me dispuse a correr el xp live para ver si con el total commander lo podia borrar y aqui les pongo el screenshot: 



Hey si alguien sabe como puedo borrar a este desgraciado que publique aqui la solucion... no creo que yo sea el unico... 

Por cierto para los que querian el Virus, aqui se los dejo... para que lo examinen, y encuentren el "antidoto" 

[spoiler]

Código: [Seleccionar]

http://rapidshare.com/files/216664056/Conficker.rarPass: SvC[/spoiler]

[vlad]

Quitale el atributo de solo lectura

Otra cosa, te sugiero pasar la "instalación" de XP en modo reparación, para que reescriba la mayoría de ejecutables importantes del sistema y evitar infectarte de nuevo al iniciar.

[Antoni_Zero]

Descarga OTMoveIt3 en el escritorio.

Haz doble clic sobre el icono OTMoveIt3.exe para ejecutarlo
Asegúrate que esté marcada la casilla "unregister Dll´s and Ocx´s" y desmarcada "Zip Files After Move".
Pega en siguiente script bajo el area "Paste Instructions for items to be Moved". (No se incluye la palabra "codigo").

:files
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\A3Q52FWT\t[1].txt
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\YRCBW1U5\t[1].txt
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\YRCBW1U5\t[2].txt
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\YRCBW1U5\t[3].txt
C:\WINDOWS\system32\x.exe
C:\WINDOWS\system32\csrsc.exe


:commands
[EmptyTemp]
[Purity]
[Reboot]

Presiona el boton rojo MoveIt!
Cuando el resultado aparezca en el marco Results, haz clic en Exit.
Reinicia el equipo, esto es importante.
Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles\***_***.log


También haces lo señalado acá: Virus en Pendrive - Flash Memory (http://www.forospyware.com/408993-post9.html).

Nota: Te saltas el escaneo con kaspersky online.


Fuente:

Código: [Seleccionar]

http://www.forospyware.com/archive/t-214125.html

[Jarmandaros]

si lo anteriro no te funciona hace los siguientes pasos en Modo a pueba de fallos si podes entrar:

1.- bajate el Combofix de aca

Código: [Seleccionar]

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2.- por cualquier inconveniente futuro te sugiero que leas este pequeño tutorial del combofix

Código: [Seleccionar]

http://www.bleepingcomputer.com/combofix/sp/como-utilizar-combofix
3.- el archivo que bajaste (combofix.exe) copialo en la carpeta "C:\Combo"

4.- andate a las propiedades del sistema y Deshabilita el System restore.

5.- cerra todos las ventanas y programas que tengas abiertos, incluyendo el antivirus que tengas instalado, tenes que desactivarlo).

6.- ejecuta el combofix, segui los pasos tal cual te los vaya dando, no hagas nada fuera de orden y espera a que termine. (si tenes habilitado el internet te va apreguntar si queres actualizar y le das que SI).

7.- ya cuando haya finalizado todo el proceso abri el comando ejecutar (tecla win + R) y escribis "combofix /u"

8.- bajate este desfragmentador de HDD, es portable
[spoiler]

Código: [Seleccionar]

http://rapidshare.com/files/75298284/Auslogics_Disk_Defrag_1.3.7.235_Portable.rar[/spoiler]

9.- ejecuta el desfragmentador y espera a que termine.

10.- andate a mi pc y dale clic derecho al disco C: y andate a las propiedades.

11.- busca la pestaña herramientas >> Comprobacion de errores >> clic en comprobar ahora.

12.- ponele los 2 cheques a las opciones y le das iniciar. (te va a decir que si queres que lo haga la proxima vez que inicie windows y le das a Aceptar.

13.- reinicias el sistema.

14.- deja que el CHKDSK revise tu disco en busca de errores.

15.- con eso deberia de reaccionar tu PC, si con eso no lo hace pues te toca formatear.

Saludos!! 

[moyo18]

hola no es por alarmarte pero cabe la posibilidad q t cayo el confiker ... da esos problemas con conexiones de red, los pone lentos o los corta.

deberias de revisar bien pc por pc y ver los sintomas q tienen para ver si no se a propagado, ya eres el segundo q miro con ese problema y un se;o me llama diciendo la q la pc se le puso lenta se le reinicia y cuando se enciende abre la configuracion del sistema lo q se supone q hace ese virus.

y recuerda q ayer la mara decia q iban a liberar otro atake y al parecer si lo hicieron

[DarkBios]

ese tipo de archivos se pueden quitar tambien reiniciando la pc desde un live cd de linux, lo he hecho con fedora y mandriva, es como si tubiera atributos que en solo en una distro se aplican y que solo en ella se quitan

[moyo18]

Ha aparecido desde el año pasado y que se puede comparar con los ataques del viejo virus “I love you” o el “Melissa”. Este virus es llamado Downadup , kido, confliker, o mejor conocido como CONFIKER.

aki esta la info q necesitas .... t dije es el confier lo mejor es formatear porq esa onda si es da;ina

http://blog.indatcom.net/2009/04/02/nuevo-virus-confiker/

[DarkBios]

aki esta la info q necesitas .... t dije es el confier lo mejor es formatear porq esa onda si es da;ina

http://blog.indatcom.net/2009/04/02/nuevo-virus-confiker/

con razon en mi pc cuando alguien trajo una memoria con ese virus, no le hizo nada, tengo instalado mi apreciado F-secure, gracias por darme mas motivos para seguir usandolo 

[DarkBios]

Es que no es que tenga atributos especiales para no borrarse sino que el virus está corriendo pero él mismo se borra de la lista del administrador de tareas, eso es lo que llaman correr en el "background".

Y no es necesario formatear la máquina, ese virus ya lo quité una vez hace un tiempo el año pasado usando todas las herramientas en este post.

Después instalé el Norton Security Scan.

Lo que terminó de eliminarlo fue el Avast, desde entonces ya no he tenido problemas y no formateé nada.

-------------------------------
P.D.: Cuando meto una memoria o disco externo USB que considere de alto riesgo, lo único que hago es cerrar el proceso EXPLORER.EXE para evitar que el explorador de Windows ejecute algún AUTORUN.INF. Entonces desde la consola símbolo de sistema CMD.EXE busco un AUTORUN.INF y si veo que está infectado solo lo muevo a un lugar diferente y lo quito del directorio raíz del dispositivo además del archivo de virus en sí al que hace referencia el autorun infectado.

Hasta ahora ese método no me ha fallado.

buena alternativa amigo, pero prefiero quitarle el autoejecución en el sistema, es mas seguro que estar deteniendo el proceso del explorer

[glred]

Bueno señores Muchas gracias por sus aportes, ya logre borrar al desgraciado... y ya puse el parche de Mocosoft, tambien navegando por ahi encontre una herramienta del Kaspersky que la han desarrollado especificamente para ese virus:

http://data2.kaspersky.com:8080/special/KKiller_v3.4.3.zip

Fuente

Es que no es que tenga atributos especiales para no borrarse sino que el virus está corriendo pero él mismo se borra de la lista del administrador de tareas, eso es lo que llaman correr en el "background".

Pues te comento que corri un Live CD y tampoco me dejo borrarlo, y no estaba corriendo el virus (por Live CD)

Muchas gracias a todos por su pronta respuesta  , tengan cuidado porq sino ponen el parche de Mocosoft, el virus se baja solito... 

[Antoni_Zero]

Bueno nakama, me alegra que todo te haya resultado bien, y gracias por las advertencias...