Desde hace unos dias, estamos sufriendo el acoso de un virus, que a simple vista parece una simple broma, pues nos aparece una imagen como está(o parecida):
Pero nos damos cuenta que no es una simple estafa, este virus, bloquea por completo las aplicaciones, desactiva el administrador de tareas, y cualquier combinación de teclas, tal como Windows + L, para cambiar usuario, este malware, se copia con diferentes nombres, y se puede encontrar en diversas rutas, como C:\Windows\Prefetch\readme[1].exe.pf, o en cualquier carpeta, de los usuarios.
Para eliminarlo:
1-Si estamos en Windows Vista o Windows 7, podemos intentar entrar con Ctrl+Alt+Supr a la pantalla de presentación, donde podemos cambiar de usuario, y desde ahí eliminar el proceso y pasar un antivirus. Esto en Windows XP no funciona, porque si apretamos Ctrl+Alt+Supr, nos sale un mensaje de que el Administrador de tareas esta desactivado(por el virus).
2- Entrar con un Live CD de cualquier distribución GNU/Linux, aquí os dejó la de Ubuntu, que es la distro más básica,
No puedes ver links
Registrate o Login. con el LiveCD entramos a la partición donde este Windows y buscamos el archivo y lo eliminamos, iniciamos Windows y editamos la entrada del registro esta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell donde se ubica, también es conveniente buscar en estas siguientes rutas del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\System\ControlSet001\Control\Session Manager\KnownDLLs/f
3- El siguiente paso por el momento, y hasta que los antivirus no incluyan la firma de este nuevo virus, es meterse en el Modo de símbolo de sistema, en Modo Seguro NO, porque el virus lo tiene también infectado, desde el símbolo del sistema, borramos el virus de alguna de estas rutas.
4- Para conseguir más tiempo, antes de que se bloquee el ordenador, solo basta con cambiar la hora en la bios. Se hace así, pulsa Supr o Del, y accederas al menu de la Bios, entras en Standard CMOS Features, y desde ahí retrasas 2 o 3 horas para tener más tiempo para arreglarlo.
El virus de La Policía Española, tiene diversas formas, pero todas coinciden en efectos y en la forma de aparición, lo que no se sabe aún es su propagación.
PD: Este virus me fascina MUCHISIMO pues a pesar de no ser nada del otro mundo, un simple bucle que cierra el taskmgr.exe, el explorer.exe y situa el foco activo en el malware, ha conseguido propagarse con diversas formas, y por tanto, no tiene un solo metodo de desinfeccion. Algo que voy a implantar a mis nuevos virus va a ser la creacion del ejecutable, con nombres aleatorios, y rutas aleatorias, para dificultar su borrado.
Saludos
Tema: Virus policía española (Leído 336 veces)
Junio 15, 2010, 11:59:55 am