Your SlideShare is downloading. ×
Pasos para eliminar el virus conficker
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Pasos para eliminar el virus conficker

1,479
views

Published on


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,479
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Pasos para eliminar el virus Win32/Conficker de forma manualDependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible queel virus no haya cambiado algunos de los valores referidos en esta sección.Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker delsistema:1. Inicie sesión en el sistema con una cuenta local.Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio.2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursoscompartidos del administrador e impedirá que el malware se propague mediante estemétodo.Para detener el servicio del Servidor, utilice el complemento Servicios de MicrosoftManagement Console (MMC). Para ello, siga estos pasos:a. En función del sistema que utilice, realice lo siguiente: En Windows Vista y Windows Server 2008, haga clic en Inicio,escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clicen services.msc en la lista Programas. En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio,después en Ejecutar, escribaservices.msc y, a continuación, haga clicen Aceptar.b. Haga doble clic en Servidor.c. Haga clic en Detener.d. Seleccione Deshabilitado en el cuadro Tipo de inicio.e. Haga clic en Aplicar.Elimine todas las tareas programadas creadas mediante AT. Para ello,escriba AT/Delete/Yes en el símbolo del sistema.Detenga el servicio Programador de tareas.o Para detener el servicio Programador de tareas en Windows 2000, Windows XP yWindows Server 2003, utilice el complemento Servicios de Microsoft ManagementConsole (MMC) o la utilidad SC.exe.o Para detener el servicio Programador de tareas en Windows Vista o Windows Server2008, siga estos pasos.Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067).Restablezca cualquier contraseña de administrador de dominio y de administrador localpara usar una nueva contraseña segura.En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostEn el panel de detalles, haga clic con el botón secundario del mouse en laentrada netsvcs y, a continuación, haga clic en Modificar.Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicioaleatorio.Anote el nombre del servicio de malware. Necesitará esta información más adelante duranteeste proceso.Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar unavance de línea en blanco debajo de la última entrada válida que aparece en la lista y, acontinuación, haga clic en Aceptar.
  • 2. En un procedimiento anterior, había anotado el nombre del servicio de malware. En esteejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, sigaestos pasos:. En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela,donde BadServiceName es el nombre del servicio de malware:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBadServiceNamePor ejemplo, busque la siguiente subclave del Registro y haga clic en ella:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIaslogona. Haga clic con el botón secundario del mouse en la subclave que aparece en el panelde exploración del nombre del servicio de malware y, a continuación, haga clicen Permisos.b. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opcionesavanzadas.c. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activarlas siguientes casillas de verificación:Heredar del objeto primario las entradas de permiso que se aplican a los objetossecundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita..Reemplazar las entradas de permisos en todos los objetos secundarios conaquellas entradas incluidas aquí y que sean relativas a los objetos secundarios.Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editarel archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos:. Haga doble clic en la entrada "ServiceDll".a. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará estainformación más adelante durante este proceso. Por ejemplo, la ruta de acceso alarchivo DLL en cuestión puede parecerse a la siguiente:%SystemRoot%System32doieuln.dllCambie el nombre de la referencia para que sea similar a:%SystemRoot%System32doieuln.oldb. Haga clic en Aceptar.Elimine la entrada del servicio de malware de la subclave Run del Registro.. En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuna. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y quehaga referencia al archivo DLL de malware que se carga como "ServiceDll" identificadoen el paso 12b. Elimine la entrada.b. Cierre el Editor del Registro y reinicie el equipo.Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas paraabrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.infválido. Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB).Elimine cualquier archivo Autorun.inf que no parezca válido.Reinicie el equipo.
  • 3. Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo delsistema:reg.exe addHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /fSeleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Paraello, siga estos pasos:. Haga clic en Herramientas y, a continuación, en Opciones de carpeta.a. Haga clic en la pestaña Ver.b. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos.c. Haga clic en Aceptar.Seleccione el archivo .dll.Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estospasos:. Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, hagaclic en Propiedades.a. Haga clic en la pestaña Seguridad.b. Haga clic en Todos y, a continuación, active la casilla de verificación Control total enla columna Permitir.c. Haga clic en Aceptar.Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo%systemroot%System32doieuln.dll.Habilite los servicios de informe de errores, los servicios BITS, las actualizacionesautomáticas y Windows Defender mediante el complemento Servicios de MicrosoftManagement Console (MMC).Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección.Para ello, siga estos pasos:. En función del sistema que utilice, instale una de las siguientes actualizaciones: Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instalela actualización 967715. Para obtener más información, haga clic en el númerode artículo siguiente para verlo en Microsoft Knowledge Base:967715 Cómo deshabilitar la funcionalidad de la ejecución automática enWindows Si está ejecutando Windows Vista o Windows Server 2008, instale laactualización 950582. Para obtener más información, haga clic en el número deartículo siguiente para verlo en Microsoft Knowledge Base:950582 MS08-038: Una vulnerabilidad en el Explorador de Windows podríapermitir la ejecución remota de códigoa. Nota La actualización 967715 y la actualización de seguridad 950582 no estánrelacionadas con este problema de malware. Estas actualizaciones deben instalarsepara habilitar la función del Registro en el paso 23b.b. Escriba el siguiente comando en el símbolo del sistema:reg.exe addHKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer/vNoDriveTypeAutoRun/t REG_DWORD/d 0xff/fSi el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automáticode esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
  • 4. reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v "WindowsDefender"/t REG_EXPAND_SZ/d "%ProgramFiles%Windows DefenderMSASCui.exe –hide"/fEn Windows Vista y sistemas operativos posteriores, el malware cambia la configuraciónglobal del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Pararestablecer esta configuración, escriba el siguiente comando en el símbolo del sistema:netsh interface tcp set global autotuning=normalSi una vez completado este procedimiento, observa que el equipo puede haberse infectado denuevo, es posible que se cumpla una de las siguientes condiciones:No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se haeliminado el trabajo de AT o un archivo Autorun.inf.La actualización de seguridad de MS08-067 no se ha instalado correctamente.

×