Nuevo virus informático que pide pago de dinero


funki

Publicaciones recomendadas

No es en mi ordenador. Es similar al virus que dices.

Empieza a instalar drivers y servicios hasta que instala un driver que hace cambiar la cofiguración de hardware del sistema y windows lo detecta y te salta el mensaje de que tienes que volver a activar windows :D

Aun lo estoy limpiando del pc de la mujer :D

He pasado: combofix, kaspersky rescue cd (desde usb) rkill, malwarebytes y ahora estoy terminando el escaneo con el emsisoft emergency kit. Sin estos pasos no se borra jajajajajja que mamon el tio este que lo ha programado.

Una vez limpio hay que restablecer las ethernet con netsh, restaurar sistema para recupera la clave de windows y luego instalar un buen antivirus jajajajjaja

Como el kaspersky, que a mi no se me ha colado :D

Saludos!

Enlace al comentario
Compartir en otros sitios web

He estado hasta las 5 de la mañana eliminando el virus. Lo más rápido hubiese sido formatear pero no me daba la gana y lo tenía que eliminar.

OJO! Es una variante nueva del sirafef. Esto se mete como un rootkit y puede llegar a sustituir y falsificar el antivirus, depende de cual sea.

Por ejemplo en este ordenador en concreto teniamos el Microsoft Security Essentials (una kk vamos, pero mejor que tener un antivirus crackeado).

El rootkit se metió como una variante nueva y el msse ni lo olió. Cuando se actualizó empezó a detectar archivos infectados pero no los podía limpiar, evidentemente.

Este virus, al igual que los demás de su familia, crea un enlace simbólico al directorio C:\windows\system32\config y ese enlace (que no lo es realmente) es un directorio oculto y sin permisos para el administrador del equipo. Este es el primer paso, pero después empieza a instalar drivers y primero daña el IPSEC.SYS, archivo importantísimo para muchas aplicaciones que usan la red. A partir de ahí empieza a crear servicios en windows con una descripción que empieza por New.......

Si lo dejas seguir, en mi caso desactiva windows por haber hecho un "cambio de hardware" y daña archivos esenciales como el regedit.exe, etc...

Después de pasar varios antivirus, detectores de rootkit y demás, lo tuve que limpiar a mano porqué los ultimos updates de todas estas aplicaciones ni lo detectaban. Con los ultimos updates en todos.

El unico que encontró algo de mierda residente en cache del JAVA fué el malware bytes y el kaspersky. Pero con eso solo no se mata del todo al virus puesto que se regenera.

Hay que eliminar el directorio que crea en C:\windows, que se llama $NTUninstallKB_y_un_numero_aleatorio, por ejemplo $NTUninstallKB93234$.

Para eliminarlo (desde modo prueba fallos SIN RED) primero debemos dar permisos de acceso así :

cacls $NTUninstallKB93234$ /T /G Todos:f

Ahora debemos quitarle el atributo de oculto:

attrib $NTUninstallKB93234$ -s -h -r

Ahora quitamos el link simbólico a system32:

fsutil reparsepoint delete $NTUninstallKB93234$

Luego nos cepillamos el directorio sin pasar por la papelera con MAYS + DEL.

OJO, corre por ahí una utilidad llamada ELISIREF que está siendo detectada como malware y que su autor QUIERE COBRAR por ella, pues cuando la quieres bajar te obliga a poner un num de movil para cobrarte un SMS de 2 euros y pico.

Cuidadin con este virus que es chunguillo si se te cuela. Yo en mi ordenador con el KIS 2012 me detecto un ataque pero se lo cepillo al vuelo y no se me ha infectado (a parte de tener los updates de windows al día, claro).

Para eliminarlo:

Si tenéis otro pc, bajar todo lo necesario desde ese y pasarlo todo con un usb (este virus no infecta el usb).

Malware bytes --> Instalar en modo prueba de fallos con red y ejecutarlo. Actualizar la BD, cerrar el programa y reiniciar en modo prueba fallos SIN RED. Ejecutar de nuevo y escanear con escaneo normal, no el rápido.

En mi caso infecto el antivirus de microsoft y lo suplantó, así que el antivirus era el virus :D Para ello me he cepillado los servicios referentes al msse con el comando sc delete "nombredeservicioquenomeacuerdo". Después me he cepillado todos los directorios referentes a el y como el regedit.exe está dañado (no se soluciona con el KB de microsoft del start regedit.com OJO) cccleaner para eliminar las entradas malas del registro. TODO en modo prueba de fallos SIN RED. Ojo si lo hacéis con RED.

Saludos!

PD: Espero que pueda ayudar a alguien esto.

Enlace al comentario
Compartir en otros sitios web

Pues si

Mi cuñado con el virus de la policia, mas o menos facil de elimiar en el registro y del arranque pero muuuuy pesado, despues, karpwsky de prueba y limpio como la patena

En el mio...FORMATEO, troyanos a mansalva a raiz de la entrada de uno y....como tengo 2 copis de seguridad y una imagen del pc, 10 minutos y arreglado, asi no estoy hasta las 5 como cybdani, jejejej

Enlace al comentario
Compartir en otros sitios web

Si, pero como no es mi pc, pues de las copias no me encargo yo, así que no había imagen....

Aquí unas capturas para que veáis como se lo come el msse :D<p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/Sirefef_infeccion1.JPG.abb38d9bae36069a8f4148c394786306.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3779" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/Sirefef_infeccion1.JPG.abb38d9bae36069a8f4148c394786306.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p><p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_infeccion2.JPG.e65ed0e83a809bee42c8eebb154aa6a3.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3780" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_infeccion2.JPG.e65ed0e83a809bee42c8eebb154aa6a3.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p><p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/ParaCompletarLimpieza.JPG.b90704c4d327b0d3b4aa92a05449e32a.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3781" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/ParaCompletarLimpieza.JPG.b90704c4d327b0d3b4aa92a05449e32a.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p><p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_propagandose.JPG.1de29ae89cba40746b0ae1e95c48f1db.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3782" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_propagandose.JPG.1de29ae89cba40746b0ae1e95c48f1db.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p>

Sirefef_infeccion1.thumb.JPG.807f84e2ce2

sirefef_infeccion2.thumb.JPG.ef889a2d99c

ParaCompletarLimpieza.thumb.JPG.f9252b8d

sirefef_propagandose.thumb.JPG.825f654e6

Enlace al comentario
Compartir en otros sitios web

Pues desde hace 6 años vengo usando las Internet Security Suite de Norton y (toco madera) no he visto nada así en esos 6 años...

Con la 2012 actualmente (y con todos los ordenadores con Windows 7 Original y NIS totalmente actualizado), no recuerdo lo que era pelearse con un virus... como mucho, alguna vez le he tenido que dar a "aceptar" para que termine de hacerlo el NIS :D :D

Saludos.

Enlace al comentario
Compartir en otros sitios web

Pues yo hace años que uso el Nod 32(ahora version 5.0.95.0) y el Spybot Search & Destroy, y la verdad que nunca he tenido problemas con el ordenador.

Pero claro, yo no miro warradas en internet :D:D:D

Jajajajaja...... Ya, ya....... :D :D :D

Ahora en serio. Yo llevo muchos muchos años con kaspersky y 0 virus en mis ordenadores. Pero otras opciones son perfectamente válidas. Lo que está claro es que la opción en SO Microsoft hoy en día no es tener solo un antivirus y al firewall de windows.

Hay que tener un sandbox activado por si acaso y usarlo con aplicaciones que queramos probar y no sepamos si pueden dañar el sistema, prevención (que no detección) de intrusiones y un firewall medianamente decente donde crear tus propias reglas. Esto todo junto con un Antivirus dan más protección. Y los updates de Windows es lo primero.

Saludos!

Enlace al comentario
Compartir en otros sitios web

Yo con el kis ningun problema. Joset, instalate el malware bytes, actualizalo sin arrancar el programa, entra en modo prueba de fallos y pasalo en escaneo rapido. Igual tienes algo.

El norton se traga bastante malware...

Saludos!

Limpio como una patena.

A mi el NIS jamás me ha dado problema alguno... probablemente no es el más barato (aunque las renovaciones me dan licencia para 3 pc's al precio de renovación para uno y eso me viene genial para los 3 ordenadores de casa), pero en rendimiento nunca he notado nada negativo y desde que lo uso, virus y malware cero.

Saludos.

Enlace al comentario
Compartir en otros sitios web

Limpio como una patena.

A mi el NIS jamás me ha dado problema alguno... probablemente no es el más barato (aunque las renovaciones me dan licencia para 3 pc's al precio de renovación para uno y eso me viene genial para los 3 ordenadores de casa), pero en rendimiento nunca he notado nada negativo y desde que lo uso, virus y malware cero.

Saludos.

Ok. Es que el virus de la policía se lo tragaba el norton antivirus y al llevar el "mismo motor" que el nis por eso te lo decía.

Salut!

Enlace al comentario
Compartir en otros sitios web

El NOD 5 lo detecta y elimina. Aquí la página de ESET

 http://eset.es/index.php/rss/336-ranking-de-deteccion-de-malware-de-eset-en-febrero

Es una variante del Win32/Kryptik.PGF Este ya se integró en el motor del NOD 5 en 20 de junio de 2011, según la relación de inclusiones. Ver aquí

http://www.eset.eu/podpora/aktualizacia-6223?lng=en

Como curiosidad, ved el artículo de hispase.

http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html

Si alguien tiene alguna vez una duda sobre un fichero que recibe, o incluso una página web, desde este servicio lo puede comproba, fiabilidad total.

https://www.virustotal.com/es/

Enlace al comentario
Compartir en otros sitios web

Unirse a la conversación

Puedes publicar ahora y registrarte más tarde. Si tienes una cuenta, conecta ahora para publicar con tu cuenta.

Guest
Responder a esta discusión...

×   Pegar como texto enriquecido.   Pegar como texto sin formato

  Sólo se permiten 75 emoji.

×   Tu enlace se ha incrustado automáticamente..   Mostrar como un enlace en su lugar

×   Se ha restaurado el contenido anterior.   Limpiar editor

×   No se pueden pegar imágenes directamente. Carga o inserta imágenes desde la URL.

  • Explorando recientemente   0 miembros

    • No hay usuarios registrados viendo esta página.