¿uh? si no tengo ninguna línea de comando abierta.
Lanzo el Administrador de Tareas y veo multipleas instancias de cmd.exe y un proceso iexplore.exe
Raro, porque yo uso Firefox.
Al intentar ejecutar "regedit" desde Inicio->Ejecutar se reiniciaba el Explorador.
Uf, mala pinta.
Pruebo a ejecutar "regedit" desde el administrador de tareas y también se muere.
Uf, mal rollito seguro.
Tengo gran aprecio al Process Explorer y desde ahí ya puedo lanzar con éxito a regedit.
Nos vamos a
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\RunY lo que canta bastante (porque no me suena de nada) es "ld09.exe"
Google nos da una página en blanco para LD09.exe
http://www.prevx.com/filenames/X1867469537856748618-X1/LD09.EXE.htmlPero la versión en la caché sí es más interesante:
http://209.85.229.132/search?q=cache:L30I0qUVx80J:www.prevx.com/filenames/X1867469537856748618-X1/LD09.EXE.html+ld09&cd=3&hl=es&ct=clnk&gl=es&client=firefox-aEs un informe muy exhaustivo de lo que hace el virus éste.
Pone lo que hace, pero no cómo quitarlo, ya que la misma página aprovecha para venderte su antivirus.
Me entra la duda ¿serán ellos los autores del virus? A ver si su antivirus es otro virus peor ...
Bueno, en cualquiera caso la descripción de lo que hace me permite deshacer bastante:
Borré
c:\windows\ld09.exe
c:\program files\podmena\podmena.sys
c:\program files\podmena\podmena.dllFuí al Panel de Control, y desde el Firewall de Windows, quité al accesso a podmena.
Borré la entrada "ld09.exe" del registro
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run\Y borre las ramas del registro
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\podmena
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\drv_podmenaCruzamos dedos (lo más fácil al tocar el registro con tanta inconsciencia es que no arranque) y reiniciamos.
Bueno, superamos el arranque. Aunque seguimos con múltiples cmd.exe e iexplore.exe
Hala, a mirar con más atención a
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\RunAjá: hay un "C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe" y no tiene mucho sentido que el ayudante de conexión a internet se ejecute en cada arranque.
Pues nada, borramos a "C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe"
y quitamos su entrada de "icwsetup.exe" del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run\Y reiniciamos. Pues que si quieres arroz, Catalina.
¡El muy cuco! (usaría otra expresión, pero al crear el blog marqué la casilla de contenido apto para todos públicos).
Resulta que ha vuelto a poner a "C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe" como estaba.
Otro intento, cogemos a "notepad.exe" y lo copiamos con otro nombre, casualmente "C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe"
Y reiniciamos. Je, je, esta vez sale una bonita ventana de "notepad" al arrancar, y no tenemos ya a los múltiples cmd.exe.
Bueno, aunque el PC sigue malito, ya tenemos controlada la infección.
Otro día toca erradicarla.
me atraen siempre los temas de virus, de echo he estado con fiebre el fin de semana.
ResponderEliminarpregunta:
que tal restaurar el registro?
sabes donde ha cogido el virus tu ordenador? u ordenadora ;-) ?
de hecho ;)
ResponderEliminarAh, pues sí: volver a un punto de restauración anterior parece una solución buena.
ResponderEliminarNo sé dónde, pero creo saber cuándo, por las fechas de los archivos. Y creo saber quién ;-)
impacientes nos tienes...
ResponderEliminarPues sí, usando un punto de recuperación de dos semanas antes se apañó bastante.
ResponderEliminarEl problema fue acertar la fecha, ya que con la primera que probé se volvió a reanimar el virus :-(
En fin, acabé tan harto que puse Ubuntu 9.04 en el portátil, y es lo que uso ahora en un 80% de mis navegaciones.