Nuevo virus informático que pide pago de dinero

[funki]

Me imagino que la mayoria de gente ya sabe lo que hay que hacer en estos casos, pero por si sirve de algo, aqui lo dejo.

Yo conozco un par que les salió esto y estaban cagados, .

http://dtecn.com/virus-informatico-pago-euros/[/HTML]

Salu2.

[cybdani]

Pues mira que casualidad. Llevo toda la tarde limpiando el sirefef...

Este virus te desactiva windows jejejeje.

El kaspersky ni lo deja entrar pero una vez dentro empieza a instalar drivers y a cargarse todo

[funki]

A saber por donde te metes

[Invitado pidexo]

Gracias funkeiro

[cybdani]

No es en mi ordenador. Es similar al virus que dices.

Empieza a instalar drivers y servicios hasta que instala un driver que hace cambiar la cofiguración de hardware del sistema y windows lo detecta y te salta el mensaje de que tienes que volver a activar windows

Aun lo estoy limpiando del pc de la mujer

He pasado: combofix, kaspersky rescue cd (desde usb) rkill, malwarebytes y ahora estoy terminando el escaneo con el emsisoft emergency kit. Sin estos pasos no se borra jajajajajja que mamon el tio este que lo ha programado.

Una vez limpio hay que restablecer las ethernet con netsh, restaurar sistema para recupera la clave de windows y luego instalar un buen antivirus jajajajjaja

Como el kaspersky, que a mi no se me ha colado

Saludos!

[cybdani]

He estado hasta las 5 de la mañana eliminando el virus. Lo más rápido hubiese sido formatear pero no me daba la gana y lo tenía que eliminar.

OJO! Es una variante nueva del sirafef. Esto se mete como un rootkit y puede llegar a sustituir y falsificar el antivirus, depende de cual sea.

Por ejemplo en este ordenador en concreto teniamos el Microsoft Security Essentials (una kk vamos, pero mejor que tener un antivirus crackeado).

El rootkit se metió como una variante nueva y el msse ni lo olió. Cuando se actualizó empezó a detectar archivos infectados pero no los podía limpiar, evidentemente.

Este virus, al igual que los demás de su familia, crea un enlace simbólico al directorio C:\windows\system32\config y ese enlace (que no lo es realmente) es un directorio oculto y sin permisos para el administrador del equipo. Este es el primer paso, pero después empieza a instalar drivers y primero daña el IPSEC.SYS, archivo importantísimo para muchas aplicaciones que usan la red. A partir de ahí empieza a crear servicios en windows con una descripción que empieza por New.......

Si lo dejas seguir, en mi caso desactiva windows por haber hecho un "cambio de hardware" y daña archivos esenciales como el regedit.exe, etc...

Después de pasar varios antivirus, detectores de rootkit y demás, lo tuve que limpiar a mano porqué los ultimos updates de todas estas aplicaciones ni lo detectaban. Con los ultimos updates en todos.

El unico que encontró algo de mierda residente en cache del JAVA fué el malware bytes y el kaspersky. Pero con eso solo no se mata del todo al virus puesto que se regenera.

Hay que eliminar el directorio que crea en C:\windows, que se llama $NTUninstallKB_y_un_numero_aleatorio, por ejemplo $NTUninstallKB93234$.

Para eliminarlo (desde modo prueba fallos SIN RED) primero debemos dar permisos de acceso así :

cacls $NTUninstallKB93234$ /T /G Todos:f

Ahora debemos quitarle el atributo de oculto:

attrib $NTUninstallKB93234$ -s -h -r

Ahora quitamos el link simbólico a system32:

fsutil reparsepoint delete $NTUninstallKB93234$

Luego nos cepillamos el directorio sin pasar por la papelera con MAYS + DEL.

OJO, corre por ahí una utilidad llamada ELISIREF que está siendo detectada como malware y que su autor QUIERE COBRAR por ella, pues cuando la quieres bajar te obliga a poner un num de movil para cobrarte un SMS de 2 euros y pico.

Cuidadin con este virus que es chunguillo si se te cuela. Yo en mi ordenador con el KIS 2012 me detecto un ataque pero se lo cepillo al vuelo y no se me ha infectado (a parte de tener los updates de windows al día, claro).

Para eliminarlo:

Si tenéis otro pc, bajar todo lo necesario desde ese y pasarlo todo con un usb (este virus no infecta el usb).

Malware bytes --> Instalar en modo prueba de fallos con red y ejecutarlo. Actualizar la BD, cerrar el programa y reiniciar en modo prueba fallos SIN RED. Ejecutar de nuevo y escanear con escaneo normal, no el rápido.

En mi caso infecto el antivirus de microsoft y lo suplantó, así que el antivirus era el virus Para ello me he cepillado los servicios referentes al msse con el comando sc delete "nombredeservicioquenomeacuerdo". Después me he cepillado todos los directorios referentes a el y como el regedit.exe está dañado (no se soluciona con el KB de microsoft del start regedit.com OJO) cccleaner para eliminar las entradas malas del registro. TODO en modo prueba de fallos SIN RED. Ojo si lo hacéis con RED.

Saludos!

PD: Espero que pueda ayudar a alguien esto.

[funki]

Gracias por la informacion Cybdani. Menudo curro te has pegado, macho.

[amartinezpipo]

Jopé, aunque muchas de las palabras me suenen a chino, muchas gracias a los dos por la info!

[CLF]

Pues si

Mi cuñado con el virus de la policia, mas o menos facil de elimiar en el registro y del arranque pero muuuuy pesado, despues, karpwsky de prueba y limpio como la patena

En el mio...FORMATEO, troyanos a mansalva a raiz de la entrada de uno y....como tengo 2 copis de seguridad y una imagen del pc, 10 minutos y arreglado, asi no estoy hasta las 5 como cybdani, jejejej

[funki]

Es que a Cybdani, le va la marcha, xDD, le gustan los retos dificiles.

Yo me hago una imagen con el Acronis y en un plis plas, ordenador como nuevo.

[cybdani]

Si, pero como no es mi pc, pues de las copias no me encargo yo, así que no había imagen....

Aquí unas capturas para que veáis como se lo come el msse <p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/Sirefef_infeccion1.JPG.abb38d9bae36069a8f4148c394786306.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3779" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/Sirefef_infeccion1.JPG.abb38d9bae36069a8f4148c394786306.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p><p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_infeccion2.JPG.e65ed0e83a809bee42c8eebb154aa6a3.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3780" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_infeccion2.JPG.e65ed0e83a809bee42c8eebb154aa6a3.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p><p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/ParaCompletarLimpieza.JPG.b90704c4d327b0d3b4aa92a05449e32a.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3781" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/ParaCompletarLimpieza.JPG.b90704c4d327b0d3b4aa92a05449e32a.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p><p><a href="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_propagandose.JPG.1de29ae89cba40746b0ae1e95c48f1db.JPG" class="ipsAttachLink ipsAttachLink_image"><img data-fileid="3782" src="https://www.todoradares.com/foro/uploads/monthly_2012_03/sirefef_propagandose.JPG.1de29ae89cba40746b0ae1e95c48f1db.JPG" class="ipsImage ipsImage_thumbnailed" alt=""></a></p>

[joset]

Pues desde hace 6 años vengo usando las Internet Security Suite de Norton y (toco madera) no he visto nada así en esos 6 años...

Con la 2012 actualmente (y con todos los ordenadores con Windows 7 Original y NIS totalmente actualizado), no recuerdo lo que era pelearse con un virus... como mucho, alguna vez le he tenido que dar a "aceptar" para que termine de hacerlo el NIS :D

Saludos.

[cybdani]

Yo con el kis ningun problema. Joset, instalate el malware bytes, actualizalo sin arrancar el programa, entra en modo prueba de fallos y pasalo en escaneo rapido. Igual tienes algo.

El norton se traga bastante malware...

Saludos!

[Amos]

Muchas gracias compañeros, me acaban de llamar preocupados por el mismo problema

[funki]

Pues yo hace años que uso el Nod 32(ahora version 5.0.95.0) y el Spybot Search & Destroy, y la verdad que nunca he tenido problemas con el ordenador.

Pero claro, yo no miro warradas en internet :D:D

[cybdani]

Pues yo hace años que uso el Nod 32(ahora version 5.0.95.0) y el Spybot Search & Destroy, y la verdad que nunca he tenido problemas con el ordenador.

Pero claro, yo no miro warradas en internet :D:D

Jajajajaja...... Ya, ya....... :D

Ahora en serio. Yo llevo muchos muchos años con kaspersky y 0 virus en mis ordenadores. Pero otras opciones son perfectamente válidas. Lo que está claro es que la opción en SO Microsoft hoy en día no es tener solo un antivirus y al firewall de windows.

Hay que tener un sandbox activado por si acaso y usarlo con aplicaciones que queramos probar y no sepamos si pueden dañar el sistema, prevención (que no detección) de intrusiones y un firewall medianamente decente donde crear tus propias reglas. Esto todo junto con un Antivirus dan más protección. Y los updates de Windows es lo primero.

Saludos!

[CLF]

lo malo es que el kis, "comprarlo" es dificil ya

[cybdani]

El Kis no lo he tenido nunca pirata. Siempre he pagado licencia. Una vez la compras, la renovación sale por la mitad...

[CLF]

El Kis no lo he tenido nunca pirata. Siempre he pagado licencia. Una vez la compras, la renovación sale por la mitad...

quien ha dicho pirata???????:tape2:

[joset]

Yo con el kis ningun problema. Joset, instalate el malware bytes, actualizalo sin arrancar el programa, entra en modo prueba de fallos y pasalo en escaneo rapido. Igual tienes algo.

El norton se traga bastante malware...

Saludos!

Limpio como una patena.

A mi el NIS jamás me ha dado problema alguno... probablemente no es el más barato (aunque las renovaciones me dan licencia para 3 pc's al precio de renovación para uno y eso me viene genial para los 3 ordenadores de casa), pero en rendimiento nunca he notado nada negativo y desde que lo uso, virus y malware cero.

Saludos.

[cybdani]

Limpio como una patena.

A mi el NIS jamás me ha dado problema alguno... probablemente no es el más barato (aunque las renovaciones me dan licencia para 3 pc's al precio de renovación para uno y eso me viene genial para los 3 ordenadores de casa), pero en rendimiento nunca he notado nada negativo y desde que lo uso, virus y malware cero.

Saludos.

Ok. Es que el virus de la policía se lo tragaba el norton antivirus y al llevar el "mismo motor" que el nis por eso te lo decía.

Salut!

[CLF]

Ok. Es que el virus de la policía se lo tragaba el norton antivirus y al llevar el "mismo motor" que el nis por eso te lo decía.

Salut!

El nod32 tambien se lo traga

[Jositoman]

El nod32 tambien se lo traga

Con qué motor? Lo digo porque actualmente hay funcionando 3 motores de NOD. La 2.7 la de "siempre", la 4 y la última la 5.

Tengo que revisar las noticias de hispasec, pero creo que la 5 la detecta.

[cybdani]

El NOD 2,3 y 4 se lo comen seguro por que lo he visto. El NOD 5 no lo se.

Los dos que yo he visto que no se lo tragan son el BitDefender Total Security 2012 y el Kaspersky AV y Internet Security 2012.

Saludos!

[Jositoman]

El NOD 5 lo detecta y elimina. Aquí la página de ESET

 http://eset.es/index.php/rss/336-ranking-de-deteccion-de-malware-de-eset-en-febrero

Es una variante del Win32/Kryptik.PGF Este ya se integró en el motor del NOD 5 en 20 de junio de 2011, según la relación de inclusiones. Ver aquí

http://www.eset.eu/podpora/aktualizacia-6223?lng=en

Como curiosidad, ved el artículo de hispase.

http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html

Si alguien tiene alguna vez una duda sobre un fichero que recibe, o incluso una página web, desde este servicio lo puede comproba, fiabilidad total.

https://www.virustotal.com/es/