1. El documento proporciona pasos detallados para eliminar manualmente el virus Win32/Conficker de un sistema infectado, incluyendo detener servicios, eliminar tareas programadas, instalar actualizaciones, editar el Registro y eliminar archivos maliciosos. 2. Entre los pasos se incluyen detener el servicio del servidor, eliminar entradas del Registro asociadas con el malware, y borrar archivos DLL y Autorun.inf sospechosos. 3. Finalmente, el documento recomienda habilitar servicios y defender,

1. Pasos para eliminar el virus Win32/Conficker de forma manual
Dependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible que
el virus no haya cambiado algunos de los valores referidos en esta sección.
Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del
sistema:
1. Inicie sesión en el sistema con una cuenta local.
Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio.
2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos
compartidos del administrador e impedirá que el malware se propague mediante este
método.
Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft
Management Console (MMC). Para ello, siga estos pasos:
a. En función del sistema que utilice, realice lo siguiente:
 En Windows Vista y Windows Server 2008, haga clic en Inicio,
escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic
en services.msc en la lista Programas.
 En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio,
después en Ejecutar, escribaservices.msc y, a continuación, haga clic
en Aceptar.
b. Haga doble clic en Servidor.
c. Haga clic en Detener.
d. Seleccione Deshabilitado en el cuadro Tipo de inicio.
e. Haga clic en Aplicar.
Elimine todas las tareas programadas creadas mediante AT. Para ello,
escriba AT/Delete/Yes en el símbolo del sistema.
Detenga el servicio Programador de tareas.
o Para detener el servicio Programador de tareas en Windows 2000, Windows XP y
Windows Server 2003, utilice el complemento Servicios de Microsoft Management
Console (MMC) o la utilidad SC.exe.
o Para detener el servicio Programador de tareas en Windows Vista o Windows Server
2008, siga estos pasos.
Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067).
Restablezca cualquier contraseña de administrador de dominio y de administrador local
para usar una nueva contraseña segura.
En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost
En el panel de detalles, haga clic con el botón secundario del mouse en la
entrada netsvcs y, a continuación, haga clic en Modificar.
Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicio
aleatorio.
Anote el nombre del servicio de malware. Necesitará esta información más adelante durante
este proceso.
Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un
avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a
continuación, haga clic en Aceptar.

2. En un procedimiento anterior, había anotado el nombre del servicio de malware. En este
ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, siga
estos pasos:
. En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela,
donde BadServiceName es el nombre del servicio de malware:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBadServiceNam
e
Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIaslogon
a. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel
de exploración del nombre del servicio de malware y, a continuación, haga clic
en Permisos.
b. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones
avanzadas.
c. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activar
las siguientes casillas de verificación:
Heredar del objeto primario las entradas de permiso que se aplican a los objetos
secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita..
Reemplazar las entradas de permisos en todos los objetos secundarios con
aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios.
Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar
el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos:
. Haga doble clic en la entrada "ServiceDll".
a. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta
información más adelante durante este proceso. Por ejemplo, la ruta de acceso al
archivo DLL en cuestión puede parecerse a la siguiente:
%SystemRoot%System32doieuln.dll
Cambie el nombre de la referencia para que sea similar a:
%SystemRoot%System32doieuln.old
b. Haga clic en Aceptar.
Elimine la entrada del servicio de malware de la subclave Run del Registro.
. En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
a. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que
haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado
en el paso 12b. Elimine la entrada.
b. Cierre el Editor del Registro y reinicie el equipo.
Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para
abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf
válido. Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB).
Elimine cualquier archivo Autorun.inf que no parezca válido.
Reinicie el equipo.

3. Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo del
sistema:
reg.exe add
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHid
denSHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para
ello, siga estos pasos:
. Haga clic en Herramientas y, a continuación, en Opciones de carpeta.
a. Haga clic en la pestaña Ver.
b. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos.
c. Haga clic en Aceptar.
Seleccione el archivo .dll.
Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos
pasos:
. Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, haga
clic en Propiedades.
a. Haga clic en la pestaña Seguridad.
b. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en
la columna Permitir.
c. Haga clic en Aceptar.
Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo
%systemroot%System32doieuln.dll.
Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones
automáticas y Windows Defender mediante el complemento Servicios de Microsoft
Management Console (MMC).
Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección.
Para ello, siga estos pasos:
. En función del sistema que utilice, instale una de las siguientes actualizaciones:
 Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale
la actualización 967715. Para obtener más información, haga clic en el número
de artículo siguiente para verlo en Microsoft Knowledge Base:
967715 Cómo deshabilitar la funcionalidad de la ejecución automática en
Windows
 Si está ejecutando Windows Vista o Windows Server 2008, instale la
actualización 950582. Para obtener más información, haga clic en el número de
artículo siguiente para verlo en Microsoft Knowledge Base:
950582 MS08-038: Una vulnerabilidad en el Explorador de Windows podría
permitir la ejecución remota de código
a. Nota La actualización 967715 y la actualización de seguridad 950582 no están
relacionadas con este problema de malware. Estas actualizaciones deben instalarse
para habilitar la función del Registro en el paso 23b.
b. Escriba el siguiente comando en el símbolo del sistema:
reg.exe add
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer/v
NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f
Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático
de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:

4. reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v "Windows
Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%Windows DefenderMSASCui.exe –
hide"/f
En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración
global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para
restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema:
netsh interface tcp set global autotuning=normal
Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de
nuevo, es posible que se cumpla una de las siguientes condiciones:
No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se ha
eliminado el trabajo de AT o un archivo Autorun.inf.
La actualización de seguridad de MS08-067 no se ha instalado correctamente.