SlideShare una empresa de Scribd logo

Pasos para eliminar el virus conficker

Miriam Estrada
Miriam Estrada
1 de 4
Pasos para eliminar el virus Win32/Conficker de forma manual Dependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta sección. Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema: 1. Inicie sesión en el sistema con una cuenta local. Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio. 2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos compartidos del administrador e impedirá que el malware se propague mediante este método. Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos: a. En función del sistema que utilice, realice lo siguiente:  En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.  En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, después en Ejecutar, escribaservices.msc y, a continuación, haga clic en Aceptar. b. Haga doble clic en Servidor. c. Haga clic en Detener. d. Seleccione Deshabilitado en el cuadro Tipo de inicio. e. Haga clic en Aplicar. Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el símbolo del sistema. Detenga el servicio Programador de tareas. o Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe. o Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos. Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067). Restablezca cualquier contraseña de administrador de dominio y de administrador local para usar una nueva contraseña segura. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost En el panel de detalles, haga clic con el botón secundario del mouse en la entrada netsvcs y, a continuación, haga clic en Modificar. Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicio aleatorio. Anote el nombre del servicio de malware. Necesitará esta información más adelante durante este proceso. Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a continuación, haga clic en Aceptar.
En un procedimiento anterior, había anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, siga estos pasos: . En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela, donde BadServiceName es el nombre del servicio de malware: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBadServiceNam e Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIaslogon a. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel de exploración del nombre del servicio de malware y, a continuación, haga clic en Permisos. b. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas. c. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activar las siguientes casillas de verificación: Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita.. Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios. Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos: . Haga doble clic en la entrada "ServiceDll". a. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta información más adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestión puede parecerse a la siguiente: %SystemRoot%System32doieuln.dll Cambie el nombre de la referencia para que sea similar a: %SystemRoot%System32doieuln.old b. Haga clic en Aceptar. Elimine la entrada del servicio de malware de la subclave Run del Registro. . En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun a. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada. b. Cierre el Editor del Registro y reinicie el equipo. Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf válido. Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB). Elimine cualquier archivo Autorun.inf que no parezca válido. Reinicie el equipo.
Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo del sistema: reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHid denSHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos: . Haga clic en Herramientas y, a continuación, en Opciones de carpeta. a. Haga clic en la pestaña Ver. b. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos. c. Haga clic en Aceptar. Seleccione el archivo .dll. Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos: . Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, haga clic en Propiedades. a. Haga clic en la pestaña Seguridad. b. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en la columna Permitir. c. Haga clic en Aceptar. Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%System32doieuln.dll. Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automáticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC). Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección. Para ello, siga estos pasos: . En función del sistema que utilice, instale una de las siguientes actualizaciones:  Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 967715. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 967715 Cómo deshabilitar la funcionalidad de la ejecución automática en Windows  Si está ejecutando Windows Vista o Windows Server 2008, instale la actualización 950582. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 950582 MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código a. Nota La actualización 967715 y la actualización de seguridad 950582 no están relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la función del Registro en el paso 23b. b. Escriba el siguiente comando en el símbolo del sistema: reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%Windows DefenderMSASCui.exe – hide"/f En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema: netsh interface tcp set global autotuning=normal Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones: No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf. La actualización de seguridad de MS08-067 no se ha instalado correctamente.

Recomendados

今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)
今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)
今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)Takeshi Yoshida
 
Application de gestion d’hotels avec odoo
Application de gestion d’hotels avec odooApplication de gestion d’hotels avec odoo
Application de gestion d’hotels avec odooZana Dramane COULIBALY
 
Alphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm
 
Using The EGit Eclipse Plugin With Git Hub
Using The EGit Eclipse Plugin With Git HubUsing The EGit Eclipse Plugin With Git Hub
Using The EGit Eclipse Plugin With Git HubLoiane Groner
 
Fast Cordova applications
Fast Cordova applicationsFast Cordova applications
Fast Cordova applicationsIvano Malavolta
 
Creating Mobile Apps With PHP & Symfony2
Creating Mobile Apps With PHP & Symfony2Creating Mobile Apps With PHP & Symfony2
Creating Mobile Apps With PHP & Symfony2Pablo Godel
 
Introduction to SEO
Introduction to SEOIntroduction to SEO
Introduction to SEORand Fishkin
 
Formateo de windows 95
Formateo de windows 95Formateo de windows 95
Formateo de windows 95pablo del cid
 

Recomendados

今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)
今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)
今日から始める LotusScript - Domino クラスライブラリの使い方(Version 1.1)Takeshi Yoshida
 
Application de gestion d’hotels avec odoo
Application de gestion d’hotels avec odooApplication de gestion d’hotels avec odoo
Application de gestion d’hotels avec odooZana Dramane COULIBALY
 
Alphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm
 
Using The EGit Eclipse Plugin With Git Hub
Using The EGit Eclipse Plugin With Git HubUsing The EGit Eclipse Plugin With Git Hub
Using The EGit Eclipse Plugin With Git HubLoiane Groner
 
Fast Cordova applications
Fast Cordova applicationsFast Cordova applications
Fast Cordova applicationsIvano Malavolta
 
Creating Mobile Apps With PHP & Symfony2
Creating Mobile Apps With PHP & Symfony2Creating Mobile Apps With PHP & Symfony2
Creating Mobile Apps With PHP & Symfony2Pablo Godel
 
Introduction to SEO
Introduction to SEOIntroduction to SEO
Introduction to SEORand Fishkin
 
Formateo de windows 95
Formateo de windows 95Formateo de windows 95
Formateo de windows 95pablo del cid
 
A2 pasos para la_instalacion_de_a2_herramie
A2 pasos para la_instalacion_de_a2_herramieA2 pasos para la_instalacion_de_a2_herramie
A2 pasos para la_instalacion_de_a2_herramieRafael Pineda
 
ATAQUE TROYANO
ATAQUE TROYANOATAQUE TROYANO
ATAQUE TROYANOOsvald Camacho Hernández
 
Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...
Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...
Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...Factory Soft - Software ERP para la Nube Latinoamericano
 
Michelle jovel y mafer perez 7 c
Michelle jovel y mafer perez 7 cMichelle jovel y mafer perez 7 c
Michelle jovel y mafer perez 7 cFernandaGavidia
 
Proyecto miguel
Proyecto miguelProyecto miguel
Proyecto miguelGerstephi
 
Formateo de windows 95
Formateo de windows 95Formateo de windows 95
Formateo de windows 95abner perez
 
Formateo windows 95
Formateo windows 95 Formateo windows 95
Formateo windows 95 pavelgdz
 
Registro de windows
Registro de windowsRegistro de windows
Registro de windowsSPDUQUE
 
Presentacion powepoint
Presentacion powepointPresentacion powepoint
Presentacion powepointvictoriavaliente
 
Presentacion powepoint
Presentacion powepointPresentacion powepoint
Presentacion powepointvictoriavaliente
 
Panel de contro1
Panel de contro1Panel de contro1
Panel de contro1cris45
 
Infeccion por troyano optix pro
Infeccion por troyano optix proInfeccion por troyano optix pro
Infeccion por troyano optix proSonia Eraso
 
Guia instalacion pctools
Guia instalacion pctoolsGuia instalacion pctools
Guia instalacion pctoolssabrosisima
 
Actualizacion automatica
Actualizacion automaticaActualizacion automatica
Actualizacion automaticadora-relax
 
Actualizacion automatica
Actualizacion automaticaActualizacion automatica
Actualizacion automaticadora-relax
 
Driver max
Driver max Driver max
Driver max Ana Montesinos
 
Actividad 4
Actividad 4Actividad 4
Actividad 4Cristian Fory
 
Actividad 4
Actividad 4Actividad 4
Actividad 4Manu Diaz
 
Manual de uso del paquete Profit Plus
Manual de uso del paquete Profit PlusManual de uso del paquete Profit Plus
Manual de uso del paquete Profit PlusMilenyZambrano
 
Parte 3
Parte 3Parte 3
Parte 3GiboDaMel
 
Cntroladores
CntroladoresCntroladores
CntroladoresMiriam Estrada
 
Soporte y mantenimiento de equipo de computo
Soporte y mantenimiento de equipo de computoSoporte y mantenimiento de equipo de computo
Soporte y mantenimiento de equipo de computoMiriam Estrada
 

Más contenido relacionado

Similar a Pasos para eliminar el virus conficker

A2 pasos para la_instalacion_de_a2_herramie
A2 pasos para la_instalacion_de_a2_herramieA2 pasos para la_instalacion_de_a2_herramie
A2 pasos para la_instalacion_de_a2_herramieRafael Pineda
 
Michelle jovel y mafer perez 7 c
Michelle jovel y mafer perez 7 cMichelle jovel y mafer perez 7 c
Michelle jovel y mafer perez 7 cFernandaGavidia
 
Proyecto miguel
Proyecto miguelProyecto miguel
Proyecto miguelGerstephi
 
Formateo de windows 95
Formateo de windows 95Formateo de windows 95
Formateo de windows 95abner perez
 
Formateo windows 95
Formateo windows 95 Formateo windows 95
Formateo windows 95 pavelgdz
 
Registro de windows
Registro de windowsRegistro de windows
Registro de windowsSPDUQUE
 
Panel de contro1
Panel de contro1Panel de contro1
Panel de contro1cris45
 
Infeccion por troyano optix pro
Infeccion por troyano optix proInfeccion por troyano optix pro
Infeccion por troyano optix proSonia Eraso
 
Guia instalacion pctools
Guia instalacion pctoolsGuia instalacion pctools
Guia instalacion pctoolssabrosisima
 
Actualizacion automatica
Actualizacion automaticaActualizacion automatica
Actualizacion automaticadora-relax
 
Actualizacion automatica
Actualizacion automaticaActualizacion automatica
Actualizacion automaticadora-relax
 
Manual de uso del paquete Profit Plus
Manual de uso del paquete Profit PlusManual de uso del paquete Profit Plus
Manual de uso del paquete Profit PlusMilenyZambrano
 

Similar a Pasos para eliminar el virus conficker (20)

A2 pasos para la_instalacion_de_a2_herramie
A2 pasos para la_instalacion_de_a2_herramieA2 pasos para la_instalacion_de_a2_herramie
A2 pasos para la_instalacion_de_a2_herramie
 
ATAQUE TROYANO
ATAQUE TROYANOATAQUE TROYANO
ATAQUE TROYANO
 
Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...
Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...
Manual de Elaboración de Reportes Web en eFactory Software ERP/CRM con VB.NET...
 
Michelle jovel y mafer perez 7 c
Michelle jovel y mafer perez 7 cMichelle jovel y mafer perez 7 c
Michelle jovel y mafer perez 7 c
 
Proyecto miguel
Proyecto miguelProyecto miguel
Proyecto miguel
 
Formateo de windows 95
Formateo de windows 95Formateo de windows 95
Formateo de windows 95
 
Formateo windows 95
Formateo windows 95 Formateo windows 95
Formateo windows 95
 
Registro de windows
Registro de windowsRegistro de windows
Registro de windows
 
Presentacion powepoint
Presentacion powepointPresentacion powepoint
Presentacion powepoint
 
Presentacion powepoint
Presentacion powepointPresentacion powepoint
Presentacion powepoint
 
Panel de contro1
Panel de contro1Panel de contro1
Panel de contro1
 
Infeccion por troyano optix pro
Infeccion por troyano optix proInfeccion por troyano optix pro
Infeccion por troyano optix pro
 
Guia instalacion pctools
Guia instalacion pctoolsGuia instalacion pctools
Guia instalacion pctools
 
Actualizacion automatica
Actualizacion automaticaActualizacion automatica
Actualizacion automatica
 
Actualizacion automatica
Actualizacion automaticaActualizacion automatica
Actualizacion automatica
 
Driver max
Driver max Driver max
Driver max
 
Actividad 4
Actividad 4Actividad 4
Actividad 4
 
Actividad 4
Actividad 4Actividad 4
Actividad 4
 
Manual de uso del paquete Profit Plus
Manual de uso del paquete Profit PlusManual de uso del paquete Profit Plus
Manual de uso del paquete Profit Plus
 
Parte 3
Parte 3Parte 3
Parte 3
 

Más de Miriam Estrada

Soporte y mantenimiento de equipo de computo
Soporte y mantenimiento de equipo de computoSoporte y mantenimiento de equipo de computo
Soporte y mantenimiento de equipo de computoMiriam Estrada
 
M3 2 introducción a itil
M3 2 introducción a itilM3 2 introducción a itil
M3 2 introducción a itilMiriam Estrada
 
Centro de bachillerato tecnológico y de servicios no.
Centro de bachillerato tecnológico y de servicios no.Centro de bachillerato tecnológico y de servicios no.
Centro de bachillerato tecnológico y de servicios no.Miriam Estrada
 

Más de Miriam Estrada (20)

Cntroladores
CntroladoresCntroladores
Cntroladores
 
Soporte y mantenimiento de equipo de computo
Soporte y mantenimiento de equipo de computoSoporte y mantenimiento de equipo de computo
Soporte y mantenimiento de equipo de computo
 
M3 2 introducción a itil
M3 2 introducción a itilM3 2 introducción a itil
M3 2 introducción a itil
 
Redes
RedesRedes
Redes
 
Diagrama de flujo
Diagrama de flujoDiagrama de flujo
Diagrama de flujo
 
Centro de bachillerato tecnológico y de servicios no.
Centro de bachillerato tecnológico y de servicios no.Centro de bachillerato tecnológico y de servicios no.
Centro de bachillerato tecnológico y de servicios no.
 
Practica 14
Practica 14Practica 14
Practica 14
 
Practica13
Practica13Practica13
Practica13
 
Practica12
Practica12Practica12
Practica12
 
Mac (2)
Mac (2)Mac (2)
Mac (2)
 
Linux versiones
Linux versionesLinux versiones
Linux versiones
 
Mac (2)
Mac (2)Mac (2)
Mac (2)
 
Historia de la pc
Historia de la pcHistoria de la pc
Historia de la pc
 
Practica 10
Practica 10Practica 10
Practica 10
 
Practica 8
Practica 8Practica 8
Practica 8
 
Practica 7
Practica 7Practica 7
Practica 7
 
Practica 9
Practica 9Practica 9
Practica 9
 
Practica5
Practica5Practica5
Practica5
 
Practica 4
Practica 4Practica 4
Practica 4
 
Practica5
Practica5Practica5
Practica5
 

Pasos para eliminar el virus conficker

  • 1. Pasos para eliminar el virus Win32/Conficker de forma manual Dependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta sección. Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema: 1. Inicie sesión en el sistema con una cuenta local. Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio. 2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos compartidos del administrador e impedirá que el malware se propague mediante este método. Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos: a. En función del sistema que utilice, realice lo siguiente:  En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.  En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, después en Ejecutar, escribaservices.msc y, a continuación, haga clic en Aceptar. b. Haga doble clic en Servidor. c. Haga clic en Detener. d. Seleccione Deshabilitado en el cuadro Tipo de inicio. e. Haga clic en Aplicar. Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el símbolo del sistema. Detenga el servicio Programador de tareas. o Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe. o Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos. Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067). Restablezca cualquier contraseña de administrador de dominio y de administrador local para usar una nueva contraseña segura. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost En el panel de detalles, haga clic con el botón secundario del mouse en la entrada netsvcs y, a continuación, haga clic en Modificar. Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicio aleatorio. Anote el nombre del servicio de malware. Necesitará esta información más adelante durante este proceso. Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a continuación, haga clic en Aceptar.
  • 2. En un procedimiento anterior, había anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, siga estos pasos: . En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela, donde BadServiceName es el nombre del servicio de malware: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBadServiceNam e Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIaslogon a. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel de exploración del nombre del servicio de malware y, a continuación, haga clic en Permisos. b. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas. c. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activar las siguientes casillas de verificación: Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita.. Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios. Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos: . Haga doble clic en la entrada "ServiceDll". a. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta información más adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestión puede parecerse a la siguiente: %SystemRoot%System32doieuln.dll Cambie el nombre de la referencia para que sea similar a: %SystemRoot%System32doieuln.old b. Haga clic en Aceptar. Elimine la entrada del servicio de malware de la subclave Run del Registro. . En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun a. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada. b. Cierre el Editor del Registro y reinicie el equipo. Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf válido. Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB). Elimine cualquier archivo Autorun.inf que no parezca válido. Reinicie el equipo.
  • 3. Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo del sistema: reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHid denSHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos: . Haga clic en Herramientas y, a continuación, en Opciones de carpeta. a. Haga clic en la pestaña Ver. b. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos. c. Haga clic en Aceptar. Seleccione el archivo .dll. Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos: . Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, haga clic en Propiedades. a. Haga clic en la pestaña Seguridad. b. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en la columna Permitir. c. Haga clic en Aceptar. Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%System32doieuln.dll. Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automáticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC). Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección. Para ello, siga estos pasos: . En función del sistema que utilice, instale una de las siguientes actualizaciones:  Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 967715. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 967715 Cómo deshabilitar la funcionalidad de la ejecución automática en Windows  Si está ejecutando Windows Vista o Windows Server 2008, instale la actualización 950582. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 950582 MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código a. Nota La actualización 967715 y la actualización de seguridad 950582 no están relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la función del Registro en el paso 23b. b. Escriba el siguiente comando en el símbolo del sistema: reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
  • 4. reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%Windows DefenderMSASCui.exe – hide"/f En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema: netsh interface tcp set global autotuning=normal Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones: No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf. La actualización de seguridad de MS08-067 no se ha instalado correctamente.