Help - Search - Members
Full Version: Ayuda!! No puedo eliminar el virus Kido.ix
Kaspersky Lab Forum > Forum para usuarios hispanohablantes > Virus
Ninatoya78
Por favor necesito ayuda!!!

Mi disco externo está infectado con el virus Net-Worm.Win32.Kido.ix. Kaspersky lo detecta, me pide neutralizar amenazas, luego me marca que es necesario reiniciar el equipo, reinicio pero... ahi sigue el dichoso virus.

¿Qué hago?

Mi sistema operativo es Win XP
Kikesan
Hola,

Has intentado usar la herramienta Kido-Killer de Kaspersky??: http://forum.kaspersky.com/index.php?showtopic=100916
También intenta un escaneo con las opciones de Kaspersky al máximo en modo seguro (otras recomendaciones aquí)

Saludos.
Caos
Hola,

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

Postea toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, postea tu getsysteminfo (gsi)
utilizando mejor la nueva versión que encontraras al final de mi post (en mi firma), postea tu avzlog para revisarlo, etc...) para que te podamos ayudar.

Deberías haber posteado en el foro correcto de virus, si buscas en el foro econtraras varios hilos sobre el kido.

Muevo el hilo al foro correcto.

En concreto: http://forum.kaspersky.com/index.php?showtopic=115112

QUOTE(Caos @ 7.05.2009 07:51) *
Has revisado estos enlaces:
http://kb.kaspersky.es/article/corporate/3100.html
http://www.kaspersky.com/technews?id=203038750
http://support.kaspersky.com/faq?chapter=2...p;qid=208279973

Has instalado todos los parches de Microsoft: MS08-067, MS08-068 y MS09-001.

Has escaneado el disco duro externo, con los commandos de la utilidad Kidokiller
Revisa:
http://support.kaspersky.com/faq?chapter=2...p;qid=208279973
Descarga:
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip

QUOTE
To get additional information about the utility, run KK.exe with an additional parameter –help.
InformationIn a domain network it is important to disinfect in the first place domains and computers with logged users from the groups "Administrators" and "Domain Admins" in the domain. Otherwise disinfection will be pointless – all PCs within the domain will keep getting infected every 15 minutes.

Switches to manage the utility KK.exe from the command prompt:

Switch Description
-p <scan path>
scan a defined folder
-f
scan hard disks, scan portable hard disks
-n
scan network disks
-r
scan removable drives
-y
end program without pressing any key
-s
silent mode (without a black window)
-l <file name>
write info into a log
-v
extended log maintenance (the switch -v works only if the -l switch is entered in the command prompt)
-z
restore the services
* Background Intelligent Transfer Service (BITS),
* Windows Automatic Update Service (wuauserv),
* Error Reporting Service (ERSvc/WerSvc

restore display of hidden system files
-a
disable auto start from all drives
-m
mode to monitor threads, tasks, services
-j
restore the registry branch SafeBoot (if the registry branch is deleted, computer cannot boot in safe mode)
-help
show additional information about the utility

For example, in order to scan a flash-drive and to generate and write a detailed report into a file report.txt (which will be created in the setup folder of the utility KK.exe), use the following command:

KK.exe -r -y -l report.txt -v


Saludos


Saludos
Ninatoya78
Muchas gracias por contestarme. Te cuento:

Intenté instalar los parches que me dijiste, pero me dice que no se puede completar porque el lenguaje no es compatible, hice la captura y te la adjunto. Ejecuté el gsi y el AVZ. El virus sigue en el mismo disco externo.

Al momento de ejecutar el KK y tratar de poner cualquiera de las opciones que maneja, no me deja y se cierra la ventana. Luego segui leyendo y vi eso de la COnsola y ponerle -y para que no se cierre la ventana con cualquier tecla... pero la verdad no lo encontré. El KK termina de analizar pero la unidad C está limpia y el disco externo sigue igual.

Te adjunto lo que te menciono.

Tengo Kaspersky Internet Security 2009 version 8.0.0.454
Ninatoya78
y el AVZ
Gracias!!
Caos
Te estas descargando la versión del parche en ingles, y tu S.O. estara en español, tienes que bajarte los parches en el idioma correspondiente.

Postea imagen de las detecciones mas clara, para poder ver la ruta completa, y ver si con un script lo podemos eliminar.

Que línea de comandos empleas, porque tienes que seleccionar la letra del disco duro externo o memoria usb para que la utilidad la escanee y elimine.

Saludos
RadarpSP
QUOTE(Ninatoya78 @ 15.05.2009 09:31) *
Muchas gracias por contestarme. Te cuento:

Intenté instalar los parches que me dijiste, pero me dice que no se puede completar porque el lenguaje no es compatible, hice la captura y te la adjunto. Ejecuté el gsi y el AVZ. El virus sigue en el mismo disco externo.

Al momento de ejecutar el KK y tratar de poner cualquiera de las opciones que maneja, no me deja y se cierra la ventana. Luego segui leyendo y vi eso de la COnsola y ponerle -y para que no se cierre la ventana con cualquier tecla... pero la verdad no lo encontré. El KK termina de analizar pero la unidad C está limpia y el disco externo sigue igual.

Te adjunto lo que te menciono.

Tengo Kaspersky Internet Security 2009 version 8.0.0.454

Kaspersky te dice que para limpiar ese virus necesita reiniciar el equipo.
Si no lo elimina mandame el fichero autorun.inf del disco F (comprimelo)
Ninatoya78
¡¡Hola de nuevo!!

Ya pude descargar los parches en español y están instalados. ¿Ahora qué hago?

Respecto a lo de la línea de comando.... no estoy muy segura de cómo hacerlo, leí las herramientas que contiene el KK pero cuando lo ejecuto y termina el proceso, dice que pulse cualquier tecla para terminar, pongo la "y" pero se cierra. Leí algo de que en una consola se puede hacer la modificación para que el script no se termine pero no supe dónde encontrarlo y cómo hacerlo.

Te reenvío la ventana de Kaspersky con el informe, si, me dice que lo desinfecta y que al reiniciar lo eliminará... pero reinicio y el mismo proceso.

icon20.gif

Muchas gracias por tu ayuda. rolleyes.gif
Ninatoya78
(RadarpSP @ 15.05.2009 04:25) *
Kaspersky te dice que para limpiar ese virus necesita reiniciar el equipo.
Si no lo elimina mandame el fichero autorun.inf del disco F (comprimelo)


Hoola gracias por tu interés, pero no sé cómo hacer esooo, lo intenté pero no me lo permite, me dice que está protegido y no sé qué más... ¿de qué otra forma puedo hacer la compresión?
icon20.gif
Caos
QUOTE(Ninatoya78 @ 15.05.2009 16:59) *
Hoola gracias por tu interés, pero no sé cómo hacer esooo, lo intenté pero no me lo permite, me dice que está protegido y no sé qué más... ¿de qué otra forma puedo hacer la compresión?
icon20.gif


En la unidad F, ves dicho fichero autorun.inf?

Si lo ves selecciona dicho fichero, y con winrar instalado, comprime el fichero, dicho fichero puedes subirlo a un servidor de ficheros http://www.rapidshare.com y envia el enlace de descarga a RadarpSP y a mi por mensaje privado.

Sino lo ves, abre el winrar y vete a f: desde el winrar lo deberías ver, seleccionas el fichero lo comprimes, etc...

Saludos
Caos
QUOTE(Ninatoya78 @ 15.05.2009 16:57) *
¡¡Hola de nuevo!!

Ya pude descargar los parches en español y están instalados. ¿Ahora qué hago?

Respecto a lo de la línea de comando.... no estoy muy segura de cómo hacerlo, leí las herramientas que contiene el KK pero cuando lo ejecuto y termina el proceso, dice que pulse cualquier tecla para terminar, pongo la "y" pero se cierra. Leí algo de que en una consola se puede hacer la modificación para que el script no se termine pero no supe dónde encontrarlo y cómo hacerlo.

Te reenvío la ventana de Kaspersky con el informe, si, me dice que lo desinfecta y que al reiniciar lo eliminará... pero reinicio y el mismo proceso.

icon20.gif

Muchas gracias por tu ayuda. rolleyes.gif


La unidad f es un disco duro externo, una memoria usb?

Coloca la utilidad Kidokiller en tu carpeta C:\Documents and Settings\Administrador (donde Administrador es tu nombre de usuario en windows).
Ve a inicio> ejecutar > cmd > introduce este comando:
CODE
KK.exe -p f:\ -r -y -l report.txt -v
Ninatoya78
(Caos @ 15.05.2009 10:15) *
En la unidad F, ves dicho fichero autorun.inf?

Si lo ves selecciona dicho fichero, y con winrar instalado, comprime el fichero, dicho fichero puedes subirlo a un servidor de ficheros http://www.rapidshare.com y envia el enlace de descarga a RadarpSP y a mi por mensaje privado.

Sino lo ves, abre el winrar y vete a f: desde el winrar lo deberías ver, seleccionas el fichero lo comprimes, etc...

Saludos



Pues bien.... lo intento pero no me deja comprimir... adjunto las pantallas de lo que me dice... ay Dioooosss pero qué liiiiiiooooooooooooooooo quiero llorar!!!!!!
Caos
Revisa mi post anterior, ejecuta el comando, y dime que te detecta. Sube al foro el fichero report.txt para revisarlo.
Recuerda que el disco f: tiene que estar conectado al equipo.

Te recomiendo que desinstales el Eset online scanner:

Software potencialmente incompatible
QUOTE
Programas instalados [1]

=> ESET Online Scanner

Registro

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\*\Contains\Files [9]
=> Nombre del archivo onlinescannerlang.dll ( find it!) - OnlineScanner Language Library
=> Nombre del archivo onlinescanneruninstaller.exe ( find it!) - OnlineScannerUninstaller
=> Nombre del archivo lnod32umc.dll ( find it!) - N/A
=> Nombre del archivo lnod32upd.dll ( find it!) - N/A
=> Nombre del archivo lnod32apiw.dll ( find it!) - N/A
=> Nombre del archivo lnod32apia.dll ( find it!) - N/A
=> Nombre del archivo onlinescannerdllw.dll ( find it!) - OnlineScanner Dynamic Link Library
=> Nombre del archivo onlinescannerdlla.dll ( find it!) - OnlineScanner Dynamic Link Library
=> Nombre del archivo onlinescanner.ocx ( find it!) - ESET OnlineScanner


Y que actualices los drivers de tus tarjetas de red:
QUOTE
Controladores para actualizar
Periféricos

=> Intel® PRO/Wireless 3945ABG Network Connection Nueva actualización disponible
Versión actual: 10010-13 Driver -> [ Nueva 11.5.0.0 WHQL AQUI ]
Disponible para Windows XP

=> Intel® PRO/100 VE Network Connection Nueva actualización disponible
Versión actual: 8.0.21.0 -> [ Nueva 13.4 WHQL AQUI ]
Disponible para Windows XP
Caos
Ejecuta este script para eliminar el autorunf

CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\RECYCLER\.......\jwgkvsq.vmx,'');
DeleteFile('F:\RECYCLER\.......\jwgkvsq.vmx');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



Tienes que modificar en el script, estas dos lineas:

CODE
QuarantineFile('F:\RECYCLER\.......\jwgkvsq.vmx,'');
DeleteFile('F:\RECYCLER\.......\jwgkvsq.vmx');


Donde "F:\RECYCLER\.......\jwgkvsq.vmx" es la ruta completa del fichero que te detecta Kaspersky. Copialo directamente de Kaspersky.

Te recomiendo que revises las vulnerabilidades que te ha encontrado kaspersky y que actualices los programas que sea necesario, sigue las indicaciones de los enlaces que te aparecen de cada vulnerabilidad.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2014 Invision Power Services, Inc.