Virus Desconocido

Para evitar reinfecciones te sugiero que hagas lo siguiente:

1. Si tu SO es XP SP2 o SP3 (si es SP1, omite el paso. Si no es XP, omite el paso), tienes que descargar y aplicar el parche KB950582 de aquí: Detalles de la descarga: Actualización para Windows XP (KB950582)

Cuando lo instales, marca la casilla para NO REINICIAR de momento el equipo y luego le das a FINALIZAR.

2. Inicio EJEUTAR, GPEDIT.MSC y le das a ENTER. (Si tu SO es XP HOME EDITION, esto no funcionará. GPEDIT no está disponible en este sistema. Mira los posts siguientes a este para ver como solventar esto en un XP HOME EDITION).

En el panel de la izquierda, bajo CONFIGURACIÓN DEL EQUIPO, expande PLANTILLAS ADMINISTRATIVAS y luego expande SISTEMA.

En el panel de la derecha, busca DESACTIVAR REPRODUCCIÓN AUTOMÁTICA y le haces doble click.

Se abre una ventana. Selecciona HABILITADA con su botón de radio para activar esa directiva. Después del desplegable que sale, lo expandes y seleccionas TODAS LAS UNIDADES. Al acabar pulsa sobre ACEPTAR para guardar los cambios y cierra GPEDIT.

3. Reinicia el equipo para completar la instalación del parche del paso 1.

4. Listo, a funcionar.

​

¿Qué hace todo esto?

Pues desactiva la reproducción automática (AUTORUN) de CD's y PENDRIVES.

(Que yo sepa no se puede desactivar sólo PENDRIVES sin desactivar CD's/DVD's).

Cuando introducimos un CD/DVD o un PENDRIVE, Windows busca el fichero AUTORUN.INF en su interior para saber qué comandos tiene que ejecutar automáticamente. Por eso al meter un CD de un juego o programa, automáticamente sale un menú para instalarlo, etc., porque Windows lee AUTORUN.INF (un fichero que debe cumplir estándares de Microsoft) y ejecuta los comandos de su interior.

El problema viene con los virus.

Muchos virus aprovechan el fichero AUTORUN.INF para infectar los pens.

Crean un fichero AUTORUN.INF falso con comandos de ejecución al propio virus.

Entonces lo que hace el virus es meter un fichero *.EXE dentro del PEN y meter un AUTORUN.INF que llama a ese EXE cuando se le hace doble click al PEN. Evidentemente, ese .EXE no es más que una copia del propio virus o un fichero creado por él, que está infectado con otro virus.

Por eso muchas veces, con un PEN infectado, al hacerle doble click en MI PC, éste no se abre, porque Windows ejecuta lo que hay dentro del AUTORUN en vez de abrir la ventana que muestra lo que hay dentro.

Los PENDRIVE tienen un tratamiento diferente sobre el AUTORUN que los CD's, pero esto no lo voy a explicar que ya es muy complejo (no se autoejecuta lo que tiene su AUTORUN.INF al pincharlo, sólo se ejecuta al darle doble click al PEN en MI PC, algo que sin embargo sigue siendo áltamente crítico y peligroso, porque el usuario tarde o temprano, le hará al PEN doble click en MI PC para ver su contenido, grabar datos, etc., con lo que resultará infectado por el virus. Aparte de eso también hay otras cosas que no comentaré para no extenderme). Con entender lo que puse arriba, es suficiente.

Además los virus estos que se propagan por los pens y que están tan de moda ahora, suelen establecer el AUTORUN.INF y el EXE que meten dentro en modo OCULTO para no ser visible al explorar el contenido del pen. Si activamos mostrar archivos ocultos y desmarcamos casilla de ocultar archivos de sistema en opciones de carpeta de Windows, podremos verlos. (Son dos opciones, una la de mostrar archivos ocultos y la otra es la casilla de ocultar archivos protegidos por el sistema operativo, que suele estar más abajo de la primera y que hay que desmarcar para ver todos los ficheros, los ocultos y los de sistema, ya que depende del archivo, puede tener atributo OCULTO o atributo de SISTEMA. De ese modo veremos los ficheros con cualquiera de los dos atributos. Aparecerán en el explorer con un tono gris claro, indicando que son archivos con atributo oculto o de sistema).

El paso número 1 hay que aplicarlo a XP SP2 o SP3 porque desde SP2 hay un bug mediante el cuál, haciendo el paso número 2, la reproducción automática no se desactiva correctamente.

En XP SP1, con hacer el paso número 2, era suficiente, pero en el SP2 o 3 hay que instalar el parche porque si no, debido a un bug, el paso número 2 no funcionará correctamente (desactivará el AUTORUN a la inserción [el que se ejecuta al insertar CD/DVD sin tocar nada], pero no desactivará el AUTORUN en doble click [al hacer doble click en la unidad, dentro de MI PC, para ver su contenido]).

Ahora al meter un CD/DVD o hacerle doble click a un PEN, ya no se ejecutará automáticamente (no se lee AUTORUN.INF, por lo tanto no se llevarán las acciones programadas en él), sino que se abre el contenido del PEN o del CD y puedes ver los archivos que hay sin más, sin ejecutar nada. Aunque esté infectado no ejecuta nada, por lo cuál no te infectas "sin querer" (la única manera de infectarse sería ejecutando manualmente el EXE que haya dentro y que tú no hayas puesto ahí ni sepas de donde viene, vamos, siendo tonto y dándole doble click al ejecutable del VIRUS. Esto es complicado que suceda [el darle doble click a ese fichero], más que nada porque suele estar con atributo oculto o de sistema y Windows por defecto no muestra ficheros ocultos o de sistema, así que simplemente, aunque esté infectado, no se verá el EXE dentro, aunque estar esté).

De ese modo ya no tienes que tener miedo, a menos que abras el pen y luego seas tan torpe de darle doble click a un EXE que tú no pusiste ahí y que probablemente sea el virus, como dije en el párrafo anterior.

Incluso así, se pueden desinfectar fácilmente sin antivirus. Si tienes activado lo de mostrar archivos ocultos y de sistema (como dije antes, son dos opciones), y ves un AUTORUN.INF y un EXE por ahí o una carpeta con un EXE dentro que tú no pusiste... (que al estar oculta ya es todavía más sospechosa), entonces será virus. Se seleccionan (con cuidado de no EJECUTAR con doble click), se eliminan y listo, pen limpio hasta que lo vuelvas a enchufar en una máquina infectada.

Y toda esta mierda ocurre porque a Microsoft a veces da asco con las cosas que hace. Todo para tontos pero lleno de virus...

Por defecto no debería venir activado el AUTORUN en los PENDRIVES.

En la documentación TECHNET de Microsoft, se afirma que por defecto viene sólo activado para unidades de CDROM/DVDROM. Que para dispositivos extraíbles no está activado, pero me da a mi que esa información está errónea.

​

Preguntas:

P: He desactivado el AUTORUN como aquí pone, pero ahora meto un CD y como no se ejecuta automáticamente, pues no sé como iniciar el instalador o programa que lleva dentro.

R: Fácil solución. Abre MI PC, entra dentro de la unidad del CD/DVD con doble click y busca el fichero AUTORUN.INF. Hazle doble click y se abrirá con el bloc de notas. Verás una serie de comandos dentro. Busca el que pone "OPEN = blabalbla" (sin comillas) dónde blabalbla será el nombre (y a veces, también incluye la ruta) del programa que antes se ejecutaba automáticamente al meterlo. Fíjate bien ahí y mira qué ejecutable es y dónde está ubicado, que lo pone bien claro después del signo "=" a la derecha de OPEN. Busca ese ejecutable y hazle doble click. Obtendrás el mismo resultado que antes cuando tenías activado el AUTORUN y metías el CD (y se ejecutaba automáticamente).

Además, normalmente todos o casi todos los CD/DVD, suelen tener un fichero SETUP.EXE en raíz que inicia el programa de instalación del mismo. Si no es el caso o no se está seguro, pues hay que mirar dentro del AUTORUN.INF para ver que ejecuta y hacerlo nosotros a mano con doble click.

Parece complicado pero no lo es con un poco de práctica.

Por ejemplo metemos un CD y no sabemos que tenemos que ejecutar, entramos dentro de él, buscamos el fichero AUTORUN.INF (que siempre estará en raíz del disco) y lo abrimos con doble click. Entonces veremos algo como esto:

CODE, HTML o PHP Insertado:

[autorun]
[B]open=[COLOR=Red][U]Autorun.exe[/U][/COLOR][/B]
Icon=godfather.exe
Name=The Godfather The Game

[Special]
Disk=1
ProductGuiID={1D2CF076-A63F-41A5-00A1-5924FADFAD9D}

Cómo véis en este ejemplo, dentro de AUTORUN.INF, lo que he marcado en ROJO es el ejecutable que tenemos que buscar y ejecutar.

Está en raíz del CD porque no tiene ninguna ruta delante.

En este caso, el fichero AUTORUN.EXE es el fichero que se ejecuta automáticamente al meter el CD, así que es el que nosotros debemos buscar y ejecutar con doble click.


​

Espero que haya quedado bastante claro después de todo este tocho y palizón que me he pegado. Dejar claro que esto no es copy&paste de Internet, mi rato me ha costado escribirlo y ojalá sea de ayuda a muchos para evitar la lacra de las infecciones a través de los pendrives, aparte de desactivar el molesto autorun al meter un CD/DVD, que a mi por ejemplo, no me gusta nada que se abran ventanas sólas al meter un CD/DVD cuando estoy trabajando en otra cosa. Prefiero abrirlo yo a mano, al estilo de "la vieja escuela".

-------------------------------------------------------------------------------------------------------
​

--- © Mini-tutorial by SPTR ---
(Si este manual se copia a otra parte, pedir permiso y luego citar a su autor)

-------------------------------------------------------------------------------------------------------

​

 

Juer, SPTR, ese post es digno de ARCHIVO :xray:... lo voy a hacer esta noche en las dos máquinas SP3 que tengo en casa.

De hecho, hace poco mi señora pinchó un pen infectado, y por suerte el Avast pilló el bicho. Pero con este remedio, mucho mejor.

Además, a mí me irrita sobremanera que los CD's echen a andar solos, porque a veces sólo quiero copiar o ver el contenido y tengo que andar cancelando.

 

Hola.

Me alegro que te sirva de ayuda.

Yo es algo que estoy empezando a hacer en todos los PCs que instalo y visito de vez en cuando.

Voy a dejarlo ahí un rato o subir a chincheta y luego lo copiaré al archivo.

 

NINGUNO de esos.

Siempre original (o copia de seguridad de original).

 

Hola.

Como bien dices, con XP HOME EDITION no está disponible GPEDIT.MSC.

Pero no importa, se puede hacer importando este código directamente al registro (que es lo que hace GPEDIT.MSC en segundo plano cuando aplica la directiva):

1. Para ello, crea un archivo nuevo con el BLOC DE NOTAS que contenga este código:​

CODE, HTML o PHP Insertado:

[B]Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=dword:00000001
"NoDriveTypeAutoRun"=dword:000000ff[/B]

2. Salva el fichero con el nombre que quieras pero con extension .REG. Asegurate de la extensión. No sirve .REG.TXT, debe ser .REG a secas.

3. Una vez salvado como tal, cierra bloc de notas y ejecuta el REG haciéndole doble click.

4. Contesta SÍ a la pregunta de importar datos al registro. Acepta todo y listo.

5. Reinicia el equipo y comprueba que el AUTORUN se ha desactivado (por ejemplo metiendo un CD original que antes se ejecuta sólo y comprobando que ahora no lo hace ni al meterlo ni al hacerle doble click en MI PC).

​

Por cierto. El link que propones es parecido a lo que yo pongo aquí, pero el valor del registro que aparece en ese truco, deshabilita sólo los CDROM y no todo como el código que yo he puesto aquí.