27 mar. 2009

Elimina el Confiker

Si te da Flojera Hacer lo que esta abajo aqui tienes algunas herramientas de eliminacion del conficker, Herramientas

Descarga Herramienta 1 Limpiador del virus

Descarga Herramienta 2 otro Limpiador

Actualizaciones

F-Downadup Removal Tool (si no te deja usar el antivirus descarga este)

Microsoft MSRT, windows-kb890830-v2.6.exe

F-Secure, F-Downadup Removal Tool

Symantec, W32.Downadup Removal Tool

Bitdefender, Win32.Worm.Downadup.Gen

Kaspersky, klwk.com utility for virus fighting

Ahora que si quieres hacerlo manual abajo esta escrito como hacerlo

Si su equipo está infectado con este gusano, es posible que no experimente síntoma alguno o bien, puede presentarse cualquiera de los siguientes:

  1. Se han desactivado las directivas de bloqueo de cuenta.
  2. Se han deshabilitado las actualizaciones automáticas, los servicios de informe de errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender.
  3. Los controladores de dominio responden con lentitud a las solicitudes del cliente.
  4. La red está saturada.
  5. No se puede obtener acceso a diversos sitios Web relacionados con la seguridad. Para obtener más información acerca del gusano Win32/Conficker.b, visite la siguiente página Web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft):
    mas info
Metodos de propagación

Win32/Conficker.B presenta varios métodos de propagación. Entre los que se incluyen:
La explotación de la vulnerabilidad revisada por la actualización de seguridad 958644 (MS08-067)

El uso de recursos compartidos de red
El uso de la función Reproducción automáticaPor lo tanto, debe tener cuidado al limpiar una red para que la amenaza no vuelva a introducirse en los sistemas que ya se han desinfectado.


Detener la propagación de Conficker mediante la directiva de grupo
loadTOCNode(2, 'summary');


Notas
Este procedimiento no elimina el malware de Conficker del sistema. Con este procedimiento, sólo se evita que dicho malware se propague. Debe usar un antivirus para quitar dicho malware del sistema. También puede seguir los pasos que se indican en la sección "Pasos para eliminar la variante Conficker.b de forma manual" de este artículo de Knowledge Base para quitar el malware del sistema de forma manual.

Lea detenidamente la nota del paso 4 de dicho procedimiento. Cree una directiva nueva que se aplique a todos los equipos pertenecientes a una unidad organizativa (OU) determinada, a un sitio o un dominio, según sea necesario en su entorno. Para ello, siga estos pasos:
Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de registro netsvcs. Para ello, siga estos pasos:

  • Abra la Consola de administración de directivas de grupo (GPMC).
    Cree un objeto nuevo de directiva de grupo (GPO). Asígnele el nombre que desee.
    Abra el nuevo GPO y, a continuación, desplácese a la carpeta siguiente:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro

Haga clic con el botón secundario en Registro y, después, haga clic en Agregar clave.

En el cuadro de diálogo Seleccionar clave de registro, amplíe el Equipo y desplácese hasta la siguiente carpeta:

Software\Microsoft\Windows NT\CurrentVersion\Svchost
Haga clic en Aceptar.

En el cuadro de diálogo que aparece, haga clic en la casilla de verificación Control total para desactivarla tanto para los Administradores como para el Sistema.

Haga clic en Aceptar.

En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
Haga clic en Aceptar.

Establezca la directiva de forma que se eliminen los permisos de escritura en la carpeta %windir%\tareas. De esta forma, se evita que el malware de Conficker cree Tareas programadas que puedan volver a infectar el sistema.
Para ello, siga estos pasos:
En el mismo GPO que ha creado anteriormente, desplácese hasta la siguiente carpeta:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Sistema de archivos

Haga clic con el botón secundario en Sistema de archivos y, a continuación, en Agregar archivo.
En el cuadro de diálogo agregar un archivo o carpeta, desplácese hasta la carpeta %windir%\Tareas. Asegúrese de que Tareas está resaltado y aparece en la Carpeta: cuadro de diálogo.
Haga clic en Aceptar.
En el cuadro de diálogo que se abre, haga clic para desactivar la casillaes para Permiso total, Modificar y Escribir tanto para Administradores y Sistema.

Haga clic en Aceptar.

En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.

Haga clic en Aceptar.
Deshabilite las funciones de Reproducción automática (Ejecución automática). De esta forma, se evita que se propague el malware de Conficker mediante las funciones de Reproducción automáticas de Windows.
Para ello, siga estos pasos:
En el mismo GPO que ha creado anteriormente, desplácese a las siguientes carpetas:

  • Para un dominio de Windows Server 2003 domain, desplácese a la siguiente carpeta:
    Configuración del equipo\Plantillas administrativas\Sistema

  • Para un dominio de Windows 2008, desplácese a la siguiente carpeta:
    Configuración del equipo\Plantillas administrativas\Componentes de Windows\Políticas de reproducción automática
  1. Abra la directiva Desactivar reproducción automática.
  2. En el cuadro de diálogo Desactivar reproducción automática, haga clic en Habilitada.
  3. Haga clic en Todas las unidades en el menú desplegable.

Haga clic en Aceptar.


Deshabilitar la cuenta del administrador local. De esta forma, se impide que el malware de Conficker use ataques de fuerza bruta para la contraseña contraseña contra la cuenta del administrador del sistema. Nota No siga este paso en caso de que vincule el GPO a la OU del controlador del dominio, porque podría desactivar la cuenta del administrador del dominio. SI tiene que hacer eso en los controladores del dominio, cree un GPO independiente que no esté vinculado al GPO de la OU del controlador del dominio y, a continuación, vincule el nuevo GPO independiente a la OU del controlador del dominio.

Para ello, siga estos pasos:

  1. En el mismo GPO que ha creado anteriormente, desplácese hasta la siguiente carpeta:
    Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
  2. Abra Cuentas: estado de la cuenta del administrador.
  3. En el cuadro de diálogo Cuentas: estado de la cuenta del administrador, haga clic en la casilla de verificación Definir esta directiva para seleccionarla.


Haga clic en Deshabilitada.


Haga clic en Aceptar.

  1. Cierre la Consola de administración de directivas de grupo.
  2. Vincule el GPO creado recientemente con la ubicación en la que desee que se aplique.
  3. Deje pasar el tiempo suficiente para que la directiva de grupo se actualice en todos los equipos. Por norma general, el proceso de replicación de esta directiva tarda 5 minutos en replicarse en cada controlador del dominio y 90 minutos en replicarse en el resto del sistema. Un par de horas será suficiente. Sin embargo, es posible que se necesite más tiempo en función del entorno.
  4. Después de que se haya propagado una directiva de grupo, limpie el malware del sistema.
Para ello, siga estos pasos:
Ejecute análisis de antivirus completos en todo el equipo.

No hay comentarios: