Modifica las entradas de registro para desactivar varios servicios del sistema. Esta acción impide el uso de casi todas las funciones del sistema.
Este malware infecta archivos sobrescribiendo el código del punto de entrada y guardándolo en el cuerpo del virus. A continuación anexa el cuerpo del virus al archivo host.
Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Identificar y terminar los archivos detectados como PE_SALITY.ER
[ Saber mais ]
[ De volta ]
- Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecución. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuestión aquí.
- Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
- Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuación.
Para terminar el proceso de malware/grayware/spyware:
- Explore el equipo con su producto de Trend Micro y anote el nombre del malware/grayware/spyware detectado.
- Abra el Administrador de tareas de Windows.
• Para usuarios de Windows 98 y ME, pulse
CTRL+ALT+SUPR
. • Para usuarios de Windows NT, 2000, XP y Server 2003, pulse
CTRL+MAYÚS+ESC y, a continuación, haga clic en la pestaña Procesos. - En la lista de programas en ejecución, busque el archivo de malware/grayware/spyware detectado anteriormente.
- Seleccione los archivos detectados y, a continuación, pulse el botón Finalizar tarea o Terminar proceso, según cuál sea la versión de Windows que use.
- Proceda del mismo modo con el resto de archivos de malware/grayware/spyware detectados en la lista de programas en ejecución.
- Para confirmar que el proceso de malware/grayware/spyware ha terminado, cierre el Administrador de tareas y vuelva a abrirlo.
- Cierre el Administrador de tareas.
Step 3
Restaurar este valor del Registro modificado
[ Saber mais ]
[ De volta ]
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: Hidden = 2
To: Hidden = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
- From: Start = 4
To: Start = 2
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- From: Start = 4
To: Start = 2
Para restaurar el valor del Registro que este malware/grayware/spyware ha modificado:
- Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
- En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced - En el panel derecho, busque este valor del Registro:
Hidden = 2 - Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
Hidden = 1 - En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess - En el panel derecho, busque este valor del Registro:
Start = 4 - Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
Start = 2 - En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>wscsvc - En el panel derecho, busque este valor del Registro:
Start = 4 - Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
Start = 2 - Cierre el Editor del Registro.
Step 4
Eliminar esta clave del Registro
[ Saber mais ]
[ De volta ]
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software
Para eliminar las claves del Registro que este malware/grayware/spyware ha creado:
- Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
- En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software - También en el panel izquierdo, busque y elimine la clave:
Afukx - Cierre el Editor del Registro.
Step 5
Eliminar este valor del Registro
[ Saber mais ]
[ De volta ]
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- AntiVirusDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirewallDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- {malware path and file name} = {malware path and file name}:*:Enabled:ipsec
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %WINDOWS%\Explorer.EXE = %WINDOWS%\Explorer.EXE:*:Enabled:ipsec
Para eliminar el valor del Registro que este malware/grayware/spyware ha creado:
- Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
- En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings - En el panel derecho, busque y elimine la entrada:
GlobalUserOffline = 0 - En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center - En el panel derecho, busque y elimine la entrada:
AntiVirusOverride = 1 - En el panel derecho, busque y elimine la entrada:
AntiVirusDisableNotify = 1 - En el panel derecho, busque y elimine la entrada:
FirewallDisableNotify = 1 - En el panel derecho, busque y elimine la entrada:
FirewallOverride = 1 - En el panel derecho, busque y elimine la entrada:
UpdatesDisableNotify = 1 - En el panel derecho, busque y elimine la entrada:
UacDisableNotify = 1 - En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center>Svc - En el panel derecho, busque y elimine la entrada:
AntiVirusOverride = 1 - En el panel derecho, busque y elimine la entrada:
AntiVirusDisableNotify = 1 - En el panel derecho, busque y elimine la entrada:
FirewallDisableNotify = 1 - En el panel derecho, busque y elimine la entrada:
FirewallOverride = 1 - En el panel derecho, busque y elimine la entrada:
UpdatesDisableNotify = 1 - En el panel derecho, busque y elimine la entrada:
UacDisableNotify = 1 - En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>system - En el panel derecho, busque y elimine la entrada:
EnableLUA = 0 - En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile - En el panel derecho, busque y elimine la entrada:
EnableFirewall = 0 - En el panel derecho, busque y elimine la entrada:
DoNotAllowExceptions = 0 - En el panel derecho, busque y elimine la entrada:
DisableNotifications = 1 - En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile>AuthorizedApplications>List - En el panel derecho, busque y elimine la entrada:
{malware path and file name} = {malware path and file name}:*:Enabled:ipsec - En el panel derecho, busque y elimine la entrada:
%WINDOWS%\Explorer.EXE = %WINDOWS%\Explorer.EXE:*:Enabled:ipsec - Cierre el Editor del Registro.
Step 6
Buscar y eliminar los archivos de AUTORUN.INF creados por PE_SALITY.ER que contienen las siguientes cadenas
[ Saber mais ]
[ De volta ]
;{garbage characters}
[AutoRun]
;{garbage characters}
shell\explore\command = {random}.exe/cmd/pif
;{garbage characters}
open = {random file name}.exe
;{garbage characters}
shell\open\command = {random}.exe/cmd/pif
shell\open\default = 1
;{garbage characters}
shell\autoplay\command = {random}.exe/cmd/pif
;{garbage characters}
Para identificar y eliminar los archivos de AUTORUN.INF creados:
- Haga clic con el botón derecho en el botón Inicio y elija Buscar....
- En el cuadro de entrada Nombre, escriba:
AUTORUN.INF - En la lista desplegable Buscar en:, seleccione una unidad y pulse Intro.
- Seleccione el archivo y ábralo con el Bloc de notas.
- Compruebe si el archivo contiene las siguientes líneas:
;{garbage characters}
[AutoRun]
;{garbage characters}
shell\explore\command = {random}.exe/cmd/pif
;{garbage characters}
open = {random file name}.exe
;{garbage characters}
shell\open\command = {random}.exe/cmd/pif
shell\open\default = 1
;{garbage characters}
shell\autoplay\command = {random}.exe/cmd/pif
;{garbage characters}
- Si estas líneas existen, elimine el archivo.
- Repita los pasos 3 a 6 con el resto de archivos de AUTORUN.INF en las demás unidades extraíbles.
- Cierre Resultado de la búsqueda.
Step 7
Eliminar estas líneas de SYSTEM.INI
[ Saber mais ]
[ De volta ]
- [MCIDRV_VER]
- DEVICEMB={random numbers}
Para eliminar las entradas añadidas en SYSTEM.INI:
- Abra el archivo del sistema SYSTEM.INI. Para ello, haga clic en Inicio>Ejecutar. En el cuadro de entrada Abrir, escriba SYSTEM.INI y, a continuación, pulse Intro. De esta forma, el archivo .INI se debe abrir en el editor de texto predeterminado, que en los sistemas Windows suele ser el Bloc de notas de Microsoft.
- En la sección [boot], busque la línea que comienza del siguiente modo:
Shell=Explorer.exe - En la misma línea, elimine la ruta de acceso y el nombre de archivo del malware/grayware/spyware:
- [MCIDRV_VER]
- DEVICEMB={random numbers}
- Cierre el archivo SYSTEM.INI y haga clic en Sí cuando se le pida que guarde.
Step 8
Explorar el equipo con su producto de Trend Micro para limpiar los archivos detectados como PE_SALITY.ER En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Step 9
Restaurar archivos a partir de una copia de seguridad Solo se pueden restaurar los archivos relacionados con Microsoft. En caso de que este malware/grayware/spyware también haya eliminado archivos relativos a programas que no sean de Microsoft, vuelva a instalar los programas en cuestión en el equipo.
Participe da nossa pesquisa!