Hola amigos el fin de semana pasado, navegando por la red y sin venir a cuento se me metió un virus-estafa muy chulo el cual se presenta como un mensaje en la pantalla que te pide 100 euritos amenazandote con borrar todo si en 24 horas no se los mandas vía UKASH, el mensaje viene a decir "SU ORDENADOR HA SIDO BLOQUEADO porla distribución de los materiales de caracter considerado pornografico...blablabla..." y un contador hacia atrás que marca las horas minutos y segundos que van consumiendose, adjunto una foto que encontré en una pagina del susodicho mensaje:
Al principio me asusté dije coñe estoy distribuyendo pornografía a menores y yo sin enterarme, pero después de analizar mas a fondo el texto que parece escrito por un analfabeto y de recordar que desde este ordenador portatil NUNCA he visto pornografía (si si en serio), entonces me olió raro, lo primero que hice fué alt+ctrl+supr pero el administrador de tareas se mostraba una decima de segundo volviendo a desaparecer, apagué y encendí el ordenata y ahí seguía el contador inquebrantable, enfin y en resumidas cuentas voy a dar información recopilada de otra pagina:
-Ha aparecido este verano y KASPERSKY actualizado al menos hasta hace una semana y demás antivirus no son capaces de encontrarlo.
-El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw.
-El troyano se ejecuta en el comienzo de cada sesión gracias a la clave creada en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
1. No permitía abrir el taskmanager (si pulsabas Ctrl+Alt+Supr como un loco podías llegar a verlo como en un parpadeo, lo que me llevó a sacar unas fotos continuas hasta que capturé algunos de los procesos que estaban funcionando en ese momento, los investigué todos y ninguna hacía referencia al virus)
2. No permitía arrancar en modo seguro, ni con funciones de red ni con símbolo del sistema. Daba un error en pantalla azul (no se daba visto el error) y se reiniciaba.
3. No permitía recuperar el sistema.
4. La única combinación de teclas que funcionaba era Tecla Win + L (pero en mi caso al solo tener un usuario no me sirvió de nada)
5. Pasé el Kaspersky actualizado a 20 de agosto, el Dr. Web y todos los Spyware y antivirus que traía el Hires 14.0 pero ninguno localizó el troyano en cuestión.
6. El ataque se produjo o al menos se activó cuando estaba visitando un listado de imágenes en google en concreto al pinchar en una imagen de un sintetizador Moog.
7. Al acceder a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell del registro del windows infectado, aparecía Explorer.exe con lo cual entiendo que lo cambiaba al arrancar en ese momento.
8. Al acceder al msconfig del windows infectado no aparecía ningún proceso desconocido en el inicio del sistema (es probable que sustituyese a alguno ya existente?)
9. El troyano bloqueaba el movimiento del ratón, limitándolo únicamente a la parte de la pantalla que tenía un formulario para introducir el pago y el botón de aceptar.
Al final lo que hice yo, dado que solo uso este portatil para 4 tonterias y no tengo nada importante en él fué adelantarme a su amenaza y eliminar yo mismo todo formateando volviendo a poner el S.O.
Si alguien sabe alguna solución "FACIL" o "RAPIDA" sería de agradecer que la compartiese.
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
Un saludo a todos y gracias a
Falvan por la foto e info de los puntos 1-9
![[bye]](/images/smilies/nuevos2/adio.gif "adios")
![[carcajad]](/images/smilies/nuevos/risa_ani2.gif "carcajada")
pero por lo que leí se pueden salvar los datos pero encontrar el virus ya es otro cantar.