martes, 30 de octubre de 2007

Utilidad pública, alerta de virus

Hoy tuve que lidiar desde la mañana con un molestoso programa llamado Disk Knight. Se le pegó a mi pendrive en los laboratorios de Inacap (era que no...) sin que me diera cuenta, así que con el hecho de ver el contenido de mi pendrive aca en la casa, se ejecutó y quedé infectado.

-------------
Actualización: a la fecha que emití este post, Nod32 no estaba detectando Disk Knight.
Actualmente parece detectarlo, al menos algunas de sus versiones.
-------------
No he sabido qué tipo de daños provoca Knight, pero en mi caso (no se si fue producto del virus o de mis intentos de sacarlo) perdi asociación de los archivos ejecutables ( es decir, hacía click en el ícono de MSN Messenger, Winamp o Mozilla Firefox, y me aparecia la ventana "Abrir con"... ) y algunos archivos de sistema (no podia ir a Propiedades del Sistema en Mi PC ni a Agregar o Quitar programas). Si a alguien le sucede algo así (por este virus o por otra causa) revise más abajo que doy una posible solución.

A continuación, un par de datos que pueden ayudar a lidiar con este molesto programa, basados en mi caso y situación ( Windows XP Pro. En otros Win, o XP configurado diferente, las opciones las podrán encontrar igual bajo los mismos nombres o similares, aunque quizás en diferentes lugares, por ejemplo porque ocupo el Menú Inicio en formato clásico. Es cosa de buscar. ) Nótese que la seguridad informática no es mi área. No me interesa si es un virus troyano gusano o lo que sea, lo importante es librarse del programa indeseado.

¿Cómo reconocer la infección?
En la versión con la que yo me topé, al conectar un pendrive infectado e ir a Mi PC, el ícono de la nueva unidad en vez de aparecer como un disco, aparece como un escudo de 4 colores.
El vírus ( Knight.exe ) se sitúa en la carpeta raíz de la pendrive junto con un autorun.inf que lo ejecuta automáticamente en diversas circunstancias, por ejemplo si haces doble click sobre el ícono de la nueva unidad ( pues la acción por defecto es Reproducción Automática ).

Si el PC está infectado, el proceso Knight.exe se autoejecuta al iniciar el sistema, puede vérsele en la pestaña Inicio en Inicio > Ejecutar > MSCONFIG

Recordar que estos archivos están con el atributo ARCHIVO OCULTO, así que a menos que tengas activada la opción adecuada en Windows, no los verás.
¿Cómo puedes hacer que se vean los archivos ocultos en tu PC? Abre una carpeta cualquiera, y anda a Herramientas > Opciones de Carpeta > Ver y selecciona Mostrar todos los archivos y carpetas ocultos.

Según me dijeron, además, el virus falsifica los menú contextuales así que si le das click derecho a la unidad y pones Open / Abrir o Explorar / Explore, también te infectarás.

¿Cómo abrir la unidad sin contagiarse?
Conecta la pendrive, ve a qué letra corresponde la unidad (ejemplo K:) y pon esa letra con dos puntos en la barra de direcciones, o en Inicio>Ejecutar> K:
También puedes entrar por una ventana de explorador de windows (en Mi PC arriba presiona Carpetas, y accede al pendrive desde el Menú de árbol de directorios que aparecerá a la izquierda)

¿Cómo eliminar este bicho?
Primero da un Control + Alt + Suprimir para abrir el Administrador de Tareas de Windows. En la pestaña Procesos busca el Knight.exe y ponle terminar.
Busca en Inicio>Configuración> Panel de Control>Agregar o Quitar Programas uno llamado "Disk Knight" y si está, desinstálalo.
Luego entra a la pendrive (de forma segura como fue descrito más arriba) y borra los archivos autorun.inf y Knight.exe (repito, si no se ven, y estás seguro que estas infectado, lee más arriba sobre Cómo ver los archivos ocultos).
Luego anda a Inicio > Buscar > Archivos o Carpetas
Marcar "Todos los archivos y carpetas"
"Todo o parte del nombre...": KNIGHT.EXE
"Buscar en:" Mi PC
Eso buscará en todos tus discos la presencia de archivos que tengan ese nombre. Si al finalizar la búsqueda, aparecen copias de Knight.exe , bórralas.

Eso debería eliminar el programa y evitar que se le pegue a las pendrives que conectes. Cualquier Anti-Spyware, Anti-Malware y Antivirus que tengas y puedas pasar, nunca estará demás.

"No puedo ejecutar archivos ejecutables exe"
Respecto al problema de no poder ejecutar programas, vi que por ahí recomendaban esta excelente página http://www.kellys-korner-xp.com/xp_tweaks.htm
El link que probablemente les servirá para reparar el problema es el 12. Es una cadena del registro de windows que reestablece las asociaciones de los archivos ejecutables.
http://www.kellys-korner-xp.com/regs_edits/exefix.reg ( Click derecho > Guardar Enlace/Destino como )

14 comentarios:

El Felipe dijo...

ufffff los virus a los pendrives son un cacho la dura!

el otro dia tambien me dio problemas uno pero no me vencí ya casi cuando estaba pensando en el hard reset le corri un programa llamado "mxone 2.7" y me lo soluciono todo, es un antivirus que incluso se instala en el pendrive y cada vez que entra a un nuevo pc le hace un scan!

Ya compadre cuidate y pasate por mi blog uno de estos dias me mando un aporte de tecnologia!

Saludos y suerte Mark

Unknown dijo...

Muchas gracias por la ayuda! Hoy me compre un pendrive NUEVO y venia con este famoso bicho, curioso no??

Por un momento me asuste y ya estaba pensando en formatear pero con la ayuda de este blog, me pude salvar :P, reitero las gracias :D

Saludos

Lordnet dijo...

Hola mark3d, publiqué en mi blog la utilidad antiknight. saludos.

por si alguno de tus amiguis le sirve :P

El Felipe dijo...

querido mark

desde que salimos del colegio estoy estudiando ing civil en computacion e informatica en la universidad central
voy en cuarto y con cada dia mas ganas de salir y ser un ing de una vez por todas pq el estudio igual es harto!

ayer me encontre en san joaquin con el carlitos melelo y fue muy bkn saber que esta muy bien...ojala y uno de estos dias nos topemos por ahi!

un abrazo

Pelao

Anónimo dijo...

el nod32 si me detecto el virus... y la gracia es usar programas como el totalcmd para abrir la pendrive u otro dispositivo pues el virus esta pensado si abres la pendrive desde mi pc y no sabe que hacer si lo abres desde el totalcommander por ejemplo.... desde alli es facil (mas facil que entrar por comandos ) y borrar todo rastro... ademas del *.inf *.exe te falto decir borrar el icono hay gusanos que se cargan por abrir imagenes asi que ojo y susto...

Anónimo dijo...

Estos consejos funeron de mucha utilidad, yo tengo un antivirus llamado SYMANTEC ANTIVIRUS y lo detecto pero no podia eliminarlo pero siguiendo los consejos explicados pudo completar su tareas, muchas gracias.
Saludos, FLAMINIUS

Anónimo dijo...

si, muy bueno estas instrucciones, yo uso AVG y si me detecto y lo borro, lo unico es que cuando le doy ejecutar -> msconfig me sigue apareciendo en la lista...

Gracias por la atencion

Anónimo dijo...

Es importante que tomeis en cuenta BORRAR las llaves o valores del REGISTRO de la Computadora asociadas al DISK NIGHT.
Cómo hacerlo ??
en el menu EJECUTAR digitas "regedit " para entrar a registro te pocisional al inicio del Registro en el menu EDICION seleccionas la opcion BUSCAR y le digitas KNIGHT y borras los Valores que te aparezcan con la tecla F3 haces la busqueda de los siguientes registros luego de borrar el primero

Analía Martínez dijo...

Me re sirvioo la ayuda!. graciass peroo el nod 32 a veces encuentra este virus y aunqe lo eliminoo vuelve a aparecer.. pero creo qe esta vez lo voy a sacar definitivamente

Saludos

aniita

sabino dijo...

para poder abrir el pendrive desde mi pc tienen ke formatearlo despues inmediatamente pueden abrirlo

Anónimo dijo...

Gracias amigo trabajo en una oficna y en por lo menos 4 makiasn estaba el maldito knigth
con tu ayuda elimine el archo en todas
gracias fue de mucha ayuda

saludos

Anónimo dijo...

muchas gracias!!

No saben cuanto he peleado con este bicho, las soluciones son muy efectivas, gracias totales!!

Anónimo dijo...

Muchas gracias, se me pego este bicho en un Preu, al pricipio me preocupe pero gracias a tu blog lo solucione
Gracias

Anónimo dijo...

Hola amigos,
la solucion fue muy bien, pero tengo un problemilla. TEngo 3 entraadas de USB en mi portatil y he hecho todo lo q poneis en la pagina y funciona. Pero resulta q cuando conecto una unidad de USB en una de las entradas, parece q se vuelve a reproducir el dichoso virus en el pen-drive.TEngo q hacer todo lo q decis para q no se infecte mi portatil.

Agradezco posibles soluciones. Muchas gracias por todo!!!

Saludos