Nuevo Virus “Medellin”
‘Hola Medellín” o “Saludos de Medellín”, es el saludo más peligroso que los santandereanos pueden recibir en estos momentos para su computador y que podría propagarse hacía otras zonas del país.
En realidad se trata de un virus de tipo gusano, que ha atacado en Bucaramanga y varios municipios del departamento, y que se propaga a través de dos vías: Memorias USB o correos electrónicos que se envían por un computador infectado con un subject, que al activarse, destruye el arranque del computador dejándolo inservible.
Barbosa, en Santander, es uno de los municipios más afectados, pues según expertos, el 95 por ciento de los computadores de dicha localidad están contaminados, lo que tiene en alerta a entidades oficiales, empresas y usuarios que se conectan desde cafés Internet y hogares.
La sede de Juegos y Apuestas La Perla de dicho municipio fue una de las afectadas, según aseguró el ingeniero Edison Josué Díaz, director de Sistemas y Mantenimiento de Vanguardia Liberal, quien explicó que el virus está modificando el gestor de arranque de Windows, lo que impide que los computadores con sistema operativo XP, arranquen.
“Se dice que otros síntomas son la aparición de carpetas en la raíz de los discos duros sin archivos, con nombres como ‘amor’, ‘hola’ y ‘como’, entre otros. Además, la instalación de algunos procesos, desde el arranque en el registro de Windows, con nombres como wund.exe.”, aseguró el Ingeniero de Sistemas y experto en seguridad informática.
Más afectados [/i]
En la sala de Informática del Colegio Psicopedagógico, ‘Medellín’ se propagó por todos los equipos. Usuarios de empresas como Ecopetrol, Bancolombia, la Policía Nacional, la Universidad Industrial de Santander y Coomultrasan, también reportaron problemas.
Los estragos de ‘Medellín’ también se vieron en los hogares. Usuarios de Internet como Martha Liliana Chona vieron cómo su computador dejó de funcionar sin razón.
“Primero se borró la barra de tareas y no dejó que se grabara el archivo. Luego salió un mensaje que decía ‘Ja, ja, ja, tu PC está dañado. Llévalo a Medellín que es el único lugar donde arreglamos este problema”.
Detenga el virus
René Di Marco, Director del Departamento de Tecnología de Vanguardia Liberal, aconsejó no ejecutar directamente el explorador de Windows y en primera instancia, no insertar unidades de memoria USB sin protección.” Una de las maneras de penetración del “gusano” es a través de la función de auto-ejecución o “AutoPlay” de Windows XP, en la que apenas se inserta una memoria, se ejecuta un archivo especial (autorun.inf) que normalmente es benéfico, pero que en este caso, contiene el código maligno.”
Así que es fácil protegerse desabilitando esta función de auto-ejecución.
“El virus consta de dos etapas: la primera es la infección como tal, en la que se instala en las raíces de las unidades de disco, como el C:, o el D:. Ahí todavía se puede remover y evitar el daño, que llega en la segunda etapa, en la que se dispara una ventana con un mensaje lleno de insultos, y con referencia a la palabra “Medellín” en mayúsculas. Después de cerrar ese mensaje, el gusano destruye un archivo esencial para el buen arranque del equipo.”
“Para saber si se está en la primera etapa, se recomienda arrancar el equipo en modo seguro con comando del sistema, y ejecutar el comando “attrib” en cada una de las unidades de disco. Si se encuentran archivos escondidos como “autorun.inf”, o “kh2.exe” o “wind.exe” el virus está presente. Es cuestión simplemente de remover esos archivos cambiando sus atributos primero, y luego buscar en el registro cualquier mención al “wind.exe”.
Si ya se llegó a la segunda etapa, es mejor consultar a un experto en recuperación de datos, pues el sistema operativo resulta comprometido, y lo mejor es volver a instalarlo.”
Ante todo, practique una computación segura, no compartiendo las unidades USB, y teniendo buenos anti-virus vigentes.
Soluciones ya probadas por otros usuarios(Fuente http://www.forospyware.com/t195981.html)
Solución Rápida
Cuando sacó el mensaje que no tenie el ntldr, se inicia con el cd de windows y se dio recuperar por consola. Una vez aparece el prompt se corre lo siguiente:
1. fixmbr
2. bootcfg /rebuild
3. copy D:\i386\ntldr C:\
4. copy D:\i386\ntdetect.com C:\
5. Luego arrancar windows y entrar al regedit y buscar todas las entradas con wind.exe y borrarlas
6. borrar las entradas en msconfig
7. Buscar en todo el disco archivos wind* y eliminarlos
8. ctl + alt + del y eliminar posibles procesos medellin.exe chicas.exe wind.exe
9. borrar carpetas c:\medellin c:\hola c:\estas c:\paila
Otra Solución
para no perder la informacion del equipo lo que se hace es desconectar la red luego insertar el cd de win xp al reiniciar, en la pantalla de instalacion de windows da una opcion de instalar y otra para reparar una antigua instalacion de windows, le das a reparar de ahi te arroja a D.O.S, y pone a elegir que instalacion se desea reparar, en el caso mio mostro
1. c:/windows, por tanto elegi esa.
despues aparece c:/windows alli coloque el comando:
c:/windows>bootcfg /add
al colocar esto pregunta cual deseas usar, nuevamente aparece
1. c:/windows
por tanto se elige esa opcion, despues sigue preguntando por unas opciones de carga, y configuracion, a todo eso colocar puse 1.
despues queda nuevamente c:/windows> alli escribe exit.
al reiniciar entras de nuevo por el cd de windows, en la pantalla que te da las 2 opciones (instalar o reparar), dale instalar aceptar el contrato y luego muestra que existe una instalacion de windows, algo asi:
c:/windows “1″
alli presiona r para reparar dicha instalacion.
Al hace esto, se ejecuta el mismo procedimiento como si de un formateo se tratara.
despues de instalarse windows, entras y todo esta como antes del problema del virus pero el virus aun esta alli.
Aun no conectes la red, entra el administrador de tareas y en la pestaña de procesos finaliza: wind.exe , chicas.exe, medellin.exe
Posteriormente a esto entra a todas las particiones y elimina cualquier carpeta que esta en mayuscula con los siguientes nombres “hola” “estas” “pailas” “tonto” “medellin” entre otras variantes que segun tu criterio, no hacen parte de esa particion. Luego dale a buscar y coloca wind.exe, alli le das que busque tambien en archivos ocultos, borra todos los que encuentres. Luego en ejecutar pones regedit y en esta ventana, en el menu edicion le das buscar, pones wind.exe y borra todas las entradas que te arroje. Luego escaneas con los programas que ya han sido recomendados por el staff de este foro.
nota: Si ya te aparecio el primer mensaje del virus, no le des aceptar, simplemente entras el administrador de tareas y finalizas los procesos, posteriormente escaneas o borras manualmente el virus, aunque sugiero el escaneo.
