Este virus no es que sea tan popular, pero la razón por la que abro este foro es porque este virus es molesto y difícil de quitar:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_CLIVE.C&VSect=P
No deja mostrar los archivos ocultos así uno elija explícitamente en la configuración de windows que uno desea verlos, y no se puede cerrar, este virus se ejecuta incluso cuando se inicia en "modo seguro", debido a que windows evita ejecutarlo desde la clave hklm\software\....\currentversion\run, sin embargo como ejecuta archivos .exe en modo seguro, ejecuta el virus por cada .exe abierto, debido a otro registro guardado.
Yo intenté iniciar windows en modo seguro, con el comando de dos attrib quitarle las propiedades de oculto y sistema y darle shift-supr cuando pudiera verlo, sin embargo windows no me dejó eliminarlo porque se estaba ejecutando... ¿en modo seguro?, abrí el administrador de tareas para comprobarlo, y efectivamente el archivo soundmix se estaba ejecutado, por lo que no podría borrarse, le dí terminar proceso desde el administrador de tareas, pero inmediatamente se cerraba, se volvía a ejecutar, por lo que sin importar cuantas veces intentara finalizar el proceso, éste se seguiría ejecutando, debía buscar una forma de acceder a la carpeta sin que la aplicación estuviera ejecutándose.
Después de mucho intentarlo, lo eliminé de la siguiente manera (si usted sigue los mismos paso se quita este molesto virus):
Ahora podemos escribir a particiones ntfs desde linux, lo que hacemos ahora es:
Ya borramos las aplicaciones del virus, sin embargo como windows está configurado para ejecutar esta aplicación al inicio y cada vez que se intenta ejecutar una aplicación, si iniciamos en windows e intentamos ejecutar cualquier .exe, windows mostrará la pregunta de "¿Con qué aplicación desea abrir este tipo de archivo (.exe)?" y nos será imposible ejecutar aplicaciones, así que ahora hacemos:
Ya el virus está eliminado por completo, sin embargo volveremos a tener problemas cuando insertemos nuestras memorias, debido a que el archivo autorun.inf ejecuta el virus automáticamente y los problemas regresarán de manera automática, eso sin contar que el nod32 actualizado, ni spybot actualizado, ni ad-aware actualizado lo detectan, por lo que podría dar falsa sensación de seguridad, y para empeorarlo todo si lo detectan no lo pueden eliminar porque está ejecutándose, y si un av lo intenta cerrar, no va a poder porque este virus se vuelve a ejecutar cuando alguien lo cierra, por lo que estará ejecutándose así uno le de "terminar proceso" desde el administrador de tareas.
Lo que hacemos ahora es reiniciar desde linux, insertar cada una de la memoria que tenga (ipods, discos duros portables, cualquier medio de almacenamiento que se comunique via usb) y le damos shift+supr a:
El archivo autorun.inf
El directorio RECYCLER
Eso es todo, espero puedan eliminar fácilmente ese virus con las instrucciones que le indico, si tienen problemas me avisan =) Y por si acaso surge la pregunta: No creo que sea posible eliminar el virus solamente desde windows, a menos que se haga uso de esos archivos especiales desinfectadores .exe que sabrá mandrake quien los hizo y las intenciones del creador jajaja
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_CLIVE.C&VSect=P
No deja mostrar los archivos ocultos así uno elija explícitamente en la configuración de windows que uno desea verlos, y no se puede cerrar, este virus se ejecuta incluso cuando se inicia en "modo seguro", debido a que windows evita ejecutarlo desde la clave hklm\software\....\currentversion\run, sin embargo como ejecuta archivos .exe en modo seguro, ejecuta el virus por cada .exe abierto, debido a otro registro guardado.
Yo intenté iniciar windows en modo seguro, con el comando de dos attrib quitarle las propiedades de oculto y sistema y darle shift-supr cuando pudiera verlo, sin embargo windows no me dejó eliminarlo porque se estaba ejecutando... ¿en modo seguro?, abrí el administrador de tareas para comprobarlo, y efectivamente el archivo soundmix se estaba ejecutado, por lo que no podría borrarse, le dí terminar proceso desde el administrador de tareas, pero inmediatamente se cerraba, se volvía a ejecutar, por lo que sin importar cuantas veces intentara finalizar el proceso, éste se seguiría ejecutando, debía buscar una forma de acceder a la carpeta sin que la aplicación estuviera ejecutándose.
Después de mucho intentarlo, lo eliminé de la siguiente manera (si usted sigue los mismos paso se quita este molesto virus):
- Reinicide desde linux (Debe estar configurado para acceder a la partición donde se instaló windows, así sea para leer solamente)
- ** Atención: los siguientes pasos son necesarios solo si todavía no puede escribir a particiones ntfs desde linux
- Inicie en usuario raíz e instale el paquete ntfs-3g
- Abra una sesión de consola y digite sudo kate /etc/fstab (este comando puede variar dependiendo de su distribución, kate es el editor de texto para kubuntu, si usted usa ubuntu debe digitar sudo gedit /etc/fstab y así ....)
- Donde se realiza el montaje a la partición donde se encuentra instalado windows, cambie ntfs ro,... (no importa si no tiene este 'ro', el mío no lo tenía) por ntfs-3g rw,... (éste rw final es necesario)
- Reiniciamos linux
Ahora podemos escribir a particiones ntfs desde linux, lo que hacemos ahora es:
- Desde linux, entramos con konqueror (o el navegador que tenga) a la dirección donde windows fue instalado, en mi caso /media/hda1/windows
- Entramos al directorio system32
- Buscamos el archivo soundmix.exe y le damos shift+supr
- Entramos al directorio dllcache
- Buscamos el archivo zipexr.dll y le damos shift+supr
Ya borramos las aplicaciones del virus, sin embargo como windows está configurado para ejecutar esta aplicación al inicio y cada vez que se intenta ejecutar una aplicación, si iniciamos en windows e intentamos ejecutar cualquier .exe, windows mostrará la pregunta de "¿Con qué aplicación desea abrir este tipo de archivo (.exe)?" y nos será imposible ejecutar aplicaciones, así que ahora hacemos:
- Desde linux todavía, entramos a /media/hda1 (La raíz de la partición donde windows fue instalado)
- Damos clic derecho, luego Nuevo y luego Archivo de texto, al archivo que se crea lo llamamos a.vbs
- Le agregamos el siguiente contenido:
- Reiniciamos desde windows
- Ignoramos los mensajes de error por no encontrar soundmix.exe
- Damos clic a menú inicio, luego Ejecutar, digitamos c:\ y pulsamos entrar
- Buscamos el archivo a.vbs y le damos doble clic
Ya el virus está eliminado por completo, sin embargo volveremos a tener problemas cuando insertemos nuestras memorias, debido a que el archivo autorun.inf ejecuta el virus automáticamente y los problemas regresarán de manera automática, eso sin contar que el nod32 actualizado, ni spybot actualizado, ni ad-aware actualizado lo detectan, por lo que podría dar falsa sensación de seguridad, y para empeorarlo todo si lo detectan no lo pueden eliminar porque está ejecutándose, y si un av lo intenta cerrar, no va a poder porque este virus se vuelve a ejecutar cuando alguien lo cierra, por lo que estará ejecutándose así uno le de "terminar proceso" desde el administrador de tareas.
Lo que hacemos ahora es reiniciar desde linux, insertar cada una de la memoria que tenga (ipods, discos duros portables, cualquier medio de almacenamiento que se comunique via usb) y le damos shift+supr a:
El archivo autorun.inf
El directorio RECYCLER
Eso es todo, espero puedan eliminar fácilmente ese virus con las instrucciones que le indico, si tienen problemas me avisan =) Y por si acaso surge la pregunta: No creo que sea posible eliminar el virus solamente desde windows, a menos que se haga uso de esos archivos especiales desinfectadores .exe que sabrá mandrake quien los hizo y las intenciones del creador jajaja
