El virus win32.downadup.b no se puede eliminar, ¡está dentro de la empresa!
Bueno, yo también me encontré con la misma situación, pero nuestra empresa es más pequeña y mejor.
Esto no puede ser ARP. Hice una limpieza de ARP en toda la empresa antes de instalar SEP.
Se siente como si estuviera fluyendo entre redes.
Cada vez que Symantec lo es. un archivo generado a partir de un archivo temporal eliminado
Parece que un exe está infectado, pero no se descubrió
También estoy buscando cómo resolver este problema...
Echa un vistazo
¡Lo encontré!
Primero, el informe oficial de symantec
n.com * ebay.com * msn. com * myspace. com
Luego verifique si la fecha en la computadora infectada es la última fecha, 1 de enero de 2009.
Luego, el gusano genera una lista de nombres de dominio en función de esa fecha en el siguiente formato:
[NOMBRE DE DOMINIO GENERADO].[DOMINIO DE NIVEL SUPERIOR]
Nota: [DOMINIO DE NIVEL SUPERIOR ] representa los siguientes dominios de nivel superior:
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
Nota: [NOMBRE DE DOMINIO GENERADO] Representa el nombre de dominio creado por el gusano, por ejemplo basado en la siguiente columna de nombre de dominio generada el 1 de enero de 2009
Luego, el gusano contacta la siguiente ubicación remota basándose en el nombre de dominio generado:
/china/technet/security/bulletin/ms08-067.mspx
2. Deshabilitar Restaurar sistema (WindowsMe/XP)
Si está ejecutando WindowsMe o WindowsXP, se recomienda que desactive temporalmente la función Restaurar sistema. Esta función está habilitada de forma predeterminada por el sistema. Una vez que los archivos en la computadora están dañados, Windows Me/XP puede usar esta función para restaurar los archivos. Si un virus, gusano o caballo de Troya infecta su computadora, Restaurar sistema realiza una copia de seguridad del virus, gusano o caballo de Troya en la computadora.
Windows prohíbe que los programas externos, incluidos los antivirus, modifiquen Restaurar sistema. Por lo tanto, los programas o herramientas antivirus no pueden limpiar las amenazas de la carpeta SystemRestore. De esta manera, Restaurar sistema puede restaurar archivos infectados en su computadora incluso si ha limpiado los archivos infectados en todas las demás ubicaciones.
Además, un análisis de virus puede detectar una amenaza en la carpeta SystemRestore incluso si la ha limpiado.
Nota: Cuando haya completado completamente los pasos de desinfección y esté seguro de que la amenaza se ha eliminado, vuelva a habilitar Restaurar sistema como se describe en el documento anterior.
3. Actualizar las definiciones de virus.
4. Busque y finalice el servicio
(1) Haga clic en "Inicio">"Ejecutar".
(2) Escriba services.msc y luego haga clic en "Aceptar".
(3) Busque y seleccione el servicio detectado.
(4) Haga clic en "Acción">"Propiedades".
(5) Haga clic en "Detener".
(6) Cambie el "Tipo de inicio" a "Manual".
(7) Haga clic en "Aceptar" y luego cierre la ventana "Servicio".
(8) Reinicia el ordenador.
5. Busque y elimine el plan de tareas según sea necesario
(1) Haga clic en "Inicio">"Archivos de programa".
(2) Haga clic en > "Adjuntos".
(3) Haga clic en > "Herramientas del sistema".
(4) Haga clic en > "Plan de tareas".
(5) Busque y seleccione el plan de tareas.
(6) Haga clic para eliminar este elemento
(7) Haga clic en Sí y cierre la ventana "Programación de tareas".
(8) Reinicia el ordenador.
6. Ejecute un análisis completo del sistema
7. Elimine valores del registro
(1) Haga clic en "Inicio" > "Ejecutar".
(2) Escriba regedit,
(3) Luego haga clic en "Aceptar".
(4) Navegue hasta la siguiente clave de registro y elimínela:
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOMNAME]"="rundll32. exe "[RANDOMFILENAME].dll",ydmmgvos"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
*HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows\CurrentVersion\Applets\"dl"="0"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
* HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERatedSERVICENAME]\"DisplayName"="[WORMGENERatedSERVICENAME]" p >
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Type"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERatedSERVICENAME]\"Start"=" 4 "
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERatedSERVICENAME]\"ErrorControl"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERatedSERVICENAME]\" ImagePath "="%SystemRoot%\system32\svchost.exe-k
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERatedSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
(5) Si es necesario, restaure las siguientes claves de registro a sus valores anteriores:
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections"="00FFFFFE" p>
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
(6) Salga del Editor del Registro.
Nota: Si este riesgo crea o modifica subclaves de registro o claves de registro en HKEY_CURRENT_USER, puede crear estas claves para cada usuario en la computadora infectada. Para eliminar o restaurar todas las subclaves o claves de registro, inicie sesión con cada cuenta de usuario y verifique todas las claves HKEY_CURRENT_USER enumeradas anteriormente.