19
Feb
killing the Win32/PcClient.WJ alias KOfcpfwSvcs.exe
Bien ayer me tope con esto en mi casa.. es un nuevo troyano del tipo que infecta las memorias USB y pues no pude resistir a hacer un fix.
Bien primero conozcamos a nuestro enemigo.
que hace bien crea un archivo llamado KOfcpfwSvcs.exe el cual es creado en el directorio System32.
como se ejecuta ?? sencillo crea un archivo llamado autorun.inf el cual le indica a windowz que ejecute el archivo \RECYCLER\RECYCLER\autorun.exe, el cual al ejecutarse crea el archivo KOfcpfwSvcs.exe en el system32 y también hace una entrada en el registro para poder arrancarse cada vez que inicie windowz.
Bien primero conozcamos a nuestro enemigo.
que hace bien crea un archivo llamado KOfcpfwSvcs.exe el cual es creado en el directorio System32.
como se ejecuta ?? sencillo crea un archivo llamado autorun.inf el cual le indica a windowz que ejecute el archivo \RECYCLER\RECYCLER\autorun.exe, el cual al ejecutarse crea el archivo KOfcpfwSvcs.exe en el system32 y también hace una entrada en el registro para poder arrancarse cada vez que inicie windowz.
El Fix
la vdd es que esto no requiere mucha ciencia tan solo consiste en matar el proceso, eliminar el archivo, la entrada de registro y listo. para limpiar las memorias usb es un poco mas complicado, ya que hay que quitarle los atributos de solo lectura, oculto y sistema a los archivos.
bueno aqui les dejo el KOfcpfwSvcs.exe fixer
modo de usar solo pulsa donde dice iniciar y listo el programa te dirá si el KOfcpfwSvcs.exe se encuentra en tu maquina o no. Si lo encuentra lo borra.
par limpiar tus memorias usb tan solo conectalas precionando la tecla shift del lado izquierdo y haz click donde dice limpiar memoria USB.
he aqui los antivirus y como lo reconocen.. es de exaltar que Micriosft es de los pocos que no lo identifican.
Datos obtenidos de virustotal.com
Saludos desde durrancho
An�nimo dijo:
Te agradezco infinitamente el haber puesto a disposicion de los cybernautas este archivo.Ha sido de mucha utilidad
An�nimo dijo:
Agradezco la ayuda que representó este fix, desde México, Distrito Federal. Gracias
An�nimo dijo:
Muchas gracias por tu aporte, seguí tus consejos y listo: limpié mi pendrive.De Santiago de Chile, se despide michelo77
An�nimo dijo:
Hola haber si puedes ayudarme...cuando le doy doble clik a c:\ me aparece un letrero como el que mensionas que no encuentra el archivo \recycler\recycler\autorun.exe pero cuando lo habro dandole clik derecho y abrir lo habre perfectamente.ya corri el programa que tienes ahi pero no encontro nada. que hago?
Mixel Adm dijo:
Hola anonimolo mas seguro es que tengas este archivo en el Disco Duro "Autorun.inf"simplemente eliminalo y listo, si esta oculto copia el siguiente codigo metelo en un archivo de texto y guardalo con extencion .batattrib -h -r -s c:\autorun.infdel c:\autorrun.inf
Mixel Adm dijo:
olvide decirte despues de que guardas el archivo lo ejecutas y listo ;)
An�nimo dijo:
Hola soy yo otra vez.. ya hice lo que me dijiste ayer... y cree mi .bat y listo... muchas gracias!!pd. muchas muchas graciasSOL
An�nimo dijo:
Muchisimas gracias x el fix. Saludos desde Chihuahua, Chih.
Tucker dijo:
mUCHAS GRACIAS ME SAKASTE DE UN APURO, GRACIAS A GENTE COMO TU KE KOMPARTE LO KE SABE.Chido
NGE dijo:
Mmmm pues si y no es lo que me paso, si me paso eso de que infecta las memorias y demas, de hecho el que le cayo al equico lo que hacia era que checaba cualquier dispositivo que tuviera el archivo autorun.exe para modificarlo no solo en las USB sino que incluso en los CDs trataba de inefecta, claro que no podia verdad.
Ademas la version que me toco, no se ejecutaba a la vista del usuario, es decir, si ejecutaba el proceso KOfcpfwSvcs.exe no lo mostraba de ninguna manera, ni en el msconfig ni el el administrador de tareas ni en los archivos ocultos aparecia, ademas si tratabas de formatear o incluso eliminabas las particiones y las creabas de nuevo no lo eliminaba, no se donde se guardaba que al terminar de instalar windows se ejecutaba de nuevo para regenerarse y si querias poner un antivirus para quitarlo no te lo permitia, ni el ad-aware permitia instalar.
La manera que encontre para quitarlo era que en cuanto se termina instalacion del windows y me marca lo de dar de alta al usuario y el registro de windows, despues de terminar eso y aparesca la pantalla azul con lo de BIENVENIDO apage la maquina e inicie en modo a prueba de fallos en modo de red instale el antivirus y lo actualice, y reinicie la maquina al iniciar en cuanto se quiso ejecutar el virus el antivirus lo detecto y lo elimino, no se si fue una variante de la variante Win32/PcClient.WJ pero asi fue la unica manera para eliminarlo en mi caso
Hola NGE
Gracias por compartir tu caso.
Lo primero que me llama la atencion es el hecho de que no econtraras el archivo KOfcpfwSvcs.exe y que hasta cierto modo no es de extrañar, mira este fix se hico en febrero, y ya han pasado algunos meses desde eso, y las personas que hacen el malware no se la pasan de ociosos que digamos, si no que tratan de hacer sus programas (virus) cada vez más poderosos.
Que pena que ya hayas terminado con la infección, puesto que pudo haber servido para reproducirla y ver lo que realmente hacia y como es que se esconde el ejecutable, si es que usa tecnologias de rootkit o enmascara su executable con algun nombre como svchost.exe o services.exe como hacen muchos otros.
Lo bueno es que encontraste la manera de deshacerte de ese bicho que atormentaba a tu computadora.
Saludos
angtyy dijo:
tengo una pregunta ¿este virus, no es el que hace que cuando se mete una memoria usb despues no te la deja sacar, un error que dice "El volumen generico.... no puede detenerse" y que si tienes un disco C y uno E, al tratar de abrir el E te envia a Mis documentos?
Hola angtyy
Segun he visto, este virus no te deja quitar tu USB, debido a que constatntemete esta checando si esta o no infectada.
Lo que el viurs hizo en mi maquina virutal fue que tambine infecto e: que es un disco duro como si fuera una USB.
para limpiar tu disco duro usa el progrma llamado USBCleaner que est a en el blog o en el foro.
Saludos
pako122 dijo:
Muchas gracias no sables como me haz ayudado ojala tu blog siga creciendo mas =D
victor dijo:
A mi en lo personal el dichoso KOfcpfwSvcs me elaboro una aplicacion en mis documentos llamada igual y asi entodas las carpetas que tengo algo guardado se buelve a poner la mis ma carpeta pero como aplicacion como las puedo eliminar si ya lo borre desde el registro
Hola pako, muchas gracias y pues seguire intentando.
@Victor
Me temo que lo que tu describes es el Brontok, no el Win32/PcClient.
Puedes usar USB Cleaner para limpiar tu memoria, pero tambine necesitas meter un buen antivirus a tu computadora ;).
Saludos
abril dijo:
hola yo tengo el mismo problema pero hice estos pasos
1 apague restaura sitema
2 active archivos ocultos
3 lo borre con killbox
4 fui a inicio, ejecutar, y busque regedit/entre al editor de registro busque los archivos de con este mismo nombre Kofcpwsvcs.exe
pero e a qui la duda me manda dos archivos? direccion es lo correcto. y una dice predeterminado R valor no establecido y la otra dice unistall path r.c /windows/system32/spool/drivers/32x86/3 se supone que tengo que eliminar estos 2 pero no afecto nada si elimino el segundo por favor ayudenme ya me quede ahí.
JUAN KARLOS dijo:
Fijate ke me kayo un virus chido...chido porke no puedo rekuperar mis karpetas MIS DOCUMENTOS Y TODO LO KE TENGO EN C y en mi USB..
Ya le di VER ARCHIVOS OKULTOS y demas kosas, el espacio en disko duro y USB esta intakto, es decir, ke mis archivos estan ahi, ya ke al eskanear kon el ANTIVIR, me dice ke esta leyendo mis archivos y karpetas..lo raro es ke NO LOS VEOOOOOOOO! Y tengo ke rekuperar mi informacion...sabras algo al respekto?
Ademas, ya koloke el HDD komo esklavo en otra PC y lo mismo...no veo nada, mas ke archivos kreados por mi en C...
NOTA: MI HDD YA NO TIENE EL DICHOSO VIRUS...
Ni me preguntes ke virus era porke ni lo apunté!
Bye!
COATZA, VER dijo:
HOLA..muchas gracias por compartir lo que sabes, eres una buena persona y deseo que Dios te bendiga grandemente
Neófita dijo:
¿Qué tal?
Antes que nada, da mucho gusto encontrar estos sitios solidarios... Recientemente maté y resucité la compu, le instalaron el NOD32 y ayer detectó el dichoso troyano, el mensaje es el siguiente:
El archivo C:\WINDOWS\system32\kofcpfwsvcs.Vexe está infectado con (Troyano) Win32/PcClient.WJ.
Según tengo entendido este bicho se propaga por medio de memorias USB. La cuestión es que, según recuerdo, no he conectado ninguna memoria a la compu, lo único que conecté al puerto USB fue un ratón...
En fin, intenté utilizar el fix que creaste pero ni siquiera detecta el virus ¿es porque se trata de una nueva versión del bicho, qué puedo hacer?
Gracias anticipadas.
Vicente dijo:
Hola amigos tengo un problemon para ver si pueden hacer algo por mi sucede que se infecto mi memoria usb de 2.o gb con este troyano Win32/pccliente.wj, y por mas foros que entro no encuentro la solucion con el archivo que colocaron el fixer, lo encuentra y lo borra , pero cuando la entro inmediatamente lo crea nuevamente, tengo el nod32 actualizado que lo detecta y lo borra y es lo mismo, tambien la formateo y nada. Help my,, espero sus comentarios,
ptt: es un bloock muy bueno felicidades a todos ,, y gracias de antemano,
atentamente su amigo Dominicano.
Roberto dijo:
hola spero k me ayuden en la siguiente situacion: con el afan de eliminar el virus troyano k tengo me tope con en este sitio y ps resulta k iba a ejecutar el fixer y me di cuenta k el virus k tengo con el k dan en la pagina es diferente, el k dan en la pag es: win32/pcClient.WJ y el k tengo en mi baul es el: win32/pcClient.AB kisiera saber k puedo hacer en este caso. se los agradeceria muchisimo, saludos
Rafa dijo:
Tío, te doy sinceramente las gracias. Desde La Coruña (España).
Gracias Rafa, saludos hasta España