O.T: virus indesinfectable

Tema en 'Foro General BMW' iniciado por lokura, 7 Jun 2005.

  1. lokura

    lokura Baneado Baneado

    Registrado:
    13 Jun 2004
    Mensajes:
    1.307
    Me Gusta:
    0
    Ubicación:
    A Coruña
    [font=arial, verdana, helvetica]ayer me di cuenta de q tenia unos virus me me estaban jodiendo, mi norton 2004 no era capaz de hacer nada, lo desinstale y me puse el Nod32 pero nada, lo detecta pero no me da la opcion de desinfectar, le doy a eliminar pero me aparece de nuevo, detecto el nod32 67 virus pero pa mi q no los elimino.pone esto en el nod:

    Se ha detectado infección con Troyano Win32/HackTool.Hidd.J en la memoria operativa. NOD32 Scanner no puede limpiar esta infección. No puede ejecutarse acción sobre infección en memoria.

    esto solo es uno de mis virus.

    no se si era el virus pero a veces no m deja abrir el explorer y me va lento el ordenata, viendo el nombre del virus lo busque en mi pc pero no lo encuentro.


    P.D: tengo el xp profesional SP1(nunca me pasare al SP2), si no fuera por programas q keria instalar no me pondria el SP1

    pase el panda on line como ultimo recurso y peor aun... me detecto menos virus (30 y pico) y me desinfecto 4(menos mal) y para el resto me pone no desinfectado, que raro, vaya full de antivirus q hay por ahi, detectan pero no eliminan.


    ¿¿¿¿¿como hago?????
    [/font]
  2. pacix

    pacix Clan Leader

    Registrado:
    9 May 2004
    Mensajes:
    21.569
    Me Gusta:
    1.057
    Ubicación:
    Koblenz, Alemania
    Modelo:
    981GTS/1200RT
    Se trata de un troyano de puerta trasera que facilita acceso total a la máquina víctima. También puede acabar descargando el troyano "Trojan.Downloader.Aphe" desde el sitio web: http://amateur.freegayspace.com.


    Solución

    Actualice su programa antivirus con la última versión de patrones.
    Realice un escaneo completo de la máquina tras la actualización
    Elimine todos los ficheros de la carpeta %Windir%\Help\Tours incluida la carpeta.
    <li>Restaure el registro del sistema:

    • Botón Inicio, Programas, ejecutar.
      • Escriba "REGEDIT" y pulse OK para abrir el editor del registro.
    • Busque la siguiente clave :
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        Elimine el valor existente en el panel derecho ;


        • "explorer"="%Windir%\help\tours\expl32.exe"
    • Cierre el registro y reinicie su máquina.
    Datos TécnicosPeligrosidad: 1 - Mínima Difusión: [​IMG] BajaFecha de Alta:05-05-2003
    Última Actualización:08-05-2003Daño:[​IMG]Medio[Explicación de los criterios]Dispersibilidad: [​IMG]Bajo Nombre completo: Trojan.W32/Ratsou@IRC
    Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
    Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
    Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

    Mecanismo principal de difusión: [IRC] - Se envía a otros usuarios de un canal IRC. Alias:Backdoor.IRC.Ratsou (Symantec) Detalles Si se llega a ejecutar Trojan.Downloader.Aphe, se descarga un segundo fichero desde otro sitio web que será almacenado en la máquina local como C:\roof.exe, que suele ser detectado como Trojan.Downloader.Aphe.

    Cuando se ejcuta C:\roof.exe será a su vez, descargado un tercer fichero desde el mismo sitio que el anterior que será almacenado como C:\newconf.exe, y es detectado como Backdoor.IRC.Ratsou.

    Cuando se ejecuta C:\newconf.exe, realiza las siguientes tareas:


    • Crea la carpeta %Windir%\Help\Tours.
    • Crea los siguientes ficheros en la carpeta recién creada:
      • AIM.TXT, fichero de texto
      • AIMIRC.INI, fichero de texto.
      • BNC.DLL, (5,573 bytes), fichero de script.
      • DTKODE.TXT, (101,914 bytes), fichero de script.
      • REMOTE.INI, fichero de script.
      • SCRIPT1.DLL, (610 bytes), fichero de script.
      • SPIG.TXT, (4,340 bytes), fichero de script.
      • SYSBOOT.DLL, (453 bytes), fichero de script.
      • TEMP, (24,515 bytes), fichero de script.
      • UNICOD_R, (877 bytes), fichero de script.
      • WIND.DLL, (3,849 bytes), fichero de script.
      • IPSERVER.TXT, fichero de texto que contiene algunas URLs.
      • NICKS.TXT, fichero de texto que contiene nombres (nick´s) mIRC.
      • UNICOD_L, is con 0 bytes de longitud en el momento de su creación.
      • BOOT.exe, (35,328 bytes), para el lanzamiento del proceso remoto válido, psexesvc.exe. El troyano intentará hacer uso de esta utilidad para propagarse a otros sistemas.
      • EMPAVMS.exe, (20,992 bytes), utilidad usada para ocultar ventanas.
      • LIBPARSE.exe, (25,600 bytes), visor de procesos.
      • MOO.DLL, (34,304 bytes)
      • NHTML.DLL, (6,656 bytes)
      • RESTART.exe, (37,888 bytes), utilidad para forzar el reinicio de la máquina.
      • BLA.TXT, (8,397 bytes), el troyano Backdoor.IRC.Flood
      • CRAZY.exe, (17,408 bytes), la herramienta Hacktool.DoS
      • CONFIG.HFG, (6,209 bytes), troyano IRC.
      • CSCAN.DAT, (2,017 bytes), troyano IRC.
      • IMPVMS.DLL, (18,355 bytes), troyano IRC.
      • MSCCL.DLL, (18,919 bytes), troyano IRC.
      • NVDRV.OCX, (18,920 bytes), troyano IRC.
      • REG.XPL, (2,707 bytes), troyano IRC.
      • SYSTE32.DLL, (1,603 bytes), troyano IRC.
      • MICONFIG.exe, (14,336 bytes), herramienta para hacker
      • system.exe, (17,920 bytes), herramienta para hacker
      • lan.bat, (84,694 bytes), troyano BAT.Trojan
      • wincmd34.bat, (30,993 bytes), troyano BAT.Trojan
      • expl32.exe, (629,760 bytes), el propio troyano Backdoor.IRC.Ratsou.
      • ratsou.exe, (2,351 bytes), el troyano Trojan.Downloader.Aphe.
    • Añade el siguiente valor al registro para provocar la ejecución del programa mIRC junto al inicio de Windows. "explorer"="%Windir%\help\tours\expl32.exe"
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • Oculta las extensiones de IRC en la siguiente clave del registro, cuando los ficheros de chat son abiertos HKEY_LOCAL_MACHIN\Software\Classes that call %Windir%\help\tours\expl32.exe
    • Ejecuta en diferido(background) el fichero %Windir%\help\tours\expl32.exe.
    • Utiliza el fichero recién descargado impvms.dll para realizar conexiones a otras máquinas generando direcciones IP aleatórias.
      Si lo consigue, utilizará algunos de los ficheros .BAT descargados, para acceder a recursos IPC$ y ADMIN$ compartidos en cada una de las direcciones encontradas, usando parejas de nombres usuario/clave que le den acceso para finalmente copiarse y ejecutarse como ratsou.exe sobre las máquinas accedidas.
  3. FES

    FES Forista Senior Miembro del Club

    Registrado:
    22 Sep 2003
    Mensajes:
    5.920
    Me Gusta:
    191
    Ubicación:
    RONDA
    Modelo:
    X5 3.0i
    Joer Pacix, estas hecho un monstruo
  4. Nukano

    Nukano Forista

    Registrado:
    13 Feb 2004
    Mensajes:
    3.006
    Me Gusta:
    2
    Ubicación:
    Bizkaia
    Si no puedes borrar algunos ficheros, arranca con una distribucion Linux LiveCD (knoppix) y borra los ficheros conflictivos a mano.
    Suerte!!!
  5. TONI-2004

    TONI-2004 En Practicas

    Registrado:
    24 Nov 2004
    Mensajes:
    563
    Me Gusta:
    218
    Ubicación:
    Banyeres
    Modelo:
    A4 Avant S-Tron
    También puedes probar a descargarte en el sitio www.free-av.com un antivirus gratuito para uso personal y que puedes actualizar cuando quieras. Es muy fácil de usar y configurar y estoy por decir que funciona mucho mejor que los "otros" pero sin menos publicidad.

    Saludos.
  6. saicaman

    saicaman Forista Senior Staff BMW FAQ Moderador Miembro del Club

    Registrado:
    26 Dic 2003
    Mensajes:
    6.743
    Me Gusta:
    548
    Ubicación:
    De la mano del electrón de Heisenberg
    Modelo:
    E24E31E320JEEP

    Coincido totalmente:descojon: :descojon: :descojon:

    Y si te falla ahí vá otro consejo.... maza de 5 y un par de buenos reset en toda la azotea de la CPU, no andará pero relaja una barbaridad.
  7. Geode

    Geode Guest

    Cada vez me gusta mas mi Mac, no existen virus, la seguiridad es absoluta, y hago lo mismo (pero mejor) que en cualquier PC :)
  8. Gavira

    Gavira Tr3s españoles, cu4tro opiniones. Miembro del Club

    Registrado:
    28 May 2004
    Mensajes:
    70.070
    Me Gusta:
    27.038
    Ubicación:
    (MA) Puerto Banús
    Modelo:
    GaviRAV4 177hp
    Te ha faltado darle al enter, antes del poblado...
    :descojon: :descojon: :descojon: :descojon:

    P.D Gracias Pacix
    P.D2 estoy como saicaman, no me he enterado de nada

    ;-)
  9. lokura

    lokura Baneado Baneado

    Registrado:
    13 Jun 2004
    Mensajes:
    1.307
    Me Gusta:
    0
    Ubicación:
    A Coruña
    no se... me parece que no tengo ese virus. mire en el registro y en la carpeta run no tengo "explorer"="%Windir%\help\tours\expl32.exe" ningun antivirus me elimina lo q detecta estoy malo
  10. El Enfermo

    El Enfermo Forista Legendario

    Registrado:
    11 Sep 2004
    Mensajes:
    11.634
    Me Gusta:
    10
    Ubicación:
    Euskadi Tropikal
    Modelo:
    Zoom Zoom
    Pues yo tengo algo curioso.. no me aparece ningun icono en la pantalla.... veo el fondo de escritorio, puedo navegar y urgar en el ordenador, pero siempre con el ctrl alt del.... El norton antivirus no lo puedo ni actualizar ni ejecutar scaneo del pc... estoy un pelin mosca.. quiza la maza de 12 kilates sea buena en este caso??..
  11. srclooney

    srclooney Forista

    Registrado:
    11 Oct 2004
    Mensajes:
    1.339
    Me Gusta:
    4
    Ubicación:
    Centro
    Los virus son muy listos... bueno el que los crea jeje... casi todos llevan el mecanismo descrito por pacix se esconden en bajo nombres de archivos de sistema y demas.
    Entra en www.alertaantivirus.es busca ese troyano... y como borrarlo paso a paso, una visita a algun web en plan panda, symantec, etc... para descargarte, no se como se llamaria, "desinfectante" o sea un ejecutable que escanea todo el ordenador en busca de ese troyano, para el blaster y demas si que los habia.

    Aunque suene raro, utiliza el www.windowsupdate.com para bajarte todas las actualizaciones ya que algunas veces los virus, troyanos aprovechan deficiecias o agujeros de seguridad del propio windows.

    Si tienes antivirus lo importante es tenerlo actualizado constantemente y activar la funcion de analisis continuo (o como se diga que no lo recuerdo ahora) por si descargas o ejecutas alguna cosa rara no te infectes.
  12. pacix

    pacix Clan Leader

    Registrado:
    9 May 2004
    Mensajes:
    21.569
    Me Gusta:
    1.057
    Ubicación:
    Koblenz, Alemania
    Modelo:
    981GTS/1200RT
    La web de panda va muy bien para estas cosas.
  13. Till

    Till Guest

    :-s
    :-k
    :fliping:

    (donde está el smilie WAKI cuando uno lo necesita de verdad...!!! :descojon: )
  14. Raf@

    Raf@ Guest

    Aranca el ordenador en modo a prueba de fallos y pasa varios antivirus ....de esta manera podra borrar los virus sin ningun problema..
    Yo tenia esos problemas pues estos virus se instalan en el registro de Windows y no te deja borrarlos por seguridad...los muy canallas!!

    Saludos
  15. MadRalphW

    MadRalphW Forista Senior

    Registrado:
    4 Sep 2004
    Mensajes:
    4.018
    Me Gusta:
    0
    Ubicación:
    Madrid
    Si hay virus para Mac, son menor en número, pero recuerdo que habia algunos hace tiemop que se aprovechaban de bugs del sistema para mandar spam ;-)
    Saludos ;-)

Compartir esta página