PDA

Ver la versión completa : tengo un virus y no lo puedo eliminar



baufallig
22-03-2008, 16:28
tengo un virus llamado "Brontok.CO Worm" y no lo he podido eliminar, el antivirus no lo borra solo lo pone en quarentena, y el spybot y el Ad-ware no detectan nada...
necesito borrar rapido este virus de mi pc..
NECESITO AYUDA

RaidMan
22-03-2008, 18:18
Al ejecutarse por primera vez, W32/Brontok-CO se copia en:

\4k51k4.exe <Inicio>\Empty.pif <Usuario>\Configuración local\Datos de programa\csrss.exe <Usuario>\Configuración local\Datos de programa\windows\csrss.exe <Usuario>\Configuración local\Datos de programa\windows\lsass.exe <Usuario>\Configuración local\Datos de programa\windows\services.exe <Usuario>\Configuración local\Datos de programa\windows\smss.exe <Usuario>\Configuración local\Datos de programa\windows\winlogon.exe <Windows>\4k51k4.exe <System>\IExplorer.exe <System>\MrHelloween.scr <System>\shell.exe

Las entradas de registro siguientes se crean para ejecutar W32/Brontok-CO al iniciar el equipo:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run 4k51k4 <Windows>\4k51k4.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Servicesara <Usuario>\Configuración local\Datos de programa\WINDOWS\SERVICES.EXE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Logonsara <Usuario>\Configuración local\Datos de programa\WINDOWS\CSRSS.EXE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run System Monitoring <Usuario>\Configuración local\Datos de programa\WINDOWS\LSASS.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run MSMSGS <Usuario>\Configuración local\Datos de programa\WINDOWS\WINLOGON.EXE

Las entradas de registro siguientes se modifican para ejecutar W32/Brontok-CO al iniciar el equipo:

HKCU\Panel de control\Escritorio SCRNSAVE.EXE <System>\MRHELL~1.SCR

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe "<System>\IExplorer.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit <System>\userinit.exe,<System>\IExplorer.exe

Las entradas de registro siguientes se crean o modifican, de forma que shell.exe se ejecute al abrir archivos con extensiones BAT, COM, EXE y PIF:

HKCR\lnkfile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*

HKCR\batfile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*

HKCR\comfile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*

HKCR\exefile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*

HKCR\piffile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*

Se crean las entradas de registro siguientes, que desactivan programas del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System DisableCMD 1 --> desactiva el command

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System DisableRegistryTools 1--> desactiva el registro

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System DisableTaskMgr 1--> desactiva el administrador de tareas

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system DisableRegistryTools 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system DisableTaskMgr 1

Las entradas de registro se establecen de la forma siguiente:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer NoFolderOptions 1--> desactiva las opciones de los archivos (como oculto y demas)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer NoFolderOptions 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced Hidden 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced HideFileExt 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced ShowSuperHidden 0--> impide que puedas ver los archivos "superocultos"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug Debugger <System>\Shell.exe



Por lo que he podido encontrar se guarda en varias ubicaciones y se añade varias veces al registro.

Inicia en modo a prueba de fallos
Inicio\ejecutar--> msconfig
busca BOOT.INI y selecciona /Safeboot


Antes de reiniciar en modo a prueba de fallos te sugiero que tengas instalado un buen antivirus, firewall y algun anti-spyware (el spybot va bien)

Ejecuta el antivirus una vez que hayas entrado en el modo a prueba de fallos, si encuentra algun archivo o entrada que no te deje eliminar utiliza un programa llamado FileAssasin para eliminarlas.

Una vez hecho esto, te sugiero que pases un buen antivirus online (si vas a hacer esto, tendras que añadir al inicio seguro las funiones de red, en el mismo lugar que pusiste el /SAFEBOOT. La casilla "Red")

Te sugiero que escojas el Ewido para pasar como antivirus online.

Una vez hecho esto, pasa un HijackThis y peganos el LOG que te de, asi veremos si has conseguido eliminar este virus.


Un saludo

PD: Esto deberia ir en Malware
PD2: Te dejo una pagina desde la que bajar archivos de proteccion: http://personales.ya.com/nost/proteccion.htm

clarinetista
22-03-2008, 20:43
Movido a malware........