baufallig
22-03-2008, 15:28
tengo un virus llamado "Brontok.CO Worm" y no lo he podido eliminar, el antivirus no lo borra solo lo pone en quarentena, y el spybot y el Ad-ware no detectan nada...
necesito borrar rapido este virus de mi pc..
NECESITO AYUDA
Al ejecutarse por primera vez, W32/Brontok-CO se copia en:
\4k51k4.exe <Inicio>\Empty.pif <Usuario>\Configuración local\Datos de programa\csrss.exe <Usuario>\Configuración local\Datos de programa\windows\csrss.exe <Usuario>\Configuración local\Datos de programa\windows\lsass.exe <Usuario>\Configuración local\Datos de programa\windows\services.exe <Usuario>\Configuración local\Datos de programa\windows\smss.exe <Usuario>\Configuración local\Datos de programa\windows\winlogon.exe <Windows>\4k51k4.exe <System>\IExplorer.exe <System>\MrHelloween.scr <System>\shell.exe
Las entradas de registro siguientes se crean para ejecutar W32/Brontok-CO al iniciar el equipo:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 4k51k4 <Windows>\4k51k4.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Servicesara <Usuario>\Configuración local\Datos de programa\WINDOWS\SERVICES.EXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Logonsara <Usuario>\Configuración local\Datos de programa\WINDOWS\CSRSS.EXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run System Monitoring <Usuario>\Configuración local\Datos de programa\WINDOWS\LSASS.EXE
HKCU\Software\Microsoft\Windows\CurrentVersion\Run MSMSGS <Usuario>\Configuración local\Datos de programa\WINDOWS\WINLOGON.EXE
Las entradas de registro siguientes se modifican para ejecutar W32/Brontok-CO al iniciar el equipo:
HKCU\Panel de control\Escritorio SCRNSAVE.EXE <System>\MRHELL~1.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe "<System>\IExplorer.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit <System>\userinit.exe,<System>\IExplorer.exe
Las entradas de registro siguientes se crean o modifican, de forma que shell.exe se ejecute al abrir archivos con extensiones BAT, COM, EXE y PIF:
HKCR\lnkfile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*
HKCR\batfile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*
HKCR\comfile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*
HKCR\exefile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*
HKCR\piffile\shell\open\command (predeterminada) <System>\shell.exe" "%1" %*
Se crean las entradas de registro siguientes, que desactivan programas del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System DisableCMD 1 --> desactiva el command
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System DisableRegistryTools 1--> desactiva el registro
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System DisableTaskMgr 1--> desactiva el administrador de tareas
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system DisableRegistryTools 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system DisableTaskMgr 1
Las entradas de registro se establecen de la forma siguiente:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer NoFolderOptions 1--> desactiva las opciones de los archivos (como oculto y demas)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer NoFolderOptions 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced Hidden 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced HideFileExt 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced ShowSuperHidden 0--> impide que puedas ver los archivos "superocultos"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug Debugger <System>\Shell.exe
Por lo que he podido encontrar se guarda en varias ubicaciones y se añade varias veces al registro.
Inicia en modo a prueba de fallos
Inicio\ejecutar--> msconfig
busca BOOT.INI y selecciona /Safeboot
Antes de reiniciar en modo a prueba de fallos te sugiero que tengas instalado un buen antivirus, firewall y algun anti-spyware (el spybot va bien)
Ejecuta el antivirus una vez que hayas entrado en el modo a prueba de fallos, si encuentra algun archivo o entrada que no te deje eliminar utiliza un programa llamado FileAssasin para eliminarlas.
Una vez hecho esto, te sugiero que pases un buen antivirus online (si vas a hacer esto, tendras que añadir al inicio seguro las funiones de red, en el mismo lugar que pusiste el /SAFEBOOT. La casilla "Red")
Te sugiero que escojas el Ewido para pasar como antivirus online.
Una vez hecho esto, pasa un HijackThis y peganos el LOG que te de, asi veremos si has conseguido eliminar este virus.
Un saludo
PD: Esto deberia ir en Malware
PD2: Te dejo una pagina desde la que bajar archivos de proteccion: http://personales.ya.com/nost/proteccion.htm