AYUDA - PC Infectado con programa-virus desconocido

El Wed, 15 Oct 2003 17:44:04 +0200, "yurguen"
escribio:

Desde hace cierto tiempo se me ha instalado en el ordenador algo que no sé
como quitar, y eso que trabajo como informático. No se me ocurre qué hacer,
y no me puedo permitir el lujo de formatear el PC y estar 2 dias
configurándolo de nuevo,...

Cuando arranco el ordenador, me empiezan a salir imagenes (tipo
salvapantallas) de gays, haciendo posturitas. Aquí me deshabilita el
ctr+alt+spr, y cualquier tecla abreviada para cerrar la aplicación. Tras
unos dos minutos, empieza un video mpg, y aquí sí que puedo cerrarlo. Por
otra parte, me cambia el fondo de escritorio a una imagen de esas, y en la
pestaña de configuración de pantalla, me deshabilita la solapa de cambiar de
fondo. Por otra parte, me cambia el nombre de la unidad por GAYSISTEM, la
pagina de inicio del Internet explorer también, y en la barra de Internet
explorer, aparece permanentemente la frase "!!! GAYSEX IS GREAT !!!"

Todo esto me sale solo una vez al día, cuando ejuto cualquier aplicación al
encender el ordenador. Si dejo el ordenador encendido, también ocurre, por
lo que la aplicación tiene que estar programada para que a partir de cierta
hora comience o se active. He revisado el msconfig, por si veia algo raro, y
nada. He probado con diversos antivirus, y ni rastro. También le he pasado
el adaware actualizado, y tampoco nada. He probado a eliminar el usuario y
crear otro diferente, y aparentemente funcionaba, ya que en el navegador no
aparecia la frase arriba "!!! GAYSEX IS GREAT !!!", pero al día siguiente,
todo se volvía a cargar.

Soluciones y referencia de las mismas:

***************************************************************************
Informacion extraida de:
http://www.zonavirus.com/Foro/topic..._ID&38

Síntomas:
Al iniciar sesión aparecen un montón de imágenes o un video de alto
contenido gay. Cambia el fondo de escritorio poniendo otra imagen, los
nombres de las unidades de disco (GAYSYSTEM, GAYLOVE,etc...), el
titular y la página de inicio del navegador.

El bicho creará los siguientes archivos y líneas en el registro de
Windows:

Archivos:
windows\system32\xtra.bmp
windows\system32\cdrunxp.exe
windows\system32\gay.mpg
windows\system32otepad32.exe o windows\system32\iexplorer32.exe

Registro:
\HKEY_CLASSES_ROOT\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Window Title REG_SZ !!! GAYSEX IS GREAT !!!

Solución:
Borrar todos los ficheros anteriormente citados:

windows\system32\xtra.bmp
windows\system32\cdrunxp.exe
windows\system32\gay.mpg
windows\system32otepad32.exe o windows\system32\iexplorer32.exe
windows\system32otepad.exe (este seguro que está en alemán)

\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\

Window Title REG_SZ !!! GAYSEX IS GREAT !!!

Modificar:
\HKEY_CLASSES_ROOT\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

Borrar <> y dejar solo << "%1" %* >>

Si no se elimina bien, todos los síntomas vuelven a aparecer a las 12
de la noche.
***************************************************************************

(+) Referencias:
http://www.vsantivirus.com/gaslide-int.htm
http://securityresponse.symantec.co....intd.html

No estaria de mas instalarte un cortafuegos, y un antivirus.

Salu2.



Ille Corvus. Res, non verba.
"Cave canem..."

revise desde www.antivirus.com la maquina ya que creo que sus antivirus no estan actualizados ...


free scanner

-
Rodolfo Parrado Gutiérrez
Bogotá - Colombia
Mcp,Mcp+I,Mcse,Mct
-
This posting is provided "AS IS" with no warranties, and confers no rights.
Este mensaje se proporciona "como está" sin garantías de ninguna indole, y no otorga ningún derecho.
-
Asegurese de buscar desde el enlace sobre lo que esta buscando ya que muchas veces la pregunta ya fue respondida mas de una vez
http://groups.google.com/groups?hl=....public.es
-





"yurguen" escribió en el mensaje news:bmjq14$g48$

Hola!

Desde hace cierto tiempo se me ha instalado en el ordenador algo que no sé
como quitar, y eso que trabajo como informático. No se me ocurre qué hacer,
y no me puedo permitir el lujo de formatear el PC y estar 2 dias
configurándolo de nuevo,...

Cuando arranco el ordenador, me empiezan a salir imagenes (tipo
salvapantallas) de gays, haciendo posturitas. Aquí me deshabilita el
ctr+alt+spr, y cualquier tecla abreviada para cerrar la aplicación. Tras
unos dos minutos, empieza un video mpg, y aquí sí que puedo cerrarlo. Por
otra parte, me cambia el fondo de escritorio a una imagen de esas, y en la
pestaña de configuración de pantalla, me deshabilita la solapa de cambiar de
fondo. Por otra parte, me cambia el nombre de la unidad por GAYSISTEM, la
pagina de inicio del Internet explorer también, y en la barra de Internet
explorer, aparece permanentemente la frase "!!! GAYSEX IS GREAT !!!"

Todo esto me sale solo una vez al día, cuando ejuto cualquier aplicación al
encender el ordenador. Si dejo el ordenador encendido, también ocurre, por
lo que la aplicación tiene que estar programada para que a partir de cierta
hora comience o se active. He revisado el msconfig, por si veia algo raro, y
nada. He probado con diversos antivirus, y ni rastro. También le he pasado
el adaware actualizado, y tampoco nada. He probado a eliminar el usuario y
crear otro diferente, y aparentemente funcionaba, ya que en el navegador no
aparecia la frase arriba "!!! GAYSEX IS GREAT !!!", pero al día siguiente,
todo se volvía a cargar.

He comprobado que el video que carga después de las secuencias de imagenes,
lo deja en windows/system, y aunque lo borre, al dia siguiente como nada,...

Alguna idea o pista??
Qué puedo hacer??

Gracias por vuestra ayuda !!

Hola!

Gracias por la información. Seguro que con esto se soluciona,...

Hoy a la mañana me he puesto manos a la obra, y tras borrar los ficheros
estos, me he encontrado con el siguiente problema, que me temo que no tiene
que ver con el que ya tenía. Vaya racha!!

El ordenador no me ejecuta ningún *.exe.
Siempre que quiero ejecutar alguno, me dice: "windows no puede encontrar el
archivo bla bla bla... asegurese de que la ruta y el nombre del archivo
estan escritos correctamernte,." Todos los ficheros *.exe están en su
lugar, y de echo, windows arranca perfectamente. El antivirus y alguna otra
aplicación que estaba para cargarse en el inicio, no se cargan pero tampoco
da ningún mensaje de error, de que no se encuentran las aplicaciones o algo
así. Tampoco funcionan explorer.exe, regedit, ni msconfig, De momento
las unicas aplicaciones que he visto que funcionen son internet explorer y
outlook express. He pasado el adaware desde otro ordenador, mapeando este, y
aunque ha encontrado alguna cosilla, como siempre, no ha valido para
solucionarlo. Desde otro equipo también, he pasado el antivirus, y no me ha
encontrado nada,... Y no puedo usar disquetes de arranque, porque estos no
tienen los drivers de la controladora raid0, y no me detecta particiones.

Alguna idea??
Gracias!!


"Ille Corvus" escribió en el mensaje
news:

El Wed, 15 Oct 2003 17:44:04 +0200, "yurguen"
escribio:

>Desde hace cierto tiempo se me ha instalado en el ordenador algo que no

sé

>como quitar, y eso que trabajo como informático. No se me ocurre qué

hacer,

>y no me puedo permitir el lujo de formatear el PC y estar 2 dias
>configurándolo de nuevo,...
>
>Cuando arranco el ordenador, me empiezan a salir imagenes (tipo
>salvapantallas) de gays, haciendo posturitas. Aquí me deshabilita el
>ctr+alt+spr, y cualquier tecla abreviada para cerrar la aplicación. Tras
>unos dos minutos, empieza un video mpg, y aquí sí que puedo cerrarlo. Por
>otra parte, me cambia el fondo de escritorio a una imagen de esas, y en

la

>pestaña de configuración de pantalla, me deshabilita la solapa de cambiar

de

>fondo. Por otra parte, me cambia el nombre de la unidad por GAYSISTEM, la
>pagina de inicio del Internet explorer también, y en la barra de Internet
>explorer, aparece permanentemente la frase "!!! GAYSEX IS GREAT !!!"
>
>Todo esto me sale solo una vez al día, cuando ejuto cualquier aplicación

al

>encender el ordenador. Si dejo el ordenador encendido, también ocurre,

por

>lo que la aplicación tiene que estar programada para que a partir de

cierta

>hora comience o se active. He revisado el msconfig, por si veia algo

raro, y

>nada. He probado con diversos antivirus, y ni rastro. También le he

pasado

>el adaware actualizado, y tampoco nada. He probado a eliminar el usuario

y

>crear otro diferente, y aparentemente funcionaba, ya que en el navegador

no

>aparecia la frase arriba "!!! GAYSEX IS GREAT !!!", pero al día

siguiente,

>todo se volvía a cargar.

Soluciones y referencia de las mismas:

***************************************************************************

Informacion extraida de:
http://www.zonavirus.com/Foro/topic..._ID&38

Síntomas:
Al iniciar sesión aparecen un montón de imágenes o un video de alto
contenido gay. Cambia el fondo de escritorio poniendo otra imagen, los
nombres de las unidades de disco (GAYSYSTEM, GAYLOVE,etc...), el
titular y la página de inicio del navegador.

El bicho creará los siguientes archivos y líneas en el registro de
Windows:

Archivos:
windows\system32\xtra.bmp
windows\system32\cdrunxp.exe
windows\system32\gay.mpg
windows\system32otepad32.exe o windows\system32\iexplorer32.exe

Registro:
\HKEY_CLASSES_ROOT\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Window Title REG_SZ !!! GAYSEX IS GREAT !!!

Solución:
Borrar todos los ficheros anteriormente citados:

windows\system32\xtra.bmp
windows\system32\cdrunxp.exe
windows\system32\gay.mpg
windows\system32otepad32.exe o windows\system32\iexplorer32.exe
windows\system32otepad.exe (este seguro que está en alemán)

\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\

Window Title REG_SZ !!! GAYSEX IS GREAT !!!

Modificar:
\HKEY_CLASSES_ROOT\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

Borrar <> y dejar solo << "%1" %* >>

Si no se elimina bien, todos los síntomas vuelven a aparecer a las 12
de la noche.

***************************************************************************

(+) Referencias:
http://www.vsantivirus.com/gaslide-int.htm

http://securityresponse.symantec.co....intd.html

No estaria de mas instalarte un cortafuegos, y un antivirus.

Salu2.



Ille Corvus. Res, non verba.
"Cave canem..."

El Thu, 16 Oct 2003 13:14:17 +0200, "yurguen"
escribio:

Gracias por la información. Seguro que con esto se soluciona,...

El ordenador no me ejecuta ningún *.exe.
Siempre que quiero ejecutar alguno, me dice: "windows no puede encontrar el
archivo bla bla bla... asegurese de que la ruta y el nombre del archivo
estan escritos correctamernte,." Todos los ficheros *.exe están en su
lugar, y de echo, windows arranca perfectamente. El antivirus y alguna otra
aplicación que estaba para cargarse en el inicio, no se cargan pero tampoco
da ningún mensaje de error, de que no se encuentran las aplicaciones o algo
así. Tampoco funcionan explorer.exe, regedit, ni msconfig, De momento
las unicas aplicaciones que he visto que funcionen son internet explorer y
outlook express. He pasado el adaware desde otro ordenador, mapeando este, y
aunque ha encontrado alguna cosilla, como siempre, no ha valido para
solucionarlo. Desde otro equipo también, he pasado el antivirus, y no me ha
encontrado nada,... Y no puedo usar disquetes de arranque, porque estos no
tienen los drivers de la controladora raid0, y no me detecta particiones.

Actualizar el antivirus a la ultima version y actualizacion de la
base de datos, ¿me imagino que el antivirus estara en modo local en
ese equipo?

Ir a windowsupdate y actualizar windows.

Arrancar a modo prueba de fallos, y pasale un escaner con el
antivirus a todos los discos duros que tengas.

Cuentanos que tal.

P.D. Seria recomendable que te crearas discos (varios) de arranque (yo
los llamo Panic Disk), con los drivers que necesites, y realizar
copias de respaldo de los ficheros.



Ille Corvus. Res, non verba.
"Cave canem..."