Problemas con virus Tasin

Juan Pablo wrote:
Mostrar la cita

Hola a todos, necesitaría que me ayudarais con un
problema que me ha surgido despues de que mi computadora
fuese infectada con el virus Tasin.
El problema es que desde entonces, cada vez que enciendo
la compu me sale Windows instaler intentando instalar un
programa, dice así :

Windows instaler
La funcion que esta intentando usar está en un recurso de
red que no está disponible.
Haga click en aceptar para intentarlo de nuevo o escriba
en el cuadro siguiente una ruta elternativa hasta una
carpeta que contenga el paquete de
instalación "SGuard.msi"
Usar origen: C:\docume~1\propietario~1\config~1
\temp\vies15B2\UM

Nunca encuentra la ruta y el siguiente mensaje dice

Windowus instaler
No se pudo encontrar la ruta de acceso C:\docume~1
\propietario~1\config~1\temp\vies15B2\UM\Sguard.msi
Compruebe si dispone de acceso a esta ubicación y vuelva
a intentarlo o bien pruebe a buscar el paquete de
instalacion "Sguard.msi" en una carpeta desde la que
pueda instalar el producto Sonic Update Manager.

He de decir que pasé de otro ordenador a este dicha
carpeta, pero tampoco lo reconoce.
Hay alguna solución.
Gracias.
También debo decir que tenía instaldo el oficce 2000 y
ahora no lo encuentro, y además no me deja reinstalarlo
desde el CD, tampoco puedo imprimir en red, porque el
VIRUS se cargó la red y me dice que el controlador no es
válido. etc, etc.
Gracias de nuevo.

Buenas, esta es la información sobre como eliminar, etc.. el virus:

VIRUS: WIN32/PAWUR.C
descripción
nombre: Win32/Pawur.C
aliases: Pawur.C, Tasin.C, Anzae.C, I-Worm.Pawur.C, I-Worm.Pawur.c,
I-Worm/Pawur.C, NewHeur_PE, W32.Inzae.C, W32/Tasin.C.worm, W32/Pawur.C,
WORM_ANZAE.C, W32/Anzae-C, W32/
tipo: Gusano de Internet
fecha: 23/11/2004
gravedad general:
Media
distribución: Ninguna
daño:
Medio
tamaño: 50,832 Bytes
destructivo: Si
lenguaje utilizado: Español
origen: España
nombre asignado por: ESET

Mostrar la cita

INFORMACION

Gusano que se propaga por correo electrónico en mensajes con textos en
español. Es capaz de borrar archivos del sistema infectado. Cuando se
ejecuta, muestra la imagen de una mujer desnuda (Nuria Bermúdez, famosa
en España por sus escándalos).

Mostrar la cita

CARACTERISTICAS

Existe una posible infección cuando:

Se muestra la imagen de una mujer desnuda.

Cae notoriamente el rendimiento del sistema, y están presenten la
siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

Análisis:

El gusano es un archivo de 50,832 bytes.

Puede llegar en mensajes con las siguientes características:

Asunto: [uno de los siguientes]

FW:Como el aire...xD
FW:El amor,el amor,jajaja
FW:Impresiona!!!!
FW:Miralo!!!!
FW:Pero si es cierto!!!
FW:Podr
FW:Venga que lo disfrutes ;) jajaja

Texto del mensaje: [uno de los siguientes]

s de los mismo, pero vale la pena...

s te quise yo :P,jajaja

s dormir??jajaja

:Pero que cosasssssss ,jajajaja

Si tu me vieras

Mirame!, jajaja

Te pongo a 100,jajaja

Miralo y me comentas luego,jajajaja

Pa q tu vea!jajaja

jajajaja,no pue ser!

Pero que cosasssss!

Esto no me lo creo,joeee , jajajaj

Miralo y reenvia!!!!!jajajaja,comparte le

No comment,xDD ,Nos vemos!!

Datos adjuntos: [uno de los siguientes archivos]

basta_ya.zip
claro_que_lo_se.zip
con_mas_amor.zip
las_cosas_cambian.zip
lo_que_te_mereces.zip
lo_que_ves.zip
no_me_lo_creo.zip
nunca_estamos.zip
para_ti_mas.zip
siempre_estas_ahi.zip

Cuando se ejecuta por primera vez, se muestra la imagen desnuda de Nuria
Bermúdez.

Acciones:

Crea los siguientes archivos en el sistema infectado:

c:\windows\system32\command.pif
c:\windows\system32\m.zip
c:\windows\system32\paula.pif
c:\windows\system32\ss.exe
c:\windows\system32\svchosl.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe

También crea los siguientes archivos:

X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\p
X:\page
X:\pht003.pif
X:d2_roberto.pif
X:\symbolic3.pif

Donde "X" representa las unidades de disco C:, D:, E: y F:.

Modifica o crea la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows"
y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32",
"c:\windows\system").

Para enviarse por correo electrónico, utiliza su propio motor SMTP.

El gusano puede borrar archivos con las siguientes extensiones:

.asm
.asp
.bdsproj
.bmp
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.htm
.html
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls

Mostrar la cita

INSTRUCCIONES PARA ELIMINARLO

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una
herramienta gratuita para desinfectar ordenadores afectados por este
gusano sin necesidad de realizar pasos manuales y que puede ser
descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "Svchost", en la
siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar
toda presencia del gusano.

Estimado Carles,

Muy gráfica tu contestación, todo eso ya lo lei, y ya
elimine el virus, mejor dicho, mi propio antivirus,
despues de que el virus hiciera todo el daño que pudo,lo
eliminó automáticamente, una pena que no lo hiciera
antes, lo que yo pedía en mi exposición anterior era si
se podía solucionar el inicio de sesión normalmente sin
que el ordenador me pida instalar ese dichoso programa, o
en su defecto, dónde puedo conseguirlo, y porqué no me
deja volver a instalar el oficce 2000. Creo que no debí
expliquarme bien antes.

De nuevo un saludo y gracias de antemano.


Mostrar la cita

Juan Pablo wrote:
Mostrar la cita

Hola a todos, necesitaría que me ayudarais con un
problema que me ha surgido despues de que mi

computadora
Mostrar la cita

Mostrar la cita

fuese infectada con el virus Tasin.
El problema es que desde entonces, cada vez que

enciendo
Mostrar la cita

Mostrar la cita

la compu me sale Windows instaler intentando instalar

un
Mostrar la cita

Mostrar la cita

programa, dice así :

Windows instaler
La funcion que esta intentando usar está en un recurso

de
Mostrar la cita

Mostrar la cita

red que no está disponible.
Haga click en aceptar para intentarlo de nuevo o

escriba
Mostrar la cita

Mostrar la cita

en el cuadro siguiente una ruta elternativa hasta una
carpeta que contenga el paquete de
instalación "SGuard.msi"
Usar origen: C:\docume~1\propietario~1\config~1
\temp\vies15B2\UM

Nunca encuentra la ruta y el siguiente mensaje dice

Windowus instaler
No se pudo encontrar la ruta de acceso C:\docume~1
\propietario~1\config~1\temp\vies15B2\UM\Sguard.msi
Compruebe si dispone de acceso a esta ubicación y

vuelva
Mostrar la cita

Mostrar la cita

a intentarlo o bien pruebe a buscar el paquete de
instalacion "Sguard.msi" en una carpeta desde la que
pueda instalar el producto Sonic Update Manager.

He de decir que pasé de otro ordenador a este dicha
carpeta, pero tampoco lo reconoce.
Hay alguna solución.
Gracias.
También debo decir que tenía instaldo el oficce 2000 y
ahora no lo encuentro, y además no me deja

reinstalarlo
Mostrar la cita

Mostrar la cita

desde el CD, tampoco puedo imprimir en red, porque el
VIRUS se cargó la red y me dice que el controlador no

es
Mostrar la cita

Mostrar la cita

válido. etc, etc.
Gracias de nuevo.

Buenas, esta es la información sobre como eliminar,

etc.. el virus:
Mostrar la cita

VIRUS: WIN32/PAWUR.C
descripción
nombre: Win32/Pawur.C
aliases: Pawur.C, Tasin.C, Anzae.C, I-

Worm.Pawur.C, I-Worm.Pawur.c,
Mostrar la cita

I-Worm/Pawur.C, NewHeur_PE, W32.Inzae.C,

W32/Tasin.C.worm, W32/Pawur.C,
Mostrar la cita

WORM_ANZAE.C, W32/Anzae-C, W32/
tipo: Gusano de Internet
fecha: 23/11/2004
gravedad general:
Media
distribución: Ninguna
daño:
Medio
tamaño: 50,832 Bytes
destructivo: Si
lenguaje utilizado: Español
origen: España
nombre asignado por: ESET

> INFORMACION
Gusano que se propaga por correo electrónico en

mensajes con textos en
Mostrar la cita

español. Es capaz de borrar archivos del sistema

infectado. Cuando se
Mostrar la cita

ejecuta, muestra la imagen de una mujer desnuda (Nuria

Bermúdez, famosa
Mostrar la cita

en España por sus escándalos).

> CARACTERISTICAS


Existe una posible infección cuando:

Se muestra la imagen de una mujer desnuda.

Cae notoriamente el rendimiento del sistema, y están

presenten la
Mostrar la cita

siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

Análisis:

El gusano es un archivo de 50,832 bytes.

Puede llegar en mensajes con las siguientes

características:
Mostrar la cita

Asunto: [uno de los siguientes]

FW:Como el aire...xD
FW:El amor,el amor,jajaja
FW:Impresiona!!!!
FW:Miralo!!!!
FW:Pero si es cierto!!!
FW:Podr
FW:Venga que lo disfrutes ;) jajaja

Texto del mensaje: [uno de los siguientes]

s de los mismo, pero vale la pena...

s te quise yo :P,jajaja

s dormir??jajaja

:Pero que cosasssssss ,jajajaja

Si tu me vieras

Mirame!, jajaja

Te pongo a 100,jajaja

Miralo y me comentas luego,jajajaja

Pa q tu vea!jajaja

jajajaja,no pue ser!

Pero que cosasssss!

Esto no me lo creo,joeee , jajajaj

Miralo y reenvia!!!!!jajajaja,comparte le

No comment,xDD ,Nos vemos!!

Datos adjuntos: [uno de los siguientes archivos]

basta_ya.zip
claro_que_lo_se.zip
con_mas_amor.zip
las_cosas_cambian.zip
lo_que_te_mereces.zip
lo_que_ves.zip
no_me_lo_creo.zip
nunca_estamos.zip
para_ti_mas.zip
siempre_estas_ahi.zip

Cuando se ejecuta por primera vez, se muestra la imagen

desnuda de Nuria
Mostrar la cita

Bermúdez.

Acciones:

Crea los siguientes archivos en el sistema infectado:

c:\windows\system32\command.pif
c:\windows\system32\m.zip
c:\windows\system32\paula.pif
c:\windows\system32\ss.exe
c:\windows\system32\svchosl.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe

También crea los siguientes archivos:

X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\p
X:\page
X:\pht003.pif
X:d2_roberto.pif
X:\symbolic3.pif

Donde "X" representa las unidades de disco C:, D:, E: y

F:.
Mostrar la cita

Modifica o crea la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

De acuerdo a la versión del sistema operativo, las

carpetas "c:\windows"
Mostrar la cita

y "c:\windows\system32" pueden variar

("c:\winnt", "c:\winnt\system32",
Mostrar la cita

"c:\windows\system").

Para enviarse por correo electrónico, utiliza su propio

motor SMTP.
Mostrar la cita

El gusano puede borrar archivos con las siguientes

extensiones:
Mostrar la cita

.asm
.asp
.bdsproj
.bmp
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.htm
.html
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls

> INSTRUCCIONES PARA ELIMINARLO


Future Time S.r.l., distribuidor italiano de NOD32, ha

publicado una
Mostrar la cita

herramienta gratuita para desinfectar ordenadores

afectados por este
Mostrar la cita

gusano sin necesidad de realizar pasos manuales y que

puede ser
Mostrar la cita

descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los

archivos infectados.
Mostrar la cita

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

para acceder al
Mostrar la cita

Registro del sistema.

5. Elimine bajo la columna "Nombre", la

entrada "Svchost", en la
Mostrar la cita

siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado

para eliminar
Mostrar la cita

toda presencia del gusano.
.