[SOLUCIONADO] Ayuda win32: virut.nbp win32:parite, heur, new_heur.pe virus

Iniciado por darkangel2125, Agosto 08, 2011, 11:34:53 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Agosto 08, 2011, 11:34:53 AM Ultima modificación: Febrero 09, 2015, 12:17:33 PM por Expermicid
hace poco me tope con este virus q mas parece un gusano por q se autocopia a todos los ejecutable, te deja como un usuario de la maquina infectada quitandote todos los permisos de administrador, o sea no funciona el administrador de tareas de windows y tampoco el editor de registro
buscando en inter encontre una solucion(segun ellos a mi no me funciono) donde tenia q entrar al editor de registro y buscar una carpeta llamada PINF y eliminarla (tenia la ruta pero de todos modos no funciono), pero no halle dicha carpeta, y despues de unos minutos perdi los derechos de administrador, luego tambien me baje una herramienta para eliminar dicho variacion de gusano, al principio me funciono encontro y limpio aprox 56.000 archivos, pero existian algunos archivos q no se podian abrir para esa herramienta y tambien creo q creaba nuevos archivos o modificaba archivos q existian por q digamos q habia un archivo llamado texto de prueba.doc estaba el archivo pero asi teX$ o d Ç Pru$ a.doc despues de usar esa herramienta crei q todo habia terminado pero no fue asi, cuando inserte mi usb al tratar de sacarla me dijo q estaba usando un archivo y q lo cerrara para no dañar la informacion q estaba siendo usada, y en otra maquina al conectar el usb hay estaba ese virus, el nod lo detecto como virut:nbp y elimino mis archivos
tal vez alguien q se haya topado con ese virus me pueda dar una mano por q necesito usar mi ordenador
p.d. quiero probar con antivirus (o sea uno y luego otro) pero el avast elimino los archivos (incluyendo todo lo dentro de la carpeta windows) y tuve q instalar de nuevo el Sistema Operativo Xp server pack 3, ojala puedan echarme una mano
intente migrar a linux (Fedora)pero mi hermano es usuario de windows y no quiere usar una maquina virtual, creo q el es mas dueño q yo de ese ordenador

Agosto 08, 2011, 11:49:30 AM #1 Ultima modificación: Agosto 08, 2011, 03:20:29 PM por RandomSoft
Si lo que quieres es Activar el Administrador de Tareas, el Registro y Desactivar el Virus, intenta crear una aplicación que modifique el Valor en el Registro, luego intenta acceder al registro y revisar la Ruta:

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

Ai podras ver donde se encuentra el Virus, elimina ese registro, abre el Administrador de Tareas y Finaliza el Proceso, si no te permite finalizarlo, reinicia la PC y esta vez el Virus no se iniciara y podras eliminarlo en el lugar donde se encuentra, espero que te sirva de algo.
El Lenguaje es la Ciudad para cuya Edificación cada Ser Humano ha Aportado una Piedra

 ;D intentad meteterte a modo a prueba de fallos porque, pues porque se ejutan los procesos
y controladores minimos ahora como se hace esto reincias y presionas la tecla F8 te aparecera
una pantalla negra y le das en modo seguro despues pasadle el antivirus ,tambien deverias revsar los procesos y hacer lo que te dijo Randomsoft.

Salu2

vale, gracias por el consejo randomsoft pero seria mejor encontrar un programa q modifique los valores para darme permisos de administrador (todavia no he llegado ahi en programacion) lo intentare, el modo a prueba de fallos no funciona, sale las letras de Modo a prueba de fallo y 30 min despues sigue asi

Agosto 08, 2011, 05:19:20 PM #4 Ultima modificación: Agosto 08, 2011, 05:21:21 PM por RandomSoft
Ok, que tal si luego te paso un pequeño programa hecho en VB . Net para que lo ejecutes y te de los permisos de Admin, si quieres puedes ir buscando en San Google, puedes Programar en Batch que es facil, solo es cuestion de saber la Ruta del Registro y modificar los valor, es que ahora ando con otra PC y todos mis Archivos estan en mi Laptop, luego lo subo al Foro.
El Lenguaje es la Ciudad para cuya Edificación cada Ser Humano ha Aportado una Piedra

El Win32.Parite es un gusano muy viejo que se propaga por ejecutables. Actualmente existen miles de tools que te desinfectan los ejecutables infectados aunque algunos ejecutables se quedan inservibles. Bajate el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, después reinicia el pc en modo pruebas y fallos, ejecutalo y escanea todas las particiones que tengas. Esta tool te desinfectara los ejecutables que tengas infectados y también creo que elimina los autoruns creados por el gusano.

Saludos.

pues justamente esa es la herramienta q use
Citaral principio me funciono encontro y limpio aprox 56.000 archivos, pero existian algunos archivos q no se podian abrir para esa herramienta y tambien creo q creaba nuevos archivos o modificaba archivos q existian por q digamos q habia un archivo llamado texto de prueba.doc estaba el archivo pero asi teX$ o d Ç Pru$ a.doc despues de usar esa herramienta crei q todo habia terminado pero no fue asi, cuando inserte mi usb al tratar de sacarla me dijo q estaba usando un archivo y q lo cerrara para no dañar la informacion q estaba siendo usada, y en otra maquina al conectar el usb hay estaba ese virus
pues no me saco todo exactamente ya q segundos despues de formatear mi ordenador, ejecutar esa herramienta los permisos de administrador ya estaban fuera, y como mencione en modo seguro
Citarel modo a prueba de fallos no funciona, sale las letras de Modo a prueba de fallo y 30 min despues sigue asi
RandomSoft espero tu programa me baje algunos, pero igual espero tu programa

Despues de Formatear una PC recomiendo hacer lo siguiente:

Presionar la Tecla Windows + R
Escribir GPEDIT.MSC y presionar Enter
Ir a la Sección de "Configuración de Usuario"
Buscar "Planillas Administrativas"
Despues entrar a"Sistema"
Clickear "Desactivar Reproducción Automatica"
Click en el RadioButton "Habilitada"
y en la parte de abajo donde dice: "Desactivar Reproducción Automatica en:"
Seleccionamos: Todas las Unidades.
Clickeamos "Aplicar o Aceptar"
Cerramos todo y nuevamente presionamos las teclas Windows + R
Escribimos GPUPDATE y Listo.

Esto Desactivara las Reproducciones Automaticas de todas las Unidades y Evitaras que los Virus se ejecuten por si solo con los Autorun's.

Espero que les Sirva.

CitarNota: Solo Windows XP
El Lenguaje es la Ciudad para cuya Edificación cada Ser Humano ha Aportado una Piedra


Agosto 09, 2011, 10:36:03 PM #9 Ultima modificación: Agosto 09, 2011, 10:53:21 PM por RandomSoft
Lo prometido es deuda, asi que aqui te esta el programita, espero que te sirva de algo, tratare de aumentarle algunas otras cositas más y mejorarlo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El Lenguaje es la Ciudad para cuya Edificación cada Ser Humano ha Aportado una Piedra

gracias RandomSoft lo estaba esperando , probe con algunos programas pero me saltaba un error al correrlos

Avisame si el Programa te funciono, luego de haber habilitado el registro no te olvides de entrar al registro revisar la ruta:

CitarHKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

Para que puedas ver los Programas que se ejecutan al Iniciar Windows, ai veras el Directorio donde se aloja el Virus y deberas Eliminar el registro, para luego reiniciar la PC y poder Eliminar el Virus.
El Lenguaje es la Ciudad para cuya Edificación cada Ser Humano ha Aportado una Piedra

el programa lanza un error al ejecutarse en cualquier maquina, no funcion. La opcion de desabilitar reproduccion automatica la desactivo pèro no se pueden tocar las unidades a las q se aplican

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Avisame si el Programa te funciono, luego de haber habilitado el registro no te olvides de entrar al registro revisar la ruta:

CitarHKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

Para que puedas ver los Programas que se ejecutan al Iniciar Windows, ai veras el Directorio donde se aloja el Virus y deberas Eliminar el registro, para luego reiniciar la PC y poder Eliminar el Virus.

No solo en HKCU si no en HKLM y en los activeX tambien.

Saludos!

el programa no funciona, sale un error 00000000x838 creo, en lo de desactivar ejecutables, esta la disponible la opcion de no desactivar, pero el campo para elegir q discos esta bloqueado

Agosto 11, 2011, 11:54:43 PM #15 Ultima modificación: Agosto 11, 2011, 11:58:01 PM por RandomSoft
Se me olvido decirte que tienes que tener instalado el FrameWork 2.0 para que pueda Ejecutarse el Programa, con lo referente a lo que es para Desactivar la Reproducción Automatica te habras equivocado en alguna parte o quisas no te haya explicado bien, pero luego subire un Tutorial con imagenes sobre eso.
El Lenguaje es la Ciudad para cuya Edificación cada Ser Humano ha Aportado una Piedra

Agosto 12, 2011, 04:17:55 PM #16 Ultima modificación: Agosto 13, 2011, 01:33:43 PM por D[a]rk_A[n]gel
a los ajustes de Reproduccion automatica si entre, como lo mencione, la opcion desactivar reproduccion automatica funciona, el problema es q el campo en donde se supone q se debe elegir las unidades en las q las desactivo estan bloqueadas
mejor instalo el net framework 2
no es necesario el tuto, no soy tan tonto ??? gracias por tu respuesta y voy a probar suerte
p.d.  encontre otros nombres del malware con el q me infecte son el win32:sality, win32:Heur, y win32:virut todos ellos estan en mi pc ademas en el antivirus aparecio q algunos archivos hacian llamadas a
HKEY_CURRENT_USER
HKLM y otros dos, cuando se activa el virus se vuelve a bloquear los permisos de administrador, o eso creo

Agosto 14, 2011, 06:20:23 PM #17 Ultima modificación: Agosto 17, 2011, 06:42:41 PM por D[a]rk_A[n]gel
en verdad ya estoy aburrido con este virus, ya elimine a los nosecuantosmil parites, ahora tambien elimine un monton de sality y heur y virut, y unos NEW heur_pe virus pero aun asi y despues de formatear nada.
sigue algun virus q no encuentro, ademas q no me deja instalar algunos Avs cuando el proceso de instalacion esta en curso la maquina se reinicia sola y luego el antivirus aparece dañado y cuando lo trato de ejecutar o borrar la maquina se cuelga.
alguien tiene idea de como puedo desinfectarme totalmente o un grupo de pasos q debo realizar para quitarmelo?
el autorun q se autocopia a unidades extraibles dice esto
Citar[AutoRun]
;

;rkukwBknd AUEM ecnksauuhR
oPEN = ojhef.exe
;RIpLe xuohgp
shELl\explore\command=ojhef.exe
;
shelL\Open\DefauLt=1

;nlacSf UnUmUxyIvHiHpSti
SHEll\oPEn\COmMand =ojhef.exe
;
sHELL\AUtoPLay\coMmAnd=ojhef.exe
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
en ese archivo esta el autorun.inf y algunos archivos q tambien se copiaron en el flash, si alguien con maquina virtual me hecha la mano le estaria sumamente agradecido
p.d. los permisos de administrador no se pueden tocar con el programa por q al instalar componentes a windows la instalacion se cierra por MSdos a la fuerza cuando esta a la mitad o se reinicia el ordenador, tal vez con un .vbs
Hasta el momento gracias por sus respuestas

Modifico el tema para no revivirlo
los metodos para la desinfeccion del virus
seguir los pasos citados para eliminar el autoejecutable (RandomSoft) despues de un formateo, limpieza total con nod 32 4.x para q elimine los sality y los new Pe_heur virus, luego desistalar nod e instalar AVG para q elimine los parite o cambiar de xp a 7 o vista da lo mismo no afecta a los otros SO
despues de formatear (solo instala los antivirus nada mas y cuando estes ejecutando el nod ejecuta las herramientas ya q de igual forma ejecuta los virus y con el antivirus se iran a el baul de virus si no todo sera en vano). finalizado todo recien instalar a gusto
lo q me resta saber seria cual es el proceso creado por el virus el rundll32? y en q carpeta continuan sus rastros para eliminarlo completamente


Puedes subir el Virus al foro para poder probarlo en un VM? sino enviamelo y tratare de ayudarte.
El Lenguaje es la Ciudad para cuya Edificación cada Ser Humano ha Aportado una Piedra