Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

AYUDA - PC Infectado con programa-virus desconocido

15/10/2003 - 17:44 por yurguen | Informe spam
Ayuda Hacer una pregunta
Hola!

Desde hace cierto tiempo se me ha instalado en el ordenador algo que no sé
como quitar, y eso que trabajo como informático. No se me ocurre qué hacer,
y no me puedo permitir el lujo de formatear el PC y estar 2 dias
configurándolo de nuevo,...

Cuando arranco el ordenador, me empiezan a salir imagenes (tipo
salvapantallas) de gays, haciendo posturitas. Aquí me deshabilita el
ctr+alt+spr, y cualquier tecla abreviada para cerrar la aplicación. Tras
unos dos minutos, empieza un video mpg, y aquí sí que puedo cerrarlo. Por
otra parte, me cambia el fondo de escritorio a una imagen de esas, y en la
pestaña de configuración de pantalla, me deshabilita la solapa de cambiar de
fondo. Por otra parte, me cambia el nombre de la unidad por GAYSISTEM, la
pagina de inicio del Internet explorer también, y en la barra de Internet
explorer, aparece permanentemente la frase "!!! GAYSEX IS GREAT !!!"

Todo esto me sale solo una vez al día, cuando ejuto cualquier aplicación al
encender el ordenador. Si dejo el ordenador encendido, también ocurre, por
lo que la aplicación tiene que estar programada para que a partir de cierta
hora comience o se active. He revisado el msconfig, por si veia algo raro, y
nada. He probado con diversos antivirus, y ni rastro. También le he pasado
el adaware actualizado, y tampoco nada. He probado a eliminar el usuario y
crear otro diferente, y aparentemente funcionaba, ya que en el navegador no
aparecia la frase arriba "!!! GAYSEX IS GREAT !!!", pero al día siguiente,
todo se volvía a cargar.

He comprobado que el video que carga después de las secuencias de imagenes,
lo deja en windows/system, y aunque lo borre, al dia siguiente como nada,...

Alguna idea o pista??
Qué puedo hacer??

Gracias por vuestra ayuda !!
email Siga el debateRespuesta 4 respuestasRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Ille Corvus
15/10/2003 - 18:33 | Informe spam
El Wed, 15 Oct 2003 17:44:04 +0200, "yurguen"
escribio:

Desde hace cierto tiempo se me ha instalado en el ordenador algo que no sé
como quitar, y eso que trabajo como informático. No se me ocurre qué hacer,
y no me puedo permitir el lujo de formatear el PC y estar 2 dias
configurándolo de nuevo,...

Cuando arranco el ordenador, me empiezan a salir imagenes (tipo
salvapantallas) de gays, haciendo posturitas. Aquí me deshabilita el
ctr+alt+spr, y cualquier tecla abreviada para cerrar la aplicación. Tras
unos dos minutos, empieza un video mpg, y aquí sí que puedo cerrarlo. Por
otra parte, me cambia el fondo de escritorio a una imagen de esas, y en la
pestaña de configuración de pantalla, me deshabilita la solapa de cambiar de
fondo. Por otra parte, me cambia el nombre de la unidad por GAYSISTEM, la
pagina de inicio del Internet explorer también, y en la barra de Internet
explorer, aparece permanentemente la frase "!!! GAYSEX IS GREAT !!!"

Todo esto me sale solo una vez al día, cuando ejuto cualquier aplicación al
encender el ordenador. Si dejo el ordenador encendido, también ocurre, por
lo que la aplicación tiene que estar programada para que a partir de cierta
hora comience o se active. He revisado el msconfig, por si veia algo raro, y
nada. He probado con diversos antivirus, y ni rastro. También le he pasado
el adaware actualizado, y tampoco nada. He probado a eliminar el usuario y
crear otro diferente, y aparentemente funcionaba, ya que en el navegador no
aparecia la frase arriba "!!! GAYSEX IS GREAT !!!", pero al día siguiente,
todo se volvía a cargar.



Soluciones y referencia de las mismas:

***************************************************************************
Informacion extraida de:
http://www.zonavirus.com/Foro/topic..._ID&38

Síntomas:
Al iniciar sesión aparecen un montón de imágenes o un video de alto
contenido gay. Cambia el fondo de escritorio poniendo otra imagen, los
nombres de las unidades de disco (GAYSYSTEM, GAYLOVE,etc...), el
titular y la página de inicio del navegador.

El bicho creará los siguientes archivos y líneas en el registro de
Windows:

Archivos:
windows\system32\xtra.bmp
windows\system32\cdrunxp.exe
windows\system32\gay.mpg
windows\system32otepad32.exe o windows\system32\iexplorer32.exe

Registro:
\HKEY_CLASSES_ROOT\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Window Title REG_SZ !!! GAYSEX IS GREAT !!!

Solución:
Borrar todos los ficheros anteriormente citados:

windows\system32\xtra.bmp
windows\system32\cdrunxp.exe
windows\system32\gay.mpg
windows\system32otepad32.exe o windows\system32\iexplorer32.exe
windows\system32otepad.exe (este seguro que está en alemán)

\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\

Window Title REG_SZ !!! GAYSEX IS GREAT !!!

Modificar:
\HKEY_CLASSES_ROOT\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
C:\WINDOWS\system32\cdrunxp.exe "%1" %*

Borrar <> y dejar solo << "%1" %* >>

Si no se elimina bien, todos los síntomas vuelven a aparecer a las 12
de la noche.
***************************************************************************

(+) Referencias:
http://www.vsantivirus.com/gaslide-int.htm
http://securityresponse.symantec.co....intd.html

No estaria de mas instalarte un cortafuegos, y un antivirus.

Salu2.



Ille Corvus. Res, non verba.
"Cave canem..."

Preguntas similares

 

Busqueda sugerida :