Problemas con virus Tasin

01/12/2004 - 14:06 por Juan Pablo | Informe spam
Hola a todos, necesitaría que me ayudarais con un
problema que me ha surgido despues de que mi computadora
fuese infectada con el virus Tasin.
El problema es que desde entonces, cada vez que enciendo
la compu me sale Windows instaler intentando instalar un
programa, dice así :

Windows instaler
La funcion que esta intentando usar está en un recurso de
red que no está disponible.
Haga click en aceptar para intentarlo de nuevo o escriba
en el cuadro siguiente una ruta elternativa hasta una
carpeta que contenga el paquete de
instalación "SGuard.msi"
Usar origen: C:\docume~1\propietario~1\config~1
\temp\vies15B2\UM

Nunca encuentra la ruta y el siguiente mensaje dice

Windowus instaler
No se pudo encontrar la ruta de acceso C:\docume~1
\propietario~1\config~1\temp\vies15B2\UM\Sguard.msi
Compruebe si dispone de acceso a esta ubicación y vuelva
a intentarlo o bien pruebe a buscar el paquete de
instalacion "Sguard.msi" en una carpeta desde la que
pueda instalar el producto Sonic Update Manager.

He de decir que pasé de otro ordenador a este dicha
carpeta, pero tampoco lo reconoce.
Hay alguna solución.
Gracias.
También debo decir que tenía instaldo el oficce 2000 y
ahora no lo encuentro, y además no me deja reinstalarlo
desde el CD, tampoco puedo imprimir en red, porque el
VIRUS se cargó la red y me dice que el controlador no es
válido. etc, etc.
Gracias de nuevo.
 

Leer las respuestas

#1 carles
01/12/2004 - 15:58 | Informe spam
Juan Pablo wrote:
Hola a todos, necesitaría que me ayudarais con un
problema que me ha surgido despues de que mi computadora
fuese infectada con el virus Tasin.
El problema es que desde entonces, cada vez que enciendo
la compu me sale Windows instaler intentando instalar un
programa, dice así :

Windows instaler
La funcion que esta intentando usar está en un recurso de
red que no está disponible.
Haga click en aceptar para intentarlo de nuevo o escriba
en el cuadro siguiente una ruta elternativa hasta una
carpeta que contenga el paquete de
instalación "SGuard.msi"
Usar origen: C:\docume~1\propietario~1\config~1
\temp\vies15B2\UM

Nunca encuentra la ruta y el siguiente mensaje dice

Windowus instaler
No se pudo encontrar la ruta de acceso C:\docume~1
\propietario~1\config~1\temp\vies15B2\UM\Sguard.msi
Compruebe si dispone de acceso a esta ubicación y vuelva
a intentarlo o bien pruebe a buscar el paquete de
instalacion "Sguard.msi" en una carpeta desde la que
pueda instalar el producto Sonic Update Manager.

He de decir que pasé de otro ordenador a este dicha
carpeta, pero tampoco lo reconoce.
Hay alguna solución.
Gracias.
También debo decir que tenía instaldo el oficce 2000 y
ahora no lo encuentro, y además no me deja reinstalarlo
desde el CD, tampoco puedo imprimir en red, porque el
VIRUS se cargó la red y me dice que el controlador no es
válido. etc, etc.
Gracias de nuevo.




Buenas, esta es la información sobre como eliminar, etc.. el virus:

VIRUS: WIN32/PAWUR.C
descripción
nombre: Win32/Pawur.C
aliases: Pawur.C, Tasin.C, Anzae.C, I-Worm.Pawur.C, I-Worm.Pawur.c,
I-Worm/Pawur.C, NewHeur_PE, W32.Inzae.C, W32/Tasin.C.worm, W32/Pawur.C,
WORM_ANZAE.C, W32/Anzae-C, W32/
tipo: Gusano de Internet
fecha: 23/11/2004
gravedad general:
Media
distribución: Ninguna
daño:
Medio
tamaño: 50,832 Bytes
destructivo: Si
lenguaje utilizado: Español
origen: España
nombre asignado por: ESET

INFORMACION


Gusano que se propaga por correo electrónico en mensajes con textos en
español. Es capaz de borrar archivos del sistema infectado. Cuando se
ejecuta, muestra la imagen de una mujer desnuda (Nuria Bermúdez, famosa
en España por sus escándalos).

CARACTERISTICAS




Existe una posible infección cuando:

Se muestra la imagen de una mujer desnuda.

Cae notoriamente el rendimiento del sistema, y están presenten la
siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

Análisis:

El gusano es un archivo de 50,832 bytes.

Puede llegar en mensajes con las siguientes características:

Asunto: [uno de los siguientes]

FW:Como el aire...xD
FW:El amor,el amor,jajaja
FW:Impresiona!!!!
FW:Miralo!!!!
FW:Pero si es cierto!!!
FW:Podr
FW:Venga que lo disfrutes ;) jajaja

Texto del mensaje: [uno de los siguientes]

s de los mismo, pero vale la pena...

s te quise yo :P,jajaja

s dormir??jajaja

:Pero que cosasssssss ,jajajaja

Si tu me vieras

Mirame!, jajaja

Te pongo a 100,jajaja

Miralo y me comentas luego,jajajaja

Pa q tu vea!jajaja

jajajaja,no pue ser!

Pero que cosasssss!

Esto no me lo creo,joeee , jajajaj

Miralo y reenvia!!!!!jajajaja,comparte le

No comment,xDD ,Nos vemos!!

Datos adjuntos: [uno de los siguientes archivos]

basta_ya.zip
claro_que_lo_se.zip
con_mas_amor.zip
las_cosas_cambian.zip
lo_que_te_mereces.zip
lo_que_ves.zip
no_me_lo_creo.zip
nunca_estamos.zip
para_ti_mas.zip
siempre_estas_ahi.zip

Cuando se ejecuta por primera vez, se muestra la imagen desnuda de Nuria
Bermúdez.

Acciones:

Crea los siguientes archivos en el sistema infectado:

c:\windows\system32\command.pif
c:\windows\system32\m.zip
c:\windows\system32\paula.pif
c:\windows\system32\ss.exe
c:\windows\system32\svchosl.pif
c:\windows\system32\sw.exe
c:\windows\system32\sx.exe
c:\windows\system32\sz.exe

También crea los siguientes archivos:

X:\codm
X:\extasis8.pif
X:\inzae.pif
X:\p
X:\page
X:\pht003.pif
X:d2_roberto.pif
X:\symbolic3.pif

Donde "X" representa las unidades de disco C:, D:, E: y F:.

Modifica o crea la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Svchost = c:\windows\system32\svchosl.pif

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows"
y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32",
"c:\windows\system").

Para enviarse por correo electrónico, utiliza su propio motor SMTP.

El gusano puede borrar archivos con las siguientes extensiones:

.asm
.asp
.bdsproj
.bmp
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.htm
.html
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls

INSTRUCCIONES PARA ELIMINARLO




Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una
herramienta gratuita para desinfectar ordenadores afectados por este
gusano sin necesidad de realizar pasos manuales y que puede ser
descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al
Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "Svchost", en la
siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar
toda presencia del gusano.

Preguntas similares