Buscador
YoReparo.com La Web 

Regístrate gratis para participar de los foros, o si ya estás registrado haz login.

Foros de soluciones « Zona Windows

Nuevo Virus "WORM_DARBY.0" En Yahoo

comentario del autor Vie Oct 15, 2004 7:49 am
   
Hola a todos aqui los pasos para eliminar este bicho que pocas horas se pego a mi maquina cuando unos de mis Hermanos le infectaron el Virus que se estaba transmitiendo en los chats de Yahoo dejandome inaccesible la maquina y a cada rato cierra una aplicacion aun iniciado a "modo a prueba de fallos", veo que esta es una variante nueva que se esta propagando pero aqui le explico como eliminarlo hecho por mi y la ayuda de www.google.com Saludos.

1. Arrancar la Maquina con F8, luego a "Modo a prueba de Fallo".

2. Dirigete a Inicio luego a ejecutar y luego a Msconfig Exclamation (Ojo cada vez que abres un programa el nuevo gusano lo cierra automaticamente y eliminando el archivo del programa que se ejecuto, para evitar estos cierres presionar las teclas control + Alt + Surp y cerrar los 3 explorer que estan abiertos menos una que es la que usa Windows, si el Virus cerro el programa y elimino el msconfig, usar el Winzip y abrir el CAB "Win98_44.cab" del cd de Window 98 y buscar el msconfig.exe y extraerlo copiandolo a la Carpeta c:\Windows\system\ ), Ingresar a Msconfig dar click a la pestaña Autoexec.bat, eliminar una linea no recuerdo como empezaba pero al final la ruta es c:\Windows\system\*.EXE. verificar si la pestaña config.sys tiene esta linea que mencione denantes, Dar click en la pestaña system.ini, doble click en (boot) desmarcar la primera linea shell=Explorer.exe C:\WINDOWS\SYSTEM\*.EXE, dar click en la pestaña win.ini dandole doble click en (windows) desmarcar la linea norun=C:\WINDOWS\SYSTEM\*.EXE, dar click en la pestaña inicio y desmarcar el elemento * "C:\WINDOWS\SYSTEM\*.EXE" (*.EXE como hay dos maquinas este gusano puso el nombre de "XPWIEKIMG.EXE" y "CTVROUTEARP.SCR" verificar que nombren llevan en esas lineas que mecione y descarmar) Exclamation (Recuerden cada vez que abres un programa el nuevo gusano lo cierra automaticamente y eliminando el archivo del programa respaldar el Archivo msconfig ya sea Win98se o Xp)

3. Eliminar los archivos de Aplicacion que se encuentra en C:\ "Bardiel.hta" "D.exe" "lqlurj.gqe" Exclamation (Cuidado "D.exe" es un archivo de aplicacion pero tiene icono de carpeta) Habia otro archivo pero verifiquen y borrenlo es un archivo que no pertenece al sistema.

4. luego reinicien la maquina y podran iniciar Normal el Windows junto con el Explorador.

5. Al querer abrir el Regedit.exe o el registro de Windows, no vas poder porque el nuevo gusano modifico unas entradas del registro desabilitandolo y modificando comandos de las extenciones de aplicación:
Para habilitar el regedit o el registro de Windows y modificar los comandos de aplicacion en modo original hagan lo siguiente:
Crear un archivo llamado "Restauracion de comandos.vbs", luego editar con el documento de Texto los siguientes comandos:

On Error Resume Next
Set Sh = CreateObject("WScript.Shell")
Sh.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System\DisableRegistryTools"
Sh.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
Sh.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System\DisableTaskMgr"
Sh.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
Sh.RegWrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\", "%1 %*"
Sh.RegWrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\", "%1 %*"
Sh.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\", "%1 %*"
Sh.RegWrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\", "%1 %*"
Sh.RegWrite "HKEY_CLASSES_ROOT\regfile\shell\open\command\", "regedit.exe %1"
Sh.RegWrite "HKEY_CLASSES_ROOT\scrfile\shell\open\command\", "%1 /S"
Sh.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe"
Sh.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run", ""
Set Sh = Nothing

luego Guardenlo y ejecutenlo para hacer los cambios del registro y luego Reiniciar la pc.

Buen manual para utilizar y saber mas sobre el registro de Windows
http://foro.elhacker.net/index.php/topic,14472.0.html

6. Borrar los Archivos que voy a mencionar que se encuentran en c:\windows\system\ "XPWIEKIMG.EXE" "XVUaTBa1.exe" "Image0X1.scr" "InstaladorBetyByte1.ocx" "ISAPLOGUNST1.BAT" "KillUsa1.exe" "NETUNINST3861.BAT" por lo que veo este nuevo variante esta destinado para los americanos porque en el archivo "Bardiel.hta" que esta en c: dice mencionan muerte para israel, ee.uu. y sus aliados departe de iraq Very Happy, bueno espero que lo tomen en cuenta si alguien tiene o les toquen este nuevo mal ya que internet no es seguro.Saludos. Post. Recueden tener y actualizar su antivirus, a mi maquina le pego porque mi hermano lo desabilito Evil or Very Mad .

RICARDOBAR

Reputación
comentario Vie Oct 15, 2004 7:01 pm
   
http://search.freefind.com/find.html?query=WORM_DARBY.0&t=s&lang=es&mode=all&pid=r&id=8696148

http://search.yahoo.com/search?p=WORM_DARBY.0&csz=&ei=UTF-8&fr=FP-tab-web-t&cop=mss&tab=&toggle=1

http://www.google.com.ar/search?hl=es&q=win32+darby&meta=

El-NoXa

Reputación
comentario del autor Vie Oct 15, 2004 10:12 pm
   
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DARBY.G

RICARDOBAR

Reputación


Hacer una pregunta

Boletín de Noticias

Reciba noticias de tecnología, tips de reparación y ofertas exclusivas.



Reglamento / P+F

Foros

Miembros / Expertos