Virus NIMOS. Intento reparar pero se pone XP en negro.

[guercab]

Hola, desde hace varios días estoy [color=red][b]infectado por el virus NIMOS[/b][/color].



Tengo MCafee pero no me lo detecta.

[b]Me lo detecta el TROYAN EXPLORER.[/b]



Hoy [b]he querido eliminarlo[/b], e intento borrar las modificaciones que ha hecho el virus en el registro de windows XP desde el modo a prueba de fallos, pero cuando reinicio [b]se me queda el ordenador colgado con una pantalla totalmente en negro[/b] y con el ratón en funcionamiento.



La pantalla se me queda negra de todas las formas que he intentado entrar, a prueba de fallos, etc.



¿ALGUIEN ME PUEDE ECHAR UN MANO?

¿CÓMO PUEDO ARRANCAR EN MODO MS-DOS Y RECUPERAR EL REGISTRO?



GRACIAS.

Otra información: El archivo del virus se llama [color=red][b]LSASS.EXE[/b][/color] y lo graba en C:\WINDOWS\SYSTEM32.

[b]Tengo WinXP[/b] y partición con[b] NTFS[/b].

[/b]

[msc hotline sat]

Aquí tienes la descripción de este virus:



http://securityresponse.symantec.com/avcenter/venc/data/w32.nimos.worm.html



y sobre el lsass.exe, mira lo que comentamos en este foro:


[quote]


Ya hablabamos al respecto de esto en el anterior foro:



msc hotline sat

Administrator





España

4955 Mensajes Enviado el 13/02/2004 : 11:49:16

--------------------------------------------------------------------------------

isass - isass.exe - Process Information

Process File: isass or isass.exe

Process Name: isass

Description: Virus added to the system as a result of variant of the OPTIX PRO TROJAN that opens TCP port 3410 and allows a hacker to control an infected computer

_____________________________________________________________________



Lsass is a vital program. (I)sass how ever is not. It is a trojan that stops your antivirus program from scanning your PC.



____________________________________________________________________



Los dos extractos de arriba son obtenidos de páginas de Internet, donde se aclara que el ISASS.EXE es un troyano spyware, mientras que el LSASS.EXE es del sistema operativo WINDOWS 2000 y NT.


[/quote]

Me dices que McAfee no te lo detecta. Mira la version de DATS. La actual es 4345, y piensa que este virus es reciente, luego según la version que tengas de DATS no lo va a conocer. ACTUALIZA el antivirus !!!



Si pudieras, te agradecería que nos enviaras muestra de este fichero LSASS.EXE donde te detectan infectado, lo cual puede ser si tuvieras dicho virus



Si todavía lo tienes, envialo anexado a un mail dirigido a zonavirus@satinfo.es y en el texto del mail pon un copiar y pegar de este post.



Si hiciere falta, haríamos una utilidad de eliminacion de este bicho.



A su recepcion y ensayo, te contestaremos como respuesta a este Tema.



saludos



ms, 29-03-2004





saludos



ms, 29-03-2004

[guercab]

Me ha parecido que puedo arrancar el ordenador en modo ms-dos con el disco de instalación de WinXP, de ésta forma espero poder copiar el archivo LSASS.EXE en un disquete y enviaroslo.



Tengo el Antivirus actualizado prácticamente al día y no me detecta NIMOS, sólo me lo ha detectado el TROYAN EXPLORER.



De todos modos, [b]¿me podéis orientar en cómo arreglar el problema con el arranque?[/b]. Me suena que se puede recuperar el archivo de registro sin tener que entrar a WinXP, yo pienso que con restaurar el archivo de registro de windows volvería a poder entrar en WinXP.



GRACIAS.

Pd. Gracias por la aclaración sobre Mensaje CERRADO.

[msc hotline sat]

Aparte de lo arriba expuesto, el usuario ha abierto otro Tema al respecto, que se ha bloqueado, para evitar duplicidad, pero que anexo a continuacion y procedo a contestar:


[quote]
guercab







Registrado: 29 Mar 2004

Mensajes: 3



Publicado: Lun Mar 29, 2004 2:57 pm Asunto: Al iniciar WinXP se queda todo en negro. Ref. mens. NIMOS.



--------------------------------------------------------------------------------



Hola, en un mensaje anterior anuncié que al intentar desinfectar el ordenador del virus NIMOS metí la pata y borré información del archivo de registro.

En la repuesta me dirigen a una página con información sobre cómo eliminar el virus NIMOS.

He de advertír que ya vi esa página y que eso es exactamente lo que hice.



El problema está en que después de borrar las entradas del registro que dicen el ordenador se queda bloqueado al arrancar, después de la pantalla de "Windows XP se está cargando" en la que aparece una barrita moviéndose. La pantalla se queda totalmente en NEGRO y bloqueada, lo único que sale es el puntero del ratón, el cual sí se puede mover.

No hay forma de arrancar WinXP ni en modo a prueba de fallos.



¿CÓMO PUEDO RECUPERAR EL REGISTRO?

Ya que ha sido peor el remedio que la enfermedad.

ACEPTO SUGERENIAS.



GRACIAS, y sobre todo gracias por vuestra rapidez al contestar al mensaje anterior.


[/quote]

[msc hotline sat]

Mire de arrancar en última configuracion buena conocida, que se obtiene al final de la pantalla de inicio que le ofrece XP cuando pulsa repetidamente F8 al arrancar.



Vea si así le arranca.



saludos



ms, 29-03-2004

[guercab]

He intentado arrancar con todas las opciones que aparece en el menú de F8 y ninguna de ellas me ha dado un resultado satisfactorio, en todas ellas se queda la pantalla en negro al intentar cargar WinXP.



Lo único que he podido hacer el arrancar con el CD de WinXP y entrar en modo MSDOS pero no sé como recuperar o restaurar el archivo de registro ya que el MS-DOS que me da no es el de toda la vida (el que había antes del Win95).

[msc hotline sat]

Vea si pulsando repetidamenet F( al arrancar, le aparfece al final la opcion de arrancar con la configuracion del ultimo arranque bueno conocido



Es la única manera de recueprar su registro de sistema.



Si ya no se lo ofrece, no lo puede copiar de ningun otro sitio, pues es un fichero personalizado resultado de las aplicaciones instaladas.



Como último recurso vea si puede recuperar el archivo borrado con las utilidades de desborrar ficheros de NTFS a través de las utilidades de http://www.ntfs.com



Suerte.



saludos

ms, 29-03-2004

[guercab]

No arranca con la opción "arrancar con la configuracion del ultimo arranque bueno conocido". Se queda con la pantalla en negro segundos después de "Windows XP se está iniciando".



He mirado en la página http://www.ntfs.com y no tienen ninguna aplicación para recuperar el archivo de registro.



De todos modos, yo no he borrado el archivo de registro de windows sino que lo he modificado y lo que quiero es restaurarlo con una copia anterior que tenga el Sistema Operativo almacenada. Creo haber leido en alguna parte por internet que hay una serie de comandos que te permiten hacer eso sin necesidad de entrar en WinXP, es decir, desde MS-DOS.



Me estoy temiendo lo peor y es que tendré que formatear y reinstalar WinXP.

[msc hotline sat]

Cuando la tiene, la ofrece en la página de inicio al arrancar pulsando repetidamente F9.



Voy a ver lo de ntfs.com, que igual lo tienen los mismos en otro dominio.



saludos



ms, 29-03-2004

[msc hotline sat]

Vea el siguiente link:



http://www.ntfs.com/disk-scan.htm



Miro de conseguirle una utilidad para ello.



saludos



ms, 29-03-2004

[msc hotline sat]

Del siguiente link puede bajar un freeware de desborrado de ficheros en NTFS:



http://www.uneraser.com/download.htm



saludos



ms, 29-03-2004

[msc hotline sat]

De todas formas creo que nos estamos desviando del Tema inicial, que era el virus NIMOS en el fichero Lsass.exe,



Podría ser que restauruando dicho fichero por el original se le solucionara el problema.



Puede tratar de hacerlo arrancando con un disquete de inicio que le genere la siguiente aplicacion



__________________________________________



Para acceder a ficheros en sistemas NTFS que no arranquen, y se puedan salvar datos de interés: (la ejecución de la utilidad, crea disquete de arranquem que es sovreescrito)



http://www.ntfs.com/boot-disk.htm

_________________________________________







y , primero sacar el fichero LSaSS.exe de la carpeta c:\windows\system32 a un disquete, y este enviarnoslo conforme le hemos pedido, a zonavirus@satinfo.es



Luego copiar el Lsass.exe de otra máquina con sistema XP, al directorio en cuestion.



A ver si esto tan fácil le arregla el problema.



sañudos



ms, 29-03-2004

[guercab]

Intentaré sustituirlo por una copia de otro WinXP de otro ordenador.

Pero... de todos modos yo sigo pensando que el problema radica en haber borrado claves de registro que hacían referencia a dicho archivo en el registro de windows, puesto que el archivo LSASS.EXE yo no lo he tocado en ningún momento y el problema comenzó cuando modifiqué el REGISTRO de windows.



De todos modos lo intentaré y les diré los resultados así como les enviaré la copia infectada.



GRACIAS.

[guercab]

He utilizado las aplicaciones que me aconsejaron para poder leer NTFS en DOS pero no me ha servido de mucho, ya que sustituí el fichero LSASS.EXE por otro y siguía sin funcionar.



Al final he podido entrar en WinXP ARREGLANDO WINDOWS desde el cd de instalación de WindowsXP ya que hay un momento en la instalación que pregunta si queremos reparar WinXP o queremos volver a instalarlo, pues bien, yo le he dado a reparar y me ha funcionado, por lo menos puedo entrar y ahora hacer copia de todos mi archivos de trabajo, de todos modos tendré que formatear ya que no funcionan bien algunos de los controladores, por ejemplo el del teclado inalámbrico.



El programa TROYAN EXPLORER me sigue encontrando el virus NIMOS en el archivo LSASS.EXE y a parte también me encuentra el MBR, el cual ya eliminé en su momento y ahora lo tendré que volver a eliminar, pero... tengo una duda ¿NO SERÁ EL MBR UNA APLICACIÓN Y NO UN TROYANO? lo digo porque me lo ha encontrado en todos los ordenadores que he instalado el XP y ahora me lo ha encontrado recién instalado éste.



He vuelto a pasar el Antivirus MCafee con la última actualización y sigue sin encontrarme dicho virus, y lo tengo configurado para una revisión máxima, vamos que mira hasta debajo de las letras.



Bueno, de todos modos agradezco mucho su ayuda, la cual ha sido de vital importancia para mi, ya que han estado ahí en los momentos más difíciles.



Les envío por email el fichero LSASS.EXE y el informe que me genera el TROYAN EXPLORER. Agradecería me dijesen la solución una vez lo investiguen.



GRACIAS.

[msc hotline sat]

El fichero que nos ha enviado es exactamente igual al que tenemos instalado en todos los XP, por tanto, nos ha envuado el fichero original de Microsoft, una vez lo ha restaurado con la reparación del CDROM de instalacion.



Su tamaño es de 11.776 bytes.



Vea si tiene otro en su disco duro, pues con este no hay nada que analizar



Ignoramos lo que pueda haberle hecho en el MBR, si bien si dice que lo está detectando igual en dicho sector que en el fichero, puede que sea una falsa alarma.



Vea si tiene un LSASS.EXE realmente infectado y puede volverf a enviarnoslo, para que podamos ayudarle.



En tal caso, infectaríamos una máquina, veríamos los cambios en registro y en MBR, y podríamos hacer una utilidad para restauración al respecto.



saludos



ms, 30-03-2004

[guercab]

No hay error, el fichero que les he enviado es el que había ANTES de reparar el XP, y aún después el TROYAN EXPLORER me avisa que el fichero LSASS.EXE actual sigue infectado.



Me estoy temiendo que realmente no hay tales virus (MBR, NIMOS) sino que es el TROYAN EXPLORER el que informa de virus sin haberlos.



Si uds. se han cerciorado de que no hay virus en el fichero que les he enviado y el mcafee tampoco me lo detecta, entonces ¿qué encuentra el troyan explorer? ¿por qué dice que está el fichero infectado por el virus NIMOS, si realmente no lo está?



He de decirles que antes de sustituir el fichero LSASS.EXE pude comprobar que tanto el infectado como el sano eran idénticos en fechas y tamaños, siendo de distintos ordenadores, y es por eso por lo que me inclino hacia la decsión de que el TROYAN EXPLORER se confunde.



¿Hay algún antivirus ON-LINE de los que en esta página ofrecen que pueda detectar con seguridad el NIMOS? Hace 5 de días revisé el equipo con el panda on-line de ésta página y tampoco me lo detectó.



GRACIAS.

[msc hotline sat]

El antivirus ONLINE del siguiente link es fiable, pero al igual que Vd, creemos que puede ser una falsa alarma de la version que utiliza del TROJAM EXPLORER:



Para test ONLINE antivirus:



https://www.virustotal.com/es/



saludos



ms, 30-03-2004

[guercab]

He testeado mi ordenador con el antivirus online que me habéis dicho y efectivamente no me ha encontrado nada.

Conclusión, el TROYAN EXPLORER me encuentra virus "fantasmas", por lo tanto lo desinstalaré y por último agradeceré me digáis algún programa que me detecte troyanos y si los elimina él mucho mejor, preferiría que fuese freeware.



GRAICAS.

[msc hotline sat]

__________________________________________



y para antivirus gratis, solo para uso particular, existe el AVG, que GreatMamut indica en un post al respecto



Descárgalo en:

http://www.grisoft.com/us/us_dwnl_free.php

Solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa

__________________________________________



y para ayuda, se requiere acrobat reader, Araceli recomienda:



http://bravo.c5.cl/~telecom/2003/modules/Talleres_ABP/Manuales/Nivel_I/procedimientos/avg.pdf

__________________________________________



Para leer ficheros PDF, hay el AcrobatReader, freeware:



http://www.adobe.es/products/acrobat/readstep2.html

__________________________________________



saludos



ms, 30-03-2004

[guercab]

GRACIAS POR VUESTRA COLABORACIÓN.

[msc hotline sat]

Encantados de haberle sido de utilidad. Ha sido un placer.



saludos



ms, 30-03-2004