VIRUS: WINUSB.EXE

romix · Mensaje por **romix** » 22 Dic 2004, 00:24

hola alguien me podra ayudar con este maldito virus que no puedo eliminar.....

esta situado en c:/windows/system32/winusb.exe

el AVG 6.0 me lo detecta pero no me lo elimina.

Ademas me aparece en Start Up List del Reg Cleaner 3 veces, las borro de ahi y vuelven a aparecer.

los borro del registro y lo mismo...las borro desde el Spyboot y lo mismo....las borro desde el Hijackthis y lo mismo....nose que c.....hacer..........y ademas trata de conectarse a internet este archivo....cosa que con el Zone alarm pro la impedi.

gracias espero una rapida respuesta por favoooorrrr

caito · Mensaje por **caito** » 22 Dic 2004, 00:33

Trata con un av on line :

http://us.mcafee.com/root/mfs/default.asp

http://housecall.trendmicro.com/

Antes desactiva Restaurar sistema ( XP o ME ).

Salu2

Caito

romix · Mensaje por **romix** » 22 Dic 2004, 00:37

como lo desactivo el restaurar sistema?

...y si no se me conecta a internet?..porque se me conecta cuando quiere.....y quizas la conexion no dura mas de 5 min

carolxsiempre · Mensaje por **carolxsiempre** » 22 Dic 2004, 00:42

Si tienes windows xp y te conectas por adsl prueba hacer esos scan on line en modo a prueba de fallos con funciones de red, de igual forma puedes pasar tu avg, porque podria ser que al estar ejecutandose el proceso en modo normal no sea capaz de eliminarlo.

Saludos

Carolxsiempre

fircsix · Mensaje por **fircsix** » 22 Dic 2004, 00:46

Para desactivar restaurar sistema debes:

- Hacer click derecho sobre Mi PC y darle a propiedades

- En pestaña Rendimiento click en Sistema de Archivos

- En pestaña Solucion de Problemas tildar sobre "desactivar restaurar sistema"

- Aplicar y Aceptar

Saludos.

fircsix

Mensaje por **msc hotline sat** » 22 Dic 2004, 12:55

A titulo de informacion, el nombre indicado de winusb es el del fichero exe que crea como gusano, siendo el nombre del virus, segun la informacion que hemos encontrado de sophos:

el de Rbot-HR:

[quote]
W32/Rbot-HR is a network worm and backdoor Trojan for the Windows platform.

W32/Rbot-HR allows a malicious user remote access to an infected computer.

The worm copies itself to winusb.exe in the Windows system folder and

creates the following registry entries to run itself on startup:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Windows USB controler = winusb.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Windows USB controler = winusb.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Windows USB controler = winusb.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\

Windows USB controler = winusb.exe

W32/Rbot-HR spreads using a variety of techniques including exploiting weak

passwords on computers and SQL servers, exploiting operating system

vulnerabilites (including DCOM-RPC, LSASS, WebDAV and UPNP) and using

backdoors opened by other worms or Trojans.

W32/Rbot-HR can be controlled by a remote attacker over IRC channels. The

infected computer can be used to perform any of the following functions:

Proxy server (SOCKS4)

FTP server

HTTP server

SMTP server

File system Manipulation

Port scanner

DDoS floods (TCP,UDP,SYN)

Remote shell (RLOGIN)

Packet sniffer

Key logger

Patches for the operating system vulnerabilities exploited by W32/Rbot-HR

can be obtained from Microsoft at:

http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/ms04-011.mspx

http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/ms03-026.mspx

http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/ms03-007.mspx

http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/ms01-059.mspx
[/quote]

No es habitual este virus y apenas hemos tenido incidencias. Por ello, si todavía tiene el fichero gusano, envienoslo anexado a un mail a virus@satinfo.es y lo estudiaremos y en su caso haremos una utilidad de eliminacion para él, para facilitar la eliminacion.

saludos

ms, 22-12-2004