sera un virus???? (solucionado)

shami · Mensaje por **shami** » 22 Dic 2004, 04:32

acabo de encontrar en el disco local una carpeta oculta llamada mouse_mx ke me ocupa unos 36 MB, la abri y me aparecen algunos programas, como el antivirus, setups y otros archivos ke no se ke son, sera un virus o alguna consecuencia del vrius ke tenia? ke hago la elimino?

Mensaje por **msc hotline sat** » 22 Dic 2004, 11:04

Supongo que usas Kazaa o cualquier otro sistema P2P.

Mira:

http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_REPLACE.A

o en:

http://www.sophos.com/virusinfo/analyses/w32delfja.html

saludos

ms, 22-12-2004

Mensaje por **msc hotline sat** » 22 Dic 2004, 11:32

He encontrado otro articulo en castellano, basado en la descripcion de TREND, pero que quizas puede clarificar como proceder:

[quote]
Replace (Peligrosidad: 1 - Mínima)

Gusano que se propaga a través de la red de intercambio de ficheros (P2P) de la aplicación KaZaA.

Reemplaza un fichero ejecutable (.exe) utilizado con frecuencia por el usuario afectado por una copia del gusano.

Solución

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.

Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de la siguiente clave del registro de Windows, el valor indicado:

Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Valor: Rundll32 = "C:\\WINDOWS\\System\\Rundll32~.exe /out"

Elimine las siguiente clave del registro de Windows:

Clave: HKEY_CURRENT_USER\Software\Mouse_MX2

Valores: Name = "Mouse MX"

Version = "1.1"

Type = "virus"

Country = "Polska"

City = "Tarnów"

Date = "9.11.2004"

Infection = "- fecha del sistema -"

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Datos Técnicos

Peligrosidad: 1 - Mínima Difusión: Baja Fecha de Alta:03-12-2004

Última Actualización:03-12-2004

Daño: Medio

[Explicación de los criterios] Dispersibilidad: Medio

Nombre completo: Worm.W32/Replace@P2P

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Mecanismo principal de difusión: [P2P] - Se difunde por redes de compartición de ficheros P2P (peer to peer)

Tamaño (bytes): 60928

Alias:WORM_REPLACE.A (Trend Micro)

Detalles

Instalación y técnica de autoejecución

Cuando es ejecutado, Worm.W32/Replace@P2P deja una copia de sí mismo con el nombre System\Rundll32~.exe dentro del directorio de Windows.

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:

Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Valor: Rundll32 = "C:\\WINDOWS\\System\\Rundll32~.exe /out"

Propagation vía red de intercambio de ficheros (P2P)

El gusano se propaga a través de KaZaA, una popular aplicación de intercambio de ficheros (P2P).

Comprueba la existencia de la siguiente clave del registro en el equipo infectado:

Clave: HKEY_LOCAL_MACHINE\Software\Kazaa\Local Content

En caso de existir, deja una copia de sí mismo en el directorio de intercambio con alguno de los siguientes nombres de fichero:

Directx10 v2.3 fullversion PL.exe

GTA San Andreas Crack.exe

GaduReader 3.5.exe

Half Life 2 Crack - multiplayer.exe

Half Life 2 dodatek.exe

Mks_vir 2005.exe

Norton AntyVirus 2005 full.exe

Partition Magic 8.6.exe

Partition Magic 9.exe

Roller Coaster Tycoon 3 crack.exe

The Sims 2 - crack na budowanie.exe

The Sims 2 crack.exe

Esto permite que el gusano este disponible para que otros usuarios lo descarguen.

Otras modificaciones en el registro:

Crea las siguientes entradas en el registro de Windows:

Clave: HKEY_CURRENT_USER\Software\Mouse_MX2

Valores: Name = "Mouse MX"

Version = "1.1"

Type = "virus"

Country = "Polska"

City = "Tarnów"

Date = "9.11.2004"

Infection = "- fecha del sistema -"

Efectos

Worm.W32/Replace@P2P busca aleatoriamente un fichero de extensión .exe utilizado comunmente por el usuario infectado.

Cuando lo encuentra, el fichero se mueve al directorio %Root%\Mouse_MX.

Nota: %Root% es el directorio raíz por defecto, que suele ser C:\.

Crea una copia de sí mismo utilizando el nombre de fichero y el icono del fichero .exe que ha sido transferido, reemplazando el fichero .exe original.

Otros detalles

Utiliza la imagen de un queso como icono.

Más información acerca de este virus en:

Trend Micro

[/quote]

saludos

ms, 22-12-2004

fircsix · Mensaje por **fircsix** » 22 Dic 2004, 12:59

Vaya si yo he tenido este virus me habia venido de regalo con el Backdoor.Prorat.

Bajate el Spybot y el Ad-Aware

Parche para el DSO exploit de Spybot

http://www.infospyware.org/viewtopic.php?t=93

Una vez descargados e instalados, actualizalos. Desactiva restaurar sistema y arranca en modo seguro. Pasale tu antivirus a la PC y que chequee todo si hay muchos programas en Mouse_MX te va a encontrar muchos desinfecta o borra todo lo que encuentres. Despues elimina las entradas que te indica msc en la cita de Trend por el "regedit" desde ejecutar en inicio. Elimina la carpeta Mouse_MX que se encuentra en C:/ y elimina si se encuentra la carpeta Programy_MX que se encuentra en C:/Windows.Pasale el Spybot y el Ad-Aware. Reinicia en normal activa restaurar sistema y pasale tu antivirus de nuevo para estar seguros de que todo salio bien y que no quedo sin desinfectar.

Saludos.

fircsix

Saludos.

fircsix

Mensaje por **msc hotline sat** » 22 Dic 2004, 13:55

POr la informacion del gusano parece mas virus que spyware, pero si fircsix dice haberlo tenido y eliminado como spyware, adelante con los antispywares, y en cualquier caso nos comentas el resultado, como respuesta de este Tema, gracias

saludos

ms, 22-12-2004

fircsix · Mensaje por **fircsix** » 22 Dic 2004, 14:06

Es que cuando yo lo tuve encontre muchos bichos al pasarle el Adware que antes de que entrara el virus no habia tenido msc. Asi es que por las dudas le indico que utilice los antispywares ademas de hacerle de paso un chequeo.

Saludos.

fircsix

Mensaje por **msc hotline sat** » 22 Dic 2004, 14:54

Entendido. De acuerdo que dentro de la carpeta MOUSE_MX habrá de todo, y es oportuno pasar los antispywares, pero en lo que respecta al virus y a los ficheros creados por él (no a los descargados en la carpeta), te hará falta un antivirus y las instrucciones indicadas al respecto anteriormente.

De los ficheros que detectes como virus con el antivirus, que son en los que su icono figura un queso, mira de enviarnos alguna muestra a zonavirus@satinfo.es para que podamos ayudarte con alguna utilidad, si hiciera falta.

saludos

ms, 22-12-2004

fircsix · Mensaje por **fircsix** » 22 Dic 2004, 14:57

si en eso tienes razon msc y en eso me base yo para eliminarlo por eso se lo recomende tambien.

Saludos.

fircsix

shami · Mensaje por **shami** » 22 Dic 2004, 22:38

ya lo pude eliminar puede ser ke eso haya hecho ke mi pc fuera muy lenta??? :? por ke ahora va bien y no se traba. Creo ke me elimino parte del antivirus , por ke me sale (tengo el kaspersky)y me sale fallo en la iniciacion y el scaneo , pase uno on line el de panda me salio ke tenia este W32 PMx a worm,

otra pregunta, me habia atacado el virus de borra los archivos de imagenes, ya lo solucione , pero hay carpetas ke aparacen de forma rara, por ejemplo la panel de control me aparcen todos los iconos(pueedo entrar y todo)y a parece en el nombre de la carpeta un cuadrado con una X como los ke aparecen cuando la imagen no esta, tambien la de windows me aparece asi, tengo ke utilizar el cd de windows para recuperar los archivos?? :?:

shami · Mensaje por **shami** » 22 Dic 2004, 23:14

de nuevo yo jeje :oops: pero me acabo de dar cuenta ke HKEY_cURRENT_USER\software\ hay varias claves ke me parecen raras , hay una ke se llama patchou donde aparecen todas las direcceciones de mail ke abrieron sesion de msn en mi pc , despues una ke se llama JEDI_VCL, meow eggs age :? siento molestarlos de nuevo , es ke tengo adsl y bueno entran toda clases de virius y no entiendo mucho de esto

fircsix · Mensaje por **fircsix** » 22 Dic 2004, 23:23

Algunos programas se te habran dejado de funcionar debido a que eran los mismisimos archivos infectados. No te queda mas que instalar lo que perdiste de nuevo. El virus que te detecto el Panda es el mismo que el que tenias solo que al ser diferente antivirus se lo conoce con otro nombre, asegurate de desinfectarlo e instalar el Karpersky de nuevo. Para recuperar los archivos perdidos te recomiendo que utilices el FileRecovery algunos los podras recuperar y otros no.

Saludos.

fircsix

Mensaje por **msc hotline sat** » 23 Dic 2004, 10:12

Efectivamente, lo que Trend denomina REPLACE.A, otros antivirus, incluido McAfee, lo identifican como PMX.A, si bien no indican alias de los demás, y apenas dan descripcion, y solo por su mismo tamaño de 60.928 bytes se ve la coincidencia.

En consecuencia, con cuakquier antivirus para este y los antispywares para los troyanos descargados ya se ha hecho limpieza, y solucionado el Tema, damos el problema por terminado y cerramos el Tema

saludos

ms, 23-12-2004