VBS/Gedza - No hay manera

alicia · Mensaje por **alicia** » 22 Abr 2004, 20:17

Foreros y especiales saludos a Mosqueteros, el único que ha publicado algo sobre este virus. Hace 10 dias que me estoy peleando con este virus y no hay manera de eliminarlo.

Estoy con W_XP y primero tenia Norton Antivirus que no lo detectó y luego instalé McAfee que si lo detecta, lo limpia pero cada vez que reinicio la máquina lo detecta y lo vuelve a limpiar.

Los archivos donde detecta el virus siempre son los mismos C:\System Volume Information\_restore51C88A4F-D3B7-402A-B005-EDCE0C21B7F3\RP107\A0011797.vbs y siguientes, todos con la extensión .vbs. Al detectar y limpiar el virus sale un mensaje de alerta para que escanee el resto de volumenes ya que posiblemente habrá archivos infectados, y así es, todos con la extensión zip y php, en principio no existe el virus pero si archivos infectados que McAfee, no puede limpiar.

Mosqueteros, ha publicado tres mensajes de alerta

https://foros.zonavirus.com/viewtopic.php?t=377

https://foros.zonavirus.com/viewtopic.php?t=360

https://foros.zonavirus.com/viewtopic.php?t=378

en uno de ellos proponia la limpieza con http://www.zonavirus.com/descargas/EliGedza.exe y efectivamente limpia los archivos infectados con extensión zip, pero NO los php, pero al iniciar la máquina sigue detectando y limpiando el virus. Al ejecutar EliGedza.exe, intenta acceder al editor de registro pero no puede, da un mensaje de error, diciendo que el Administrador ha deshabilitado la modificación del Registro.

Muy interesante también el siguiente articulo http://www.phack.com.ar/articulo939.html pero la solución que propone tampoco me funciona, creo por el mismo problema de acceso a regedit.

Bueno gracias anticipadas a todos

Mensaje por **maura63** » 22 Abr 2004, 20:37

Has probado en pasar la utilidad en modo seguro y deshabilitanto antes la opcion restaurar sistema?

Saludos

maura63

alicia · Mensaje por **alicia** » 22 Abr 2004, 23:42

maura, gracias por proponer soluciones, también lo he probado, pero nada, el problema sigue siendo el no poder acceder al editor de registro. Pues las diversas utilidades necesitan su acceso.

salu2 -alicia-

Mensaje por **maura63** » 23 Abr 2004, 08:38

Prueba con esta utilidad de Msc para eliminar restricciones del registro

ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)

ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICIKN DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEdIT POR SI ESTUVIERA RESTRINGIDA SU EDICION.

http://www.zonavirus.com/programas/restaurar_registro/EliRestr.vbs

Saludos

maura63

alicia · Mensaje por **alicia** » 23 Abr 2004, 12:10

bueno, el lunes lo pruebo y te cuento, me voy de finde. De todas formas intenté lo mismo con otra aplicación parecida y continuaba restringido el acceso al regedit. Veremos el lunes, nos vemosssss.

salu2 -alicia-

Mensaje por **msc hotline sat** » 23 Abr 2004, 12:26

Muy acertado Maura63 en proponer el ELIRESTR.EXE para recuperar el acceso a la edicion del registro.

Y tras ello con arrancar en modo seguro y tras deshabilitar la restauracion de registro, lanzar el antivirus de McAfee pulsando doble clic en MIPC, botón derecho sobre la unidad C, y del desplegable, pulsar sobre Analizar en busca de virus, y eliminar incluso los ficheros del SYSTEM VOLUNE UNFORMATION \_restore que, si bien no afectan por ser solo copias de backup, y por ello no los busca el ELIGedzA, si los tiene, eliminelos con el antivirus para que no afeen.

saludos

ms, 23-04-2004