Mensaje
por efraingh » 06 Ene 2005, 23:30
Hola, siento la tardanza, pero primero me remiti a tus anteriores post y a los links recomendados en ingles, que segun leo ha funcionado para eliminar el "bicho" que es algo tedioso el eliminarlo del sistema, pero con calma y leyendo antes todo el texto y despues siguiendo con paciencia paso a paso el procedimiento se lo elimina y atendiendo a lo que se remarca en ciertos puntos del procedimiento. Espero poder ayudarte y ayudar a algunos otros con el mismo problema.
Antes que nada, no se si aparte de todo lo del "bicho" que le han llamado look2me/VX2, veo que tienes el messenger plus y leia en este foro que causa varios problemas por los espias que trae, eso solo recomendacion porque veo en los post que no te han comentado eso, me parece.
Ok, pues bien aqui te pongo tambien las direcciones recomendadas en tu anterior post, pero te traduzo la ultima que pusieron por ser una especie de procedimiento.
http://www.lavasoftsupport.com/index.php?showtopic=53153
(esta realmente no es muy util, al parecer)
http://www.lavasoftsupport.com/index.php?showtopic=53147&hl=guard\.tmp
(en este se da la primer solución al problema que es cuando se llega a la parte de kurta007 pero aplican algunos pasos que no son requeridos, o al menos es mas largo por los continuos post de contestacion con los log)
http://www.lavasoftsupport.com/index.php?showtopic=54511&st=0
(de este se tomo para la traduccion, espero estar correcto en las traducciones, tratando de respetar los nombres en ingles de los comandos o botones porque los programas son en ingles y asi no se pierdan en como usarlos)
____________________________________________________
Traducción de la información contenida en:
http://www.lavasoftsupport.com/index.php?showtopic=54511&st=0
Nota: comentarios en paréntesis con letras [color=green]verdes[/color] son hechas por quien traduce
En lugar de hacer este proceso por usuario, checa las instrucciones y sigue paso a paso para remover las llaves de registro para los archivos .dll que previenen que el VX2 sea removido.
Lo siguiente es valido para sistemas con Win 2000/XP [color=green](aunque me parece que los programas recomendados, al menos dllcompare y killbox corren en win9x, así que puede servir para Win 9x también el procedimiento, con sus cambios de localización en los archivos de sistema; realmente no se si afecte a Win 9x)[/color]
[b]Paso 1[/b]
Remueve tanto como sea posible con Ad-aware con los últimos archivos al día [color=green](en otras palabras: actualizado)[/color].
Reinicia y ten listas estas 2 utilerías:
Dllcompare (versión 1.0.0.127, el cual escaneará por archivos bloqueados por VX2 [color=green]–en este punto, creo que bloqueados se refiere a que no se pueden eliminar por estas usados o ser registrados como de sistema–[/color])
http://www.downloads.subratam.org/DllCompare.exe
Killbox (version 2.0.0.76, el cual será responsable de remover los archivos encontrados)
http://www.downloads.subratam.org/KillBox.exe
[b]USANDO DLLCOMPARE[/b]
Copia o descarga el programa Dllcompare.exe al escritorio, [b][u]NO[/u][/b] solo lo corras desde el sitio de descarga. [color=green](o puede ser colocado en alguna carpeta dentro del escritorio, solo se pide que sea el escritorio para tenerlo al alcance, y si se pide hacer una carpeta para el programa como en el caso de hijackthis es para que esten separados los log, igual se puede trabajar con este programa, colocarlo en una carpeta separada de hijackthis para no revolver los log o que sean sobrescritos)[/color]
El programa esta preconfigurado para escanear el directorio System32, así que no es requerida otra cosa mas que hacer clic sobre el botón [b][Run locate.com][/b].
Cuando el escaneo esta completo, verás en azul [color=blue]Completed the scan, Click Compare to Continue[/color] en este momento darás clic sobre el botón [b][Compare][/b].
Esto checará a tráves de los archivos que encontró y determinará cuales deberían ser marcados como “No access” y desplegarlos en el recuadro inferior.
En unos pocos minutos dirá en azul [color=blue]Completed[/color]
Clic en el botón [b][Make a Log of what was Found][/b]
Para identificar archivos VX2 sospechosos, mira en las fechas dentro del log, todos los archivos sospechosos habrán sido creados a finales del mes de noviembre hasta la fecha.
[color=red]Precaución: Hay otros archivos legítimos que quizás pueden estar allí también, tan solo no borres todo en la lista.[/color]
****
Log de ejemplo:
QUOTE
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!________________________________________________
D:\WINDOWS\SYSTEM32\dad8.dll [b]Mon Dec 13 2004[/b] 3:24:48a ..S.R 223,232 218.00 K
D:\WINDOWS\SYSTEM32\enp2l1~1.dll Mon Dec 13 2004 3:09:08a ..S.R 223,232 218.00 K
D:\WINDOWS\SYSTEM32\hr0u05~1.dll Sun Dec 12 2004 10:36:04p ..S.R 224,137 218.88 K
D:\WINDOWS\SYSTEM32\hrp805~1.dll Mon Dec 13 2004 3:24:48a ..S.R 224,107 218.85 K
D:\WINDOWS\SYSTEM32\irrml5~1.dll Sun Dec 12 2004 10:14:28p ..S.R 224,427 219.16 K
D:\WINDOWS\SYSTEM32\lmexpand.dll Sun Dec 12 2004 10:36:04p ..S.R 223,232 218.00 K
D:\WINDOWS\SYSTEM32\oabcp32r.dll Mon Dec 13 2004 3:10:04a ..S.R 224,362 219.10 K
________________________________________________
1,108 items found: 1,108 files (7 H/S), 0 directories.
Total of file sizes: 190,775,194 bytes 181.93 M
Administrator Account = True
--------------------End log---------------------
****
Ahora, es [b]MUY IMPORTANTE[/b] que no reinicies hasta que todos los archivos puedan ser colocados en Killbox
[b]Paso 2
USANDO KILLBOX[/b]
Copia o descarga el programa Killbox.exe a tu escritorio. (No lo corras desde el sitio de descarga [color=green]y es el mismo comentario de donde se sugiere colocarlo[/color])
[u]Configuración para Killbox[/u]
Desde la barra de menú da clic en “About” y asegurate de tener la versión 2.0.076 o superior. [color=green](Nota: la versión se debe checar en clic derecho sobre el nombre del programa, Propiedades y en la pestaña Versión, ya que en el “About” no trae la versión)[/color]
Selecciona la opción [b]Replace on Reboot[/b]
Desde el log de Dllcompare copia y pega cada ruta completa en el recuadro superior de Killbox
Por ejemplo: una ruta completa para nuestro log de ejemplo sería:
[color=blue]D:\WINDOWS\SYSTEM32\dad8.dll
D:\WINDOWS\SYSTEM32\enp2l1~1.dll
etc.[/color]
Con la ruta completa del nombre del archivo en el recuadro superior, clic en la opción Use Dummy el cual crea un archivo de respaldo numerado instantáneamente para ti. [color=green](esto mas que nada es para crear un respaldo de los archivos eliminados, que es buena opción si no se sabe si realmente es del VX2, si hay algún problema en el reinicio o que algún programa marque error, basta checar el log de dllcompare y ver cual fue el numero de linea o turno en el que colocaste el archivo requerido por el sistema y entonces vas a la carpeta temporal y renombras el archivo al que requiere el sistema y colocándolo en la carpeta de system32, eso creo)[/color]
Clic en la [color=red][b]X Roja[/b][/color]... y para el mensaje de confirmación que aparecerá, necesitarás dar clic en [b]Yes[/b]
Un segundo mensaje te preguntará si reinicias ahora? (to Reboot now?) necesitarás dar clic en [b]No[/b] (puesto que aun no has finalizado de agregar todos los archivos relacionados)
Has esto para cada archivo que tenga relación con el criterio de VX2, localizado en el log de dllcompare.
* En el archivo de ejemplo, cada archivo relacionado con los parámetros de VX2 y sería metido en Killbox.
QUOTE
Por ejemplo: la línea superior en Killbox tendría la ruta
[color=blue]D:\WINDOWS\SYSTEM32\dad8.dll[/color]
la línea inferior mostraría un archivo de respaldo en el directorio Temp del usuario que estemos ocupando en ese momento
[color=blue]D:\Documents and Settings\User\Local Settings\Temp\kbdummy.1[/color]
Has este mismo paso para cada archivo en el log de dllcompare, (o cada uno de los archivos que los ayudantes o expertos del foro te digan; [color=green]para los archivos dichos por los ayudantes o expertos necesitan poner el log de dllcompare en la dirección del foro de donde se saco la información original en ingles que es: http://www.lavasoftsupport.com/index.php?showtopic=54511&st=0, aunque no dudo que los administradores y ayudantes de este foro tambien tengan conocimientos de que archivos borrar[/color])
Cuando coloques en el killbox el ultimo archivo del log de dllcompare, también agrega un archivo adicional, [color=green]que es el siguiente y causante de todo el problema parece ser[/color]:
[b]C:\Windows\System32\Guard.tmp[/b]
[i]* Se cuidadoso al incluir la ruta correcta de la carpeta system32, tanto la letra de la unidad y el nombre de la carpeta de windows cambian levemente de sistema a sistema.[/i]
Si esta no la tienes disponible, clic el botón [b][Browse][/b] in Killbox y navega al archivo guard.tmp manualmente. (siempre estará en el directorio System32, y necesitara tener la opción “Mostrar Archivos y carpetas ocultos” y “Mostrar archivos de sistema” habilitado)
[b]En el ultimo archivo, cierra todos los programas y reinicia la computadora.
Paso 3[/b]
Después de reiniciar, usa el programa Dllcompare otra vez y crea otro log.
Si todo fue exitoso, debería estar vacío.
En el peor de los casos, mostrará muchos menos archivos, y tendrás que repetir el paso 2 una vez más.
Guard.tmp, puede que aun exista tal vez fue creado en el reinicio, pero esta desprotegido en este punto.
Abre Killbox otra vez, pega la ruta de guard.tmp en el primer recuadro.
Por ejemplo:
QUOTE
C:\WINDOWS\SYSTEM32\guard.tmp
Esto solo requerirá la opción "[b]Standard File Kill[/b]", configuración por default de Killbox
Si el archivo existe, verás el nombre [color=blue][b]guard.tmp[/b][/color] aparecer en azul. Clic en la [color=red][b]X Roja[/b][/color] para borrarlo.
[b]Paso 4[/b]
[i]Limpieza[/i]
Contemplando el log del Dllcompare que esta libre de los archivos .dll dañinos del VX2, ahora necesitas reparar algunos de los daños hechos a tu sistema.
Abre el Killbox y copia y pega la ruta del archivo Desktop.ini de la papelera de reciclaje.
Por ejemplo:
QUOTE
C:\RECYCLER\Desktop.ini
Clic en la [color=red][b]X Roja[/b][/color] para borrarlo.
O
Simplemente [color=green]pulsa sobre el botón[/color] examina [b][Browse][/b] [color=green]y navega[/color] en el directorio bajo C: (directorio raíz) llamado [b]RECYCLER[/b]
En el Killbox verás en azul también el termino [color=blue][b]Directory[/b][/color]
Clic la [color=red][b]X Roja[/b][/color] para borrarlo.
* Cualquiera de estos métodos reparará el bug o error donde no se muestran archivos en la papelera de reciclaje, y de la opción de almacenar archivos en la papelera de reciclaje.
Para facilidad de uso, descarga el VX2Finder
http://www.downloads.subratam.org/VX2Finder.exe
Clic en el botón [b][Restore Policy][/b] [color=green](en este caso creo que se refiere al botón del VX2Finder, aunque no estoy seguro ya que este programa no corre en Win9x que es la PC que tengo; espero que si encuentran un programa similar que corra sobre Win9x pongan el link, o si pueden realizar o tienen alguno similar que se haya realizado en el foro de zonavirus lo informen)[/color], esto restaurará el mal funcionamiento de los Privilegios de Administrador, sino algunas utilidades no funcionaran adecuadamente.
También necesitas remover el UserAgent del el registro del sistema:
[b]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform[/b]
* Usando el botón [b][UserAgent$][/b] de VX2Finder removerá esto.
Y la carga de dll para VX2 bajo la llave de Notify.
[b]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify[/b]
Bajo esta llave estará una sub llave manteniendo el nombre del archivo dll de VX2, y necesitará ser removida.
Esta sub llave se podría llamar de cualquier manera, y será diferente para cada sistema.
[color=green]([b]PRECAUCIÓN:[/b] en este punto, se crea una confusión ya que dentro de la llave de Notify existen otras sub llaves aparte de la del dll de VX2 que son del sistema aparentemente, así que [i][b]NO[/b] SE DEBE BORRAR TODA LA LLAVE NOTIFY[/i] porque puede causar problemas en el sistema, [b]SE PRECAVIDO[/b], y si tienes dudas, al final se anexa una [i]NOTA[/i] que puede ser de ayuda)[/color]
Ejemplo:
QUOTE
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunServices]
"Asynchronous"=dword:00000000
[b]"DllName"="C:\\WINDOWS\\system32\\s0pula791d.dll"[/b]
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
El autor del escrito en ingles menciona que en el futuro agregará una herramienta para modificar el registro del sistema; sin embargo, en el foro de ZonaVirus se tiene una herramienta llamada BuscaReg.exe creada por nuestros amigos del foro con la cual se puede buscar en el registro (se puede descargar de: http://www.zonavirus.com/descargas/buscareg.exe)
En este punto, tu sistema estará lo suficientemente limpio para permitir que otras utilerías tales como Ad-aware y HiJackThis remuevan las otras múltiples aplicaciones de autodescarga e indeseables que tengas.
[u]Hosts[/u]
Desde la barra de menú de Killbox, clic en el menú [b]Tools[/b] y selecciona [b]Hosts File[/b]
Se abrirá en Notepad o bloc de notas, solo sombrea, resalta o selecciona las entradas dañinas o que son las que observas que no dejan navegar por Internet, o básicamente todo debajo de la entrada:
QUOTE
127.0.0.1 localhost
* HiJackThis también removerá esto.
Información actualizada al 13 de Diciembre del 2004
[b]Nota respecto a la sub llave en Notify:[/b]
Se esta pensando en una manera “fácil” de hacer esto (respecto a la sub llave), no hay otra manera real de identificar la llave que solo mires y digas... “Esta es” [color=green](creo que se refiere a la llave superior que es Notify)[/color]
La llave Notify también es parte del registro de tu sistema y realmente no quieres cometer un error.
Así que abre el registro del sistema (la manera mas fácil es ir a Menu Inicio-->Ejecutar.. y coloca el comando regedit), busca la ruta que se te da más arriba donde habla de la llave Notify (donde se crea la confusión) y selecciona la llave Notify de la parte izquierda, clic derecho sobre ella, y selecciona [b]Exportar[/b] (o Export según el idioma del sistema)
Guardala como Notify.reg en el Escritorio.
Abre Notepad o bloc de notas, arrastra el archivo Notify.reg y sueltalo en el bloc de notas y después Selecciona todo, copia y pega el contenido en el post para ver cual es el contenido de la llave Notify y se te darán instrucciones de cual es la que tienes que eliminar.
____________________________________________________
Por cierto, esta amenaza, solo correra en sistemas 2000/XP? o podrá infectar Win9x? ya que parece que recuerdo que alguno de los textos manejaban Me, aunque no recuerdo, pero la utileria de VX2Finder corre solamente en NT, asi que como podria limpiarse de manera mas rapida sistemas con Win9x como se recomienda en el texto?
Saludos a todos
Efrain
msc hotline sat Virus Research Engineer 
