Virus PWSteal.intetest ayuda por favor
Virus PWSteal.intetest ayuda por favor
Soy Andrés de Chile, quería ayuda resulta que una vez inserté un disquette y norton me dio la alerta sobre un virus "test de inteligencia", no lo pudo eliminar pero lo dejó en cuarentena, luego al sgte día realice una análisis de virus y me apareció el virus PWSteal.intetest el cual infectó el archivo C:/_restore/temp/A0033238.cpy, norton no pudo reparar, ni poner en cuarentena, ni eliminar el archivo infectado, por lo que sigo con el virus, después por si algo resultaba eliminé el virus test de inteligencia que estaba en cuarentena, logró eliminarlo norton, pero al sgte análisis seguía el virus PWSteal.intetest ahí, busqué solución y encontré un archivo ejecutable aquí en esta página no recuerdo el nombre pero era algo de elitest.exe o algo así, lo ejecuté y no lo borró pues no lo detectó decía que podría haber cambiado su forma, también intenté otra forma de borrar un archivo runDII.32 que también aparecía acá, ejecuté "regedit" para eliminar ese archivo runDII.32 pero nunca aparecía incluso la usuaria que recomendó no confundir con runDLL.32. En consecuencia, ahora no sé que hacer, como eliminarlo, si alguien sabe muchas gracias por su ayuda, les saluda Andrés de Chile
AGC
Espero te ayude...
Hola Andres, al parecer ese esta en una imagen de restauracion o algo por el estilo que hacen sistemas de win Me para aca, asi que una es primero ir a propiedades de mi pc, dando clic derecho en el icono de Mi PC, luego en la pestaña restaurar sistema y ahi le debes dar al cuadrito para desactivar restaurar sistema.
Despues para eliminarlo mas facilmente ya que se carga en memoria, esto si es que lo llegaste a correr, porque para mi que no lo corriste por eso es que no aparece en el registro del sistema. Debes reiniciar y pulsar varias veces F8 cuando va a comenzar el inicio del sistema en win 98 cuando se veia que decia iniciando win98 o algo asi, pero ahora luego no se ve, asi que una vez que pase la prueba del bios comienza a pulsar F8 hasta que aparece el menu, inicia a prueba de fallos o modo a prueba de errores segun sistema operativo y ejecuta tu antivirus actualizado o la utileria elitest.exe y si esta el virus activo, deberia eliminarlo sin problemas.
Si lo quieres hacer a mano aqui te pongo el proceso que debes seguir
Estado en modo a prueba de fallos, realiza lo siguiente:
-Ir al botón de inicio.
-Seleccionar Ejecutar.
-Escribir el comando REGEDIT.
-Entrar a la siguiente ruta:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\_ RundII32="C:\WINDOWS\system\Rundii32.exe"
-eliminar con el botón de suprimir o en el menu Edicion\Eliminar
-Despues apaga y enciende el equipo pulsa la tecla de F8 para visualizar la diferentes formas de iniciar windows
Si tienes windows 95/98/Me selecciona la opción iniciar en modo MSDOS
Si tienes windows 2000/Xp deberas introducir un disco de inicio
Despues se hara lo siguiente:
Cuando estemos en MSDOS en la pantalla aparecera ( C:\> )
1. Iremos a la carpeta de windows escribiendo "CD WINDOWS" y a continuacion pulsamos ENTER para Windows 98 en el caso de que tengamos WINDOWS2000/XP escribimos "CD WINNT" y pulsamos ENTER.
2. Ahora escribimos "DEL Avisar.dll" y pulsamos enter (esto borrara la dll Avisar)
3. Volvemos a escribir "DEL TEST*.*" y pulsamos ENTER (Esto borrara todos los fichero que empiezen por Test seguido de cualquier letra y extension)
4. Ahora cambiamos al directorio system y escribimos "CD SYSTEM" y volvemos a pulsa ENTER.
5. Esta vez borramos el Rundii32.exe escribiendo "DEL RUNDII32.EXE" y pulsando ENTER
6. Y por ultimo escribimos "DEL cript#.txt"y ENTER
y listo, reinicia tu maquina y quedaras libre de ese virus.
Pero ten cuidado al hacer los movimientos en el registro del sistema.
Efrain
Despues para eliminarlo mas facilmente ya que se carga en memoria, esto si es que lo llegaste a correr, porque para mi que no lo corriste por eso es que no aparece en el registro del sistema. Debes reiniciar y pulsar varias veces F8 cuando va a comenzar el inicio del sistema en win 98 cuando se veia que decia iniciando win98 o algo asi, pero ahora luego no se ve, asi que una vez que pase la prueba del bios comienza a pulsar F8 hasta que aparece el menu, inicia a prueba de fallos o modo a prueba de errores segun sistema operativo y ejecuta tu antivirus actualizado o la utileria elitest.exe y si esta el virus activo, deberia eliminarlo sin problemas.
Si lo quieres hacer a mano aqui te pongo el proceso que debes seguir
Estado en modo a prueba de fallos, realiza lo siguiente:
-Ir al botón de inicio.
-Seleccionar Ejecutar.
-Escribir el comando REGEDIT.
-Entrar a la siguiente ruta:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\_ RundII32="C:\WINDOWS\system\Rundii32.exe"
-eliminar con el botón de suprimir o en el menu Edicion\Eliminar
-Despues apaga y enciende el equipo pulsa la tecla de F8 para visualizar la diferentes formas de iniciar windows
Si tienes windows 95/98/Me selecciona la opción iniciar en modo MSDOS
Si tienes windows 2000/Xp deberas introducir un disco de inicio
Despues se hara lo siguiente:
Cuando estemos en MSDOS en la pantalla aparecera ( C:\> )
1. Iremos a la carpeta de windows escribiendo "CD WINDOWS" y a continuacion pulsamos ENTER para Windows 98 en el caso de que tengamos WINDOWS2000/XP escribimos "CD WINNT" y pulsamos ENTER.
2. Ahora escribimos "DEL Avisar.dll" y pulsamos enter (esto borrara la dll Avisar)
3. Volvemos a escribir "DEL TEST*.*" y pulsamos ENTER (Esto borrara todos los fichero que empiezen por Test seguido de cualquier letra y extension)
4. Ahora cambiamos al directorio system y escribimos "CD SYSTEM" y volvemos a pulsa ENTER.
5. Esta vez borramos el Rundii32.exe escribiendo "DEL RUNDII32.EXE" y pulsando ENTER
6. Y por ultimo escribimos "DEL cript#.txt"y ENTER
y listo, reinicia tu maquina y quedaras libre de ese virus.
Pero ten cuidado al hacer los movimientos en el registro del sistema.
Efrain
Para conocer mas...
Entrando en un poco mas de detalle, este virus al parecer solo es latoso, porque se intenta copiar en los dikettes cada cierto tiempo, y aunque no tenga disco se toma algunos segundos y provoca que se interrumpa el proceso que estas llevando a cabo.
El archivo que trata de copiar se llama test de inteligencia.html .exe, normalmente el sistema esta puesto para que no muestre las extensiones conocidas con lo que normalmente ves solo la falsa extension html qe pensarias que es una pagina de internet, pero si la ejecutas tras la pagina se instala el virus.
Una vez ejecutado, te copia los siguientes archivos en los directorios:
%WinDir%\System\Rundii32.exe <------No confundir con el rundll32.exe que se encuentra en %WinDir%\ y el icono de este archivo se ve como una especie de pelicula y el del virus es una pagina de internet.
%WinDir%\Avisar.dll
%WinDir%\Tes de Inteligencia.html
%WinDir%\System\cript#.txt <----- # se refiere a un numero aleatorio
En cuanto al registro del sistema se ejecuta con el comando REGEDIT como dice mi anterior post, pero aqui debes estar seguro de que es la linea correcta, porque de lo contrario puedes causar alguna falla en el sistema.
Como este virus se anexa en el registro y se carga al inicio del sistema, por eso cuando lo intentas eliminar a mano te marca que esta siendo ocupado por el sistema, y esa es la razon de pedir que entren a prueba de fallos, ya que en ese modo no carga archivos en el inicio del sistema.
La entrada del registro es:
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\_Rundii32="C:\Windows\system\rundii32.exe"
Si quieres ver toda la informacion, puedes checar la pagina (en ingles):
http://vil.nai.com/vil/content/v_99584.htm
Espero te sirva esta informacion
El archivo que trata de copiar se llama test de inteligencia.html .exe, normalmente el sistema esta puesto para que no muestre las extensiones conocidas con lo que normalmente ves solo la falsa extension html qe pensarias que es una pagina de internet, pero si la ejecutas tras la pagina se instala el virus.
Una vez ejecutado, te copia los siguientes archivos en los directorios:
%WinDir%\System\Rundii32.exe <------No confundir con el rundll32.exe que se encuentra en %WinDir%\ y el icono de este archivo se ve como una especie de pelicula y el del virus es una pagina de internet.
%WinDir%\Avisar.dll
%WinDir%\Tes de Inteligencia.html
%WinDir%\System\cript#.txt <----- # se refiere a un numero aleatorio
En cuanto al registro del sistema se ejecuta con el comando REGEDIT como dice mi anterior post, pero aqui debes estar seguro de que es la linea correcta, porque de lo contrario puedes causar alguna falla en el sistema.
Como este virus se anexa en el registro y se carga al inicio del sistema, por eso cuando lo intentas eliminar a mano te marca que esta siendo ocupado por el sistema, y esa es la razon de pedir que entren a prueba de fallos, ya que en ese modo no carga archivos en el inicio del sistema.
La entrada del registro es:
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\_Rundii32="C:\Windows\system\rundii32.exe"
Si quieres ver toda la informacion, puedes checar la pagina (en ingles):
Espero te sirva esta informacion
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El PWS/INTEST o VIRUS DEL TEST DE INTELIGENCIA se elimina facilmente ejecutandpo el ELITESTI:EXE que ya se ofrecía en el anterior foro:
http://www.zonavirus.com/descargas/elitesti.exe
Ahora bien, los ficheros infectados que pueda haber en la carpeta REXTORE, entendiendo que tiene Vd un Me, pues si fuera XP estaría en SYSTEM VOLUNE INFORMATION_RESTORE, solo pueden ser eliminados arrancando a prueba de fallos y deshabilitando la restauracion de sistema, pero salvo que se restauraran dichos sistemas, el virus ya está "aparecado" y no afecta al ordenador.
Otra cosa es que estuviera activo, lo cual sería detectado y eliminado por el ELITESTI.EXE
saludos
ms, 8-06-2004
Ahora bien, los ficheros infectados que pueda haber en la carpeta REXTORE, entendiendo que tiene Vd un Me, pues si fuera XP estaría en SYSTEM VOLUNE INFORMATION_RESTORE, solo pueden ser eliminados arrancando a prueba de fallos y deshabilitando la restauracion de sistema, pero salvo que se restauraran dichos sistemas, el virus ya está "aparecado" y no afecta al ordenador.
Otra cosa es que estuviera activo, lo cual sería detectado y eliminado por el ELITESTI.EXE
saludos
ms, 8-06-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online