Troyano Urbin??? Lo conoceis? Como eliminarlo? (Solucionado)

[Alex PL11]

Hola!



Soy nuevo en el foro... más que nada estoy buscando ayuda porque desde que actualicé el mcafee a los dats 4362 me encuentra un tal URBIN que dice que es un troyano por muchos ficheros: explorer.exe, msvsres.dll, ... No me deja limpiarlo ni migrar los infectados ni na de na...

Alguien sabe como hacerlo?



Muchas gracias!

[msc hotline sat]

Es un nuevo virus detectado desde DATS 4362, del que no hemos tenido incidencias:



http://vil.nai.com/vil/content/v_125663.htm



Envienos muestras a zonavirus@satinfo.es y lo analizaremos e intentaremos hacer utilidad de eliminacion

Anexe las muestras a un mail cuyo texto sea un copiat y pegar de este post.



Para hacerlo desactive el antivirus, sino no podría hacerlo.



Luego apague el ordenador, arranque en modo segfuro y lance el antivirus en modo de eliminacion. Debería poder eliminarlo.



A la vista de las muestras, podremos ampliarle informacion



saludos



ms, 25-05-2004

[juan]

Hola, me alegro de haber encontrado este foro tan interesante y util. Yo Me acabo de registrar xq desde hace poco tengo el virus o el troyano Urbin. Este es el primer sitio en internet que veo algo de informacion sobre él. He leido el post del administrador respondiendo, pero la verdad es que no me saca de dudas. No se si Alexpl11 ya habra solucionado el problema. si es asi porfavor dime algo. Mi nivel de conocimientos de infor,matica es bastante bajo. Se lo basico, aunque ya he tenido q matar a varios bichejos en mi ordenador.



Bueno pues nada...a ver si me contesta alguien.



graciasssssssssss foreros

[juan]

por favor ayudaaaa...mi ordenador empieza a tener sintomas un tanto extraños q creo q son debidos a este troyano-virus. Hay programas q no responden de vez en cuando. Q hago?. gracias

[cañera]

juan has seguido los pasos que te dijo el compañero msc?

le enviastes el fichero infectado con el virus?

y luego intenta eliminarlo en a modo prueba de errores o modo seguro desactivando restaurar sistema;

inicio/mi pc,clicas con boton derecho/propiedades/restaurar sistema,lo desactivas,aceptas.

apagas/enciendas y pulsas repetidas veces F8 y en la pantalla que te aparece eliges la opcion antes dicha.

cuentanos como te fue.

[juan]

Hola, gracias cañera por tu contestacion.



Pues no le he enviado nada, es que no se como puedo adivinar cual es la carpeta- fichero q esta infectada, eso pa empezar, creo q eso se puede hacer con la opcion q tiene el mcaffe de detectar virus, pero es que le doy al icono y no se pone a funcionar. Eso para empezar pero aunque pudiese saber cual es el fichero-carpeta-o lo que sea, que esta infectado no se como meter eso en un email y enviarlo a la direccion que poneis en el post. Despues lo que dices de eliminarlo en prueba de errores no tengo ni idea de que es eso, pero bueno no parece muy dificil de hacer,lo de desactivar restaurar sisitema si se hacerlo.



Es que mis conocimientos en informatica son bajillos.



Si no entiendo mal lo que tengo q hacer es una copia del virus y enviarosla, no es asi?. lo malo es que no se como buscarlo y enviarlo.

[msc hotline sat]

Pues está donde te dice el antivirus que lo encuentra, cuado lo detecta y te dice que el fichero C:\....\xxxx.exe está infectado por el virus URBIN



Y simplemente emviarlo es anexarlo a un mail a la direccion indicada de zonavirus@satinfo.es



No pedimos demasiado, creo !!!



Saludos



ms, 1-06-2004

[msc hotline sat]

Le pediamos repetidamente muestras de los ficheros infectados, no nombres de los mismos, y nos ha llegado un mail con el nombre pero sin las muestras.



No nos sirve el nombre, sino que lo que hace falta para analizarlos son los ficheros muestra.



saludos



ms, 25-06-2004

[juan]

Buenas noxes,



Pues he intentado por todos los medios llegar hasta ese archivo, que te dije antes, pero no lo consigo, parece como si estuviera oculto, no se xq pero no esta. Ademas pasan unas cosas muy extrañas, por ejemplo, justo cuando estoy buscando por esa carpeta, system32, la cual tiene yo q se cuantos archivos, se me pone la cpu al 100 x 100 de uso, y se pone solo, parece como si al virus o troyano no le gustase q yo estuviera mirando por ahi. Tu que eres un experto en esto te parecerá normal pero yo flipo con las cosas q suceden en mi ordenador, el otro dia fui a apagar el ordenador, y el boton de apagar no estaba...

BUeno, no se como te voy a podeer dar alguna pista para que me puedas ayudar...

[maura63]

Comprueba que no tengas archivos ocultos



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Saludos

maura63

[msc hotline sat]

Recordar que la cuenta de cporreo para envio de muestras solo es para eso, y no se mantiene correspondencia en ella.



Siempre los Temas y los comentarios, en el foro.



Al respecto, si no puede encontrar el fichero, ni arrancando en modo seguro , lance el BUSCAREG buscando la palabra MSVSRES.DLL y cuando encuentre la clave, ejecute doble clic sobre ella e indique eliminarla, t reinicie el ordenador, y asi no pondrá en marcha el fichero, y si lo encuentra nos lo envia, y tras ello lo elimina, y sino, listos.



_________________________________________



BUSCAREG.EXE: BUSCA UNA CADENA EN EL REGISTRO Y PINCHANDO ENCIMA DE LAS ENCONTRADAS PERMITE BORRARLAS MUY FACILMENTE. ADEMAS CREA FICHERO EXPORTACION DEL REGISTRO POR SI SE NECESITA VOLVER ATRAS:



http://www.zonavirus.com/descargas/buscareg.asp



********************************************************************



saludos



ms, 28-06-2004

[juan]

Hola,



Bueno ya cambie las opciones de carpeta, ahora tambien se ven los archivos ocultos, segui los pasos de maura 63, volvi a inicio...buscar...pero nada no salia ese archivo. Arranque en modo seguro, intente buscar otra vez...pero tampoco salia nada.



Me he descargado el programa q decias, puse el nombre del archivo infectado, y en lista de cadenas encontradas me salio esto: "Applnit_DLLs"="msvsres.dll"



Despues le di doble click, me salio una pantallita q me preguntaba algo asi como si lo queria borrar..y le di a que si. Despues me salio otra pantallita y q me decia algo asi como...q si queria booorrar el valor de no se que ...no me acuerdo muy bien, bueno le di a que no.



Ahora he empezado otra vez he puesto otra vez en el buscareg el nombre del archivo infectado y me sale otra cosa...esto: "003"="msvsres.dll"



BUeno ahora q pasa???..Hago algo??..rezo aa dios o a satinfo??jejeje.

:roll:

[maura63]

Eliminalo con el BUSCAREG, como te dijo el Amigo MSC



Saludos

maura63

[juan]

BUENO PARECE SER QUE EL TROYANO URBIN DESAPARECIO GRACIAS AL BUSCAREG...MUCHAS GRACIAS A TODOS POR VUESTRA INESTIMABLE AYUDA!. ME ACABO DE INSTALAR UN FIREWALL PARA QUE HAYA UN POCO MAS DE SEGURIDAD EN MI EKIPO...GRACIAS.

[maura63]

Pues para estar mas limpio y seguro ademas instala actualiza y pasa en modo a prueba de fallos estos otros programas.



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



· Ad-aware Personal 6.0 Build 181

Ad-aware es de lo mejorcito. Una genial utilidad que analiza tu PC en busca de ficheros "espía" y te ayuda a eliminarlos de forma segura. Puedes elegir los módulos a eliminar, guardar ficheros de registro y personalizar el menú del programa. Ad-aware encuentra y elimina decenas de programas tipo spyware como: Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator y Web3000 entre muchos otros.



Sitio 1 - Descargar Ad-aware Personal 6.0 Build 181

http://download.com.com/3001-8022-10214379.html

Paquete Traductor al español

http://updates.ls-servers.com/aaw-lang-pack.exe

----------------------------------------------------------------

Sitio 2 - Descargar Ad-aware Personal 6.0 Build 181 desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp

Descargar Paquete Traductor al español desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp



· SpywareBlaster 3.1

Sitio 1 - Descargar SpywareBlaster 3.1

http://majorgeeks.com/download2859.html

----------------------------------------------------------------

Sitio 2 - Descargar SpywareBlaster 3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spywareblaster.asp





Solucionado el tema procedemos a cerrarlo.





Saludos

maura63