Hay virus que elimine ambos archivos NTLDR y NTDETECT.COM
Hay virus que elimine ambos archivos NTLDR y NTDETECT.COM
Hola, quisiera saber si a alguien le ha ocurrido esto antes, aparece este error ntldr y no parte windows, quisiera saber a que se debe mas que la solucion, porue la solucion la se, muchas gracias.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sí, claro, del NOPIR (nopiratear... o antipirata) hemos tenido varias incidenciaa e incluso desarrollado herramienta de restauracion de claves de registo e instrucciones de recuperacion de los ficheros borrados.
Respecto a las caracteristicas del virus:
Nopir.A está diseñado para propagarse a través de redes P2P, borrando los archivos con extensiones COM y MP3 que encuentra en los ordenadores en los que se instala. Esto ha motivado que algunos medios de comunicación lo califiquen como un gusano “anti-piratas”, pero lo cierto es que se trata de un peligroso ejemplar de malware que puede causar importantes daños en los sistemas. Así, impide que los equipos que funcionen bajo Windows 2003/XP/2000/NT puedan arrancar, ya que borra el fichero NTDETECT.COM.
En caso de que el usuario ejecute un archivo conteniendo a Nopir.A, se mostrará en pantalla una imagen conteniendo un texto en contra de la piratería informática. Al mismo tiempo, desactiva el editor del registro de Windows, el administrador de tareas y el panel de control de dicho sistema operativo. Para propagarse, Nopir.A emplea el programa de intercambio de archivos punto a punto (P2P) eMule. A este fin genera, en el directorio de dicha aplicación, el fichero denominado ANYDVD 5.1.0.1 CRACK+KEYGEN BY RAZOR.EXE, que otros usuarios pueden descargar en sus equipos sin saber que, en realidad, contiene una copia de Nopir.A.
Respecto a la eliminacion del mismo, restauracion de claves modificadas y de ficheros:
http://www.zonavirus.com/datos/descargas/112/elidela.asp
ELIDELA 1.4
Enviado por msc hotline sat
26/04/2005 17:29:23Actualizado por msc hotline sat el
04/01/2007 12:12:08
utilidad para restauracion de claves de registro y eliminacion de gusano malware. Generic DEL o NOPIR. y posteriores variantes DEL.470 o NOPIR.B, .C..., que llega por P2P como crack para duplicar ficheros de musica MP3 protegidos.
Como sea que aparte de la modificacion de las claves, detencion del proceso virico en memoria y eliminacion del gusano basico y de los que se encontraran en el disco duro mediante exploracion por cadena de deteccion, este bicho borra no solo los .MP3 (u os AVI, MPG, MPEG y RAR posteriores variantes) del disco duro, sino los ficheros .COM, (esto solo la primera variante) el disco duro pierde el arranque, y debe restaurarse arrancando con CD de instalacion o metodo adecuado, como es el caso de los discos para cada sistema creados con nuestra utilidad TRANSFER, y restaurar así bien el NTDETECT.COM borrado por el bicho o el COMMAND.COM, segun sea el caso, si bien con windows 98 arrancando con disco de inicio, la copia del fichero COMMAND.COM es muy facil, pero con Windows XP y W2000, restaurar el NTDETECT es mas complejo.
Pues tras ello, arrancar en modo seguro, en solo simbolo de sistema, y ejecutar el ELIDELA.EXE y normalizará claves y demás al respecto.
Para la recuperacion de los ficheros borrados hemos comprobado que con utilidades de desborrado se recuperan con relativa facilidad. (menos mal !) ms, 7-06-2005
---v1.0--- (25 de Abril del 2005)
---v1.1--- ( 6 de Junio del 2005) (Nueva variante)
---v1.2--- ( 9 de Junio del 2005) (para el DEL-470 antiguo)
---v1.3--- (22 de Junio del 2005) (Nueva muestra no controlada)
---v1.4--- (23 de Junio del 2005) (Mejoras en el Registro de Sistema)
______________________________________________
Nota sobre eliminacion de NOPIR con gusano OUTLOOKREM.EXE (4ª variante conocida ):
Si el NOPIR-4 impide la ejecucion de cualquier fichero, incluso arrancando en modo segruo, por interceptar todas las extensiones, y asi restringir su ejecucion, debe arrancarse en modo seguro en solo simbolo de sistema y copiar el ELIDELA.EXE como OUTLOOKREM.EXE en la carpeta C:PROGRAM FILESOUTLOOK.SAV
con la siguiente instruccion:
COPY ELIDELA.EXE C:Program FilesOutlook Express.savoutlookrem.exe
desde la carpeta donde se tenga el ELIDELA.EXE
y tras ello reiniciar y ejecutar normalmente el ELIDELA con doble click en donde esté.
saludos
ms, 14.05-2007
Respecto a las caracteristicas del virus:
Nopir.A está diseñado para propagarse a través de redes P2P, borrando los archivos con extensiones COM y MP3 que encuentra en los ordenadores en los que se instala. Esto ha motivado que algunos medios de comunicación lo califiquen como un gusano “anti-piratas”, pero lo cierto es que se trata de un peligroso ejemplar de malware que puede causar importantes daños en los sistemas. Así, impide que los equipos que funcionen bajo Windows 2003/XP/2000/NT puedan arrancar, ya que borra el fichero NTDETECT.COM.
En caso de que el usuario ejecute un archivo conteniendo a Nopir.A, se mostrará en pantalla una imagen conteniendo un texto en contra de la piratería informática. Al mismo tiempo, desactiva el editor del registro de Windows, el administrador de tareas y el panel de control de dicho sistema operativo. Para propagarse, Nopir.A emplea el programa de intercambio de archivos punto a punto (P2P) eMule. A este fin genera, en el directorio de dicha aplicación, el fichero denominado ANYDVD 5.1.0.1 CRACK+KEYGEN BY RAZOR.EXE, que otros usuarios pueden descargar en sus equipos sin saber que, en realidad, contiene una copia de Nopir.A.
Respecto a la eliminacion del mismo, restauracion de claves modificadas y de ficheros:
ELIDELA 1.4
Enviado por msc hotline sat
26/04/2005 17:29:23Actualizado por msc hotline sat el
04/01/2007 12:12:08
utilidad para restauracion de claves de registro y eliminacion de gusano malware. Generic DEL o NOPIR. y posteriores variantes DEL.470 o NOPIR.B, .C..., que llega por P2P como crack para duplicar ficheros de musica MP3 protegidos.
Como sea que aparte de la modificacion de las claves, detencion del proceso virico en memoria y eliminacion del gusano basico y de los que se encontraran en el disco duro mediante exploracion por cadena de deteccion, este bicho borra no solo los .MP3 (u os AVI, MPG, MPEG y RAR posteriores variantes) del disco duro, sino los ficheros .COM, (esto solo la primera variante) el disco duro pierde el arranque, y debe restaurarse arrancando con CD de instalacion o metodo adecuado, como es el caso de los discos para cada sistema creados con nuestra utilidad TRANSFER, y restaurar así bien el NTDETECT.COM borrado por el bicho o el COMMAND.COM, segun sea el caso, si bien con windows 98 arrancando con disco de inicio, la copia del fichero COMMAND.COM es muy facil, pero con Windows XP y W2000, restaurar el NTDETECT es mas complejo.
Pues tras ello, arrancar en modo seguro, en solo simbolo de sistema, y ejecutar el ELIDELA.EXE y normalizará claves y demás al respecto.
Para la recuperacion de los ficheros borrados hemos comprobado que con utilidades de desborrado se recuperan con relativa facilidad. (menos mal !) ms, 7-06-2005
---v1.0--- (25 de Abril del 2005)
---v1.1--- ( 6 de Junio del 2005) (Nueva variante)
---v1.2--- ( 9 de Junio del 2005) (para el DEL-470 antiguo)
---v1.3--- (22 de Junio del 2005) (Nueva muestra no controlada)
---v1.4--- (23 de Junio del 2005) (Mejoras en el Registro de Sistema)
______________________________________________
Nota sobre eliminacion de NOPIR con gusano OUTLOOKREM.EXE (4ª variante conocida ):
Si el NOPIR-4 impide la ejecucion de cualquier fichero, incluso arrancando en modo segruo, por interceptar todas las extensiones, y asi restringir su ejecucion, debe arrancarse en modo seguro en solo simbolo de sistema y copiar el ELIDELA.EXE como OUTLOOKREM.EXE en la carpeta C:PROGRAM FILESOUTLOOK.SAV
con la siguiente instruccion:
COPY ELIDELA.EXE C:Program FilesOutlook Express.savoutlookrem.exe
desde la carpeta donde se tenga el ELIDELA.EXE
y tras ello reiniciar y ejecutar normalmente el ELIDELA con doble click en donde esté.
saludos
ms, 14.05-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online