Tras la eliminación de VIRUS.ECO por TrenMicroInternetSecurity
(el virus volvió) tengo en mi registro dos valores que voy a detallar, referentes e BLEAH.ECO. Pregunto si esos valores son información sobre el virus o huellas del virus que habrá que borrar. Sería un error confundir el virus con su vacuna...
Los dos valores son binarios y se alojan en una carpeta. Son estos:
HKEY_CURRENT_USER\Software\Google\NavClient\1.1\History:
bleah.eco: 0000 69 76 EE 40 ivî@
HKEY_CURRENT_USER\Software\Google\NavClient\1.1\History:
bleah.eco 0000 84 78 EE 40 ..xî
Edito estos dos valores y aparecen, para los dos, esos dígiros y un cursor que parpadea. Supongo que será precisamente el lenguaje binario (desgraciadamente, en esto soy analfabeto porque voy por letras)
Qué debo hacer con esos dos valores (o entradas o claves)?
Añado por si sirve. Tengo residente en mi PC el antivirus AVAST4. Este antivirus detectó tres presencias de BLEAH.ECO en tres particiones pero fue incapaz de eliminarlo. Lo declaró "non cleanable". Deduzco que AVAST es eficaz contra virus que infectan archivos. No lo es contra virus de sector de arranque. ¿Es así? Es bueno saberlo.
BLEAH.ECO ¿en mi registro?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No sé lo que intentaste hacer para eliminarlo, pero miles de ves lo hemos eliminado nosotros con nuestras utilidades, en años atras, pues es un virus que infectaba el MBR del disco duro cuando se arrancaba teniendo un disquete con el BOOT infectado por este virus, insertado en la disquetera.
Ya hemos dicho muchas veces que arrancando con un disquete de sistema (W98 por ejemplo) y ejecutando el COPYS /MAST se soluciona el problema.
Se recuerda que es un virus de sectores fisicos, independiente del sistema de FAT o NTFS de las zonas logicas, pero que si lo tienes en memoria no lo eliminarás, pues para ello debes proceder a arrancar con un disquete de sistema limpio, hecho en otro ordenador.
https://foros.zonavirus.com/viewtopic.php?t=1688&highlight=bleah
saludos
ms, 12-07-2004
Ya hemos dicho muchas veces que arrancando con un disquete de sistema (W98 por ejemplo) y ejecutando el COPYS /MAST se soluciona el problema.
Se recuerda que es un virus de sectores fisicos, independiente del sistema de FAT o NTFS de las zonas logicas, pero que si lo tienes en memoria no lo eliminarás, pues para ello debes proceder a arrancar con un disquete de sistema limpio, hecho en otro ordenador.
saludos
ms, 12-07-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
BLEAH.ECO y comando copys.exe /mast
Por lo visto, no me he explicado. Claro está que apliqué el comando copys /mast desde diskete y tras haber entrado en zona limpia con diskete de arranque. El virus dejó de ser detectado. No obstante, quedan dos alusiones en registro y pregunto qué debo hacer con ellas porque no sé si son el virus o la vacuna contra él. Es lo que no me queda claro
Segundo: copys /mast me pide indicar sobre qué unidad de HD
debe actuar: 1? 2? 3? 4?. Se me indica la CMOS como sitio donde consta este dato. He entrado en la BIOS, en la CMOS, y no sé dónde está el dato. No hallo ninguna referencia a Unidad 1 ó la 2 ó la 3 ó la 4. Acabo de ejecutar otra vez copys /mast y siguen estando presentes en el registro esas dos entradas ya descritas en post anterior.
Regcleaner me indica entradas que sobran. No virus.
Segundo: copys /mast me pide indicar sobre qué unidad de HD
debe actuar: 1? 2? 3? 4?. Se me indica la CMOS como sitio donde consta este dato. He entrado en la BIOS, en la CMOS, y no sé dónde está el dato. No hallo ninguna referencia a Unidad 1 ó la 2 ó la 3 ó la 4. Acabo de ejecutar otra vez copys /mast y siguen estando presentes en el registro esas dos entradas ya descritas en post anterior.
Regcleaner me indica entradas que sobran. No virus.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Las unidades 1, 2, 3, 4 que debe indicarse son las unidades físicas en las que se desea aplicar esta utilidad, no lógicas.
Esto es: Un disco duro puede contener varias particiones lógicas, pero en cada uno hay solo una tabla de particion o MBR, aunque haya varias particiones logicas y tantos BOOT como ellas.
Y de lo que se trata no es de dichas particionesm sino del disco duro físico sobre el que aplicar la utilidad, y de los varios discos duros, fisicamente el ortden viene definido en el SETUP del CMOS, y 1 es el primero asignado, el 2 el segundo, etc.
Evidentemente, si tienes solo un disco duro, es el 1 y listos, y si tienes dos, depende si tienes los dos ibfectados y quieres corregir los dos, en cuyo caso primero le darás al 1 y luego al 2, o bien solo tengas infectado uno de llos, debido a haber insertado dicho disco duro tras haber sufrido la infeccion, de lo contrario tendrías los 2 infectados.
Lo del registro no tiene ninguna importancia y pueden ser restos de procesos de eliminacion que has aplicado
(No es del virus, pues dicho virus es de DOS, y no sabe ni que existe el registro de sistema, que es propio de windows)
Una vez eliminado el virus de dichos sectores fñisicos (sector 1, cara 0, cilindro 0 de cada disco duro infectado), olvidate del problema.
saludos
ms, 13-07-2004
Esto es: Un disco duro puede contener varias particiones lógicas, pero en cada uno hay solo una tabla de particion o MBR, aunque haya varias particiones logicas y tantos BOOT como ellas.
Y de lo que se trata no es de dichas particionesm sino del disco duro físico sobre el que aplicar la utilidad, y de los varios discos duros, fisicamente el ortden viene definido en el SETUP del CMOS, y 1 es el primero asignado, el 2 el segundo, etc.
Evidentemente, si tienes solo un disco duro, es el 1 y listos, y si tienes dos, depende si tienes los dos ibfectados y quieres corregir los dos, en cuyo caso primero le darás al 1 y luego al 2, o bien solo tengas infectado uno de llos, debido a haber insertado dicho disco duro tras haber sufrido la infeccion, de lo contrario tendrías los 2 infectados.
Lo del registro no tiene ninguna importancia y pueden ser restos de procesos de eliminacion que has aplicado
(No es del virus, pues dicho virus es de DOS, y no sabe ni que existe el registro de sistema, que es propio de windows)
Una vez eliminado el virus de dichos sectores fñisicos (sector 1, cara 0, cilindro 0 de cada disco duro infectado), olvidate del problema.
saludos
ms, 13-07-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online