Mi equipo esta infectado con CWS.MSconfig

CAPRICORNIO · Mensaje por **CAPRICORNIO** » 28 Sep 2004, 03:07

Hola Amigos

Tengo un equipo de mi red infectado con el troyano CWS.MSconfig y ya me borro el MSCONFIG.EXE ¿Podrian ayudarme a eliminarlo?.

Ya corri; Ad-aware, SpySweeper, Spyboot, The Cleaner, a2, AVG antivirus, en el modo a prueba de fallos, y modo normal y ninguno detecto nada. El que detcto fue CSWSHEREEDER (o algo asi).

El equipo es Athlon de 1 Gb., con 256 Ram, Win me.

Saludos
CAPRICORNIO

caito · Mensaje por **caito** » 28 Sep 2004, 04:25

No dices qué SO usas , pero pero si es XP o Millenium puedes volver a Retaurar sistema a una fecha anterior a que surgieran los problemas .

Dinos más datos y será más fácil ayudarte.

Salu2

Caito

Mensaje por **maura63** » 28 Sep 2004, 09:36

Este programa lo soluciona, descarga y actualiza al detectar pulsa fix

Eliminación de paginas de inicio en el internet explorer y no restaurables,
dialers, etc:
Pasos a seguir una ver descargados es instalarlos, actualizados (update)
y escanear el sistema .

Pásalo como dice Caito al usar ME

Sitio 2 - Descargar Cwshredder desde zonavirus.com
http://www.zonavirus.com/descargas/tren ... redder.asp

Saludos
maura63

Mensaje por **msc hotline sat** » 28 Sep 2004, 10:33

Complemento lo indicado por Maura63 aconsejando arrancar en modo seguro para lanzar el CWSHREDDER, y cuando haya detectado el bicho, pulsar FIX para su eliminacion.

Si no se arranca en modo seguro, o a prueba de fallos que es lo mismo segun sistema, windows no permite eliminar lo que está en uso, y muchos de estos gusanos estám en uso y dificultan su eliminacion

saludos

ms, 28-09-2004

CAPRICORNIO · Mensaje por **CAPRICORNIO** » 28 Sep 2004, 21:20

Gracias Amigos por contestar tan rapido

Caito; El SO que uso en ese equipo es Windows me.

maura63; Ya habia corrido el CWShredder en modo normal, ahora siguiendo tus indicaciones lo corri en modo a prueba de fallos e igual que antes me sale una ventana que dice:

The CWS.Msconfig trojan has deleted a windows system file from your system. MSCONFIG.EXE is needed to run the system configuration utility (aka MSconfig)

A me olvidaba decirles que al mover el mousse, el puntero se mueve muy rapido y de un lado a otro de la pantalla (una sola Vez) y abre y cierra ventanas, luego al dar clik en cualquier punto del escritorio abre un un menu como el que se habe cuando le damos click con boton derecho.

Ayudenme Amigos, por favor.

Mensaje por **cañera** » 28 Sep 2004, 21:25

pasa tu antivirua actualizado en a modo seguro;
http://www.zonavirus.com/articulos/como ... fallos.asp
cuentanos como te fue.

CAPRICORNIO · Mensaje por **CAPRICORNIO** » 29 Sep 2004, 01:06

Gracias Cañera
Ya lo hice y no detecto nada del bicho CWS.msconfig.

caito · Mensaje por **caito** » 29 Sep 2004, 05:31

Esto encontré :
Variant 31: - CWS.Msconfig - Payload plus one
Approx date first sighted: February 5, 2004 (also a nice example of how frustrating these things can be to people)
Symptoms: IE pages being hijacked to http://www.31234.com on system startup and when changing homepage back, continuous errors about an invalid Registry script in temp2.txt, extra item in right-click menu of webpages named '??????'
Cleverness: 2/10
Manual removal difficulty: Involves a process killer, some Registry editing and restoring a Windows system file from CD
Identifying lines in HijackThis log:

Running processes:
C:\WINDOWS\SYSTEM\MSCONFIG.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe
O4 - HKCU\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe
O8 - Extra context menu item: ?????? - C:\WINDOWS\system32\openme.htm

This variant uses the filename msconfig.exe which overwrites the real Windows file in Windows 98/98SE/ME. The temp2.txt file it drops is actually a Registry script, but since it's in the wrong format, Windows 9x/ME will throw up an error about an invalid Registry script. Windows 2000/XP will import it without complaining, creating the '??????' item in the IE right-click menu. The msconfig.exe file will always stay in memory, reinstalling the hijack every 5 seconds. Killing the process, deleting the file and restoring the IE homepages/search pages fixes this hijack.

The real Windows file msconfig.exe can be download here, if you can't restore it from your Windows Setup CD for some reason :
http://209.133.47.200/~merijn/winfiles.html#msconfig
Salu2
Caito

Mensaje por **maura63** » 29 Sep 2004, 08:19

Tambien puedes probar con este otro programa

Descarga la utilidad adwcleaner
https://es.malwarebytes.com/adwcleaner/

desempaquetela y utilicela arrancando en modo seguro. Ojo.. sigue las instrucciones del programa.

Saludos
maura63

CAPRICORNIO · Mensaje por **CAPRICORNIO** » 02 Oct 2004, 22:31

Gracias Maura

Voy a descargarlo y en cuanto lo corra aviso que resulto

Saludos

CAPRICORNIO

Mi equipo esta infectado con CWS.MSconfig

Mi equipo esta infectado con CWS.MSconfig

No se muere el CWS.MSconfig

CWS.MSCONFIG