Hola. Tengo un problema con este virus.
El antivirus que tengo instalado en mi ordenadore (Kaspersky) lo ha detectado esta tarde pero no puedo desinfectarlo ni borrarlo, puesto que dice q el programa está en uso.
He seguido las instrucciones de
El archivo es 'tapidos.dll', y está alojado en una carpeta dentro de c:\windows\system32
El caso es que si accedo a esa carpeta con el explorador de archivos no aparece dicho archivo ni activando la opción de mostrar archivos ocultos.
He accedido con el símbolo del sistema y con el comando 'attrib' logro ver el archivo. Tiene propiedades h y s (oculto y sistema) y no me deja modificarlas, así q no puedo eliminarlo.
¿Qué puedo hacer?
GRACIAS
Las instrucciones de
DESCRIPCION
nombre: Win32/Agent.CS
aliases: Agent.CS, Agent.U, TR/Agent.CS, Trj/Agent.OU, Troj/Agent-DJ, TROJ_AGENT.FZ, Trojan.Virtumod, Trojan.Win32.Agent.cs, Win32.Vundo.AD, Win32.Vundo.AD, Win32/Agent.CS, Troj/Agent.CS
tipo: Troyano
fecha: 25/04/2005
gravedad general: Media
distribución: Media
daño: Medio
tamaño: 419,348 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET
INFORMACION
Troyano residente en memoria, es agregado por algunos sitios, o descargados por malwares. También es capaz de robar contraseñas almacenadas en el equipo infectado.
CARACTERISTICAS
Se integra al Internet Explorer como un objeto del tipo BHO, de modo que sus comunicaciones con el sitio que lo crea, no son interceptadas por el cortafuegos al ejecutarse como parte del propio navegador.
Cuando el troyano se ejecuta, crea la siguiente copia de si mismo:
C:\Windows\[ruta y nombre al azar].dll
Donde [ruta y nombre al azar] puede(n) ser otra(s) carpeta(s) dentro de Windows, con nombres al azar, como también será al azar el nombre del ".DLL"
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Crea las siguientes entradas en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[nombre]
DllName = c:\windows\[ruta y nombre al azar].dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[nombre]
Startup = SysLogon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[nombre]
Logoff
HKLM\SOFTWARE\Classes\MSEvents.MSEvents
HKLM\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}
Donde [nombre] es el nombre aleatorio del archivo del malware.
Su funcionamiento compromete la seguridad y el rendimiento general de la navegación.
INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Busque la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
6. Elimine cualquier clave que coincida con alguno de los nombres anotados en el paso 3.
7. Busque la siguiente clave del registro:
HKLM\SOFTWARE\Classes\MSEvents.MSEvents
8. Elimine la siguiente clave:
MSEvents.MSEvents
9. Busque la siguiente clave del registro:
HKLM\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}
10. Elimine la siguiente clave:
{B8B55274-0F9A-41E5-9067-A3539BD9E860}
11. Cierre el editor del Registro del sistema.
12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
msc hotline sat Virus Research Engineer