IMPORTANTE, virus symlcserv.exe

gsoft · Septiembre 20, 2008, 02:15:28 PM

OK, lean detenidamente. Si reciben en el MSN un zip con supuestamente la foto de una fiesta del sábado, NO ABRAN!
Ayer, Cazador asesino me envió esto, aunque el no quería hacerlo. El virus, al loguearte a MSN, manda a tus contactos la basura automáticamente...
A Cazador le agarró este virus, probablemente de la misma manera.
Pillé que era un EXE y no un JPG como pretendia ser... pero ya se ejecutó, fue muy tarde.
El maldito jode todos los permisos, para administrador de tareas y demás. El WinRecover intenta arreglarlo pero el virus crea una entrada de inicio en el registro y vuelve a joderlo todo.
Si tienen shit-VistAIDS, como en mi laptop están de suerte: El virus jode muchos permisos, pero programas como TuneUp process manager y Restaurar Sistema funcionan. En XP restaurar sistema no anda. Se ve que el RS de Vista es diferente al de XP.
Si tienen vista, basta con restaurar, y listo.
Con el TuneUp logré juntar info de este virus:

El ejecutable es symlcserv.exe, se encuentra en System32.
Ejecuta un proceso llamado Ap que simula ser Symantec Service o algo así.
Si cierran Ap con Process Manager o similar, se reejecuta, y obviamente no lo pueden borrar si está siendo ejecutado.
Además crea entradas de inicio en el Registro, en las claves Run. Si desactivan esto con StartUp Manager o similar, Ap los recreará al instante.

OK, las soluciones van aquí: Lastimosamente en XP no es tan fácil, ya que Restaurar sistema está jodido también. Cazador sigue teniendo el virus, pero está conectándose con linux ahora.

Vista: Restaurar sistema. Luego si el symlcserv.exe sigue en system32, borrarlo con el método preferido.

XP: Tendrán que eliminar symlcserv.exe con otro sistema. Pueden conectar el disco duro como secundario en una PC que esté bien, arrancar con el sistema sin virus y usar DOS, o Explorer, o algo similar para eliminar al desgraciado de System32. (Próximamente, lanzaré CrapRemover, una herramienta que NO ES un antivirus, que sirve para ver y borrar archivos ocultos. Con esto, se ahorran tener que usar DOS, y previenen el problema de los virus que apagan automáticamente la opción de mostrar archivos ocultos.)
En fin, usen el sistema bueno, eliminen el EXE. Luego, arranquen el sistema afectado normalmente. Al arrancar, el sistema probablemente dará mensajes de error diciendo que symlcserv.exe no se encuentra. Ignórenlos.
Luego, intenten ver los permisos. Si todavía están jodidos (muy probable), usen algo como WinRecover para recuperar estos permisos. Ya que el EXE no existe más, esta vez los permisos no serán realterados.
Una vez hecho esto, recuperar permisos adicionales y eliminar todas las claves de registro que contengan symlcserv.exe en ellas.

Les recomiendo el trial de tuneup 2008, usen Registry Editor, Process Manager y StartUp Manager para esto.

EDIT: COMO EVITAR ESTE VIRUS

Si su programa de mensajería tiene una opción de descargar archivos enviados de manera automática, y abrirlos cuando se descarguen, DESACTÍVENLA.
Antes de abrir cualquier archivo enviado, VEAN LA EXTENSIÓN. foto.jpg está bien, pero foto.jpg.exe no es lo que quieren. De todos modos igual puede estar camuflado, así que si quieren seguridad extra usen un editor hexadecimal como Gizmo Editor y vean lo que tenga el archivo. Si este inicia con 'MZ' es un ejecutable.

Si aún tienen problemas con este virus, posteen aquí que tengo más métodos y consejos

Y así termina la primera versión de 'symlcserv.exe - Como matarlo', por gsoft

cazador.asesino · Septiembre 21, 2008, 08:39:49 AM

Efectivamente, lamento si algunos de mis contactos fueron infectados...

Algo más que descubrí sobre el virus es que no me permitía ingresar a webs de los antivirus conocidos y foros de reparación y ayuda.

Esto pude solucionarlo editando el archivo llamado host ubicado en c:\windows\system32\drivers\etc

Solo tuve que quitarle todas las webs bloqueadas y listo.

gsoft · Septiembre 21, 2008, 11:39:17 AM

Eso es bastante sencillo, je. Virus que truquean el hosts siguen siendo pedazos de basura.
Si consiguen info adicional, posteen

Arturo_zero · Septiembre 22, 2008, 09:50:13 PM

Exactamente ese virus me lo pegaron, y también lo pude quitar aunque mi método fue efectivo tuve unos problemas jajaja lo que pasa es que arruine el inicio o la carga del sistema operativo, asi que lo repare de nuevo, respalde toda mi información y le di cuello a todo xp.

ahora y por el momento utilizo ubuntu jajaja

la verdad mucho mejor de cualquier sistema operativo de linux que aya usado, muy pero muy bueno, desde ahora lo uso como sistema principal y xp como secundario. jejeje

Mugre virus pasado lo bueno es que si tiene solución

Por el momento antes de recibir algo les recomiendo que le pregunten a quien se los envío si es el archivo si lo envío el

gsoft · Septiembre 23, 2008, 05:49:50 AM

Vaya, se ve que se esparció bastante. En fin, recuerden desactivar toda 'autodescarga' o están fritos.

Deegu! · Septiembre 25, 2008, 09:02:57 AM

ja ja ja a mi no me hizo ni cosquillas lo unico fue que avira desinstalo el messenger como medida preventiva pero casi ni uso el messenger ja ja ja

Seifreed · Septiembre 25, 2008, 02:43:58 PM

Teniendo un Antiespia como Spybot RESIDENTE esta cosas no pasan

cazador.asesino · Septiembre 25, 2008, 06:09:12 PM

Yo tengo el Spybot pero desactivado(solo lo uso cuando ya tengo virus) y en este caso el virus no lo permitía iniciar...
Tal vez si lo hubiera tenido activo lo hubiera bloqueado o talvez no... $:-\$

gsoft · Septiembre 26, 2008, 09:29:08 PM

El Windows Live Messenger APESTA. Consíganse el Miranda que es mucho mejor, y se puede copiar sin problemas a portátiles.

Deegu! · Septiembre 28, 2008, 02:19:12 PM

Cita de: gsoft en Septiembre 26, 2008, 09:29:08 PM
El Windows Live Messenger APESTA. Consíganse el Miranda que es mucho mejor, y se puede copiar sin problemas a portátiles.

lo que realmente me molesta es la "instalacion" carajo casi 15 minutos para decir que no se puede instalar es una flojera yo mientras sigo con los webmessenger je je je

gsoft · Septiembre 28, 2008, 02:29:47 PM

Cuatro palabras:

Las instalaciones online APESTAN.
Los programas deben ser instalables offline. Claro, hacen eso para poder descargarte spyware de regalo, es lógico

'Antes de instalar XYZ, favor desactive su antivirus y antispyware'

No les parece obvio por qué los instaladores piden eso? XD

54t2regdfshgvbcx · Septiembre 28, 2008, 06:42:28 PM

Efectivamente, (como algunos ¡¡Ya saben!!) el famoso Messenger apesta y traga muchísima memoria (entre otras cosas muy odiosas), por eso hay que tener siempre activado, cualquier programa de protección.
Y mucho OJOOOOO, chaa.

Yo tengo unos cuantos mensajeros instantáneos y portables, cuando tenga tiempo, me cae que se los paso, para que ya ¡¡Dejen la basura del MSN!! Y unas direcciones web para mensajearse y seguras.

Jejeje. Saludos

IMPORTANTE, virus symlcserv.exe

Arturo_zero