[SOLUCIONADO] Virus en Memoria USB, No lo borra Mx One, Rápida propagación.

[mauro669]

Hola buenas, a ver si me podeis ayudar en este problemita: tengo un virus con este nombre Bck/IRCBot.gbg.2
el cual detecta Mx One pero no me lo borra, lo tengo metido en la memoria usb y se contagia automaticamente a cualquier ordenador que lo conecto... Cuando el Mx one lo intenta borrar me cierra el explorer.exe y no lo borra.
Los sintomas que he notado son los siguientes: No me deja reiniciar en modo a prueba de fallos, quita el boton ejecutar del menu inicio, deshabilita el Regedit, bloquea el administrador de tareas (ctrl+alt+supr), no me deja ver las opciones de carpeta en el menú herramientas, si pongo una ruta en la barra de direcciones para ir a una ubicacion me da error, no me deja instalar ningun programa del tipo antivirus, antispyware y los que tengo instalados no me los deja abrir.
En internet me deja navegar normalmente pero cuando intento acceder a una web de antivirus como por ejemplo la de mcafee o panda o a una como infospyware me dice que no se puede encontrar la web.

He formateado el ordenador de mi hermana y en la memoria usb tengo los programas que uso con frecuencia y mi sorpresa fue que al instalarle los programas se infecto ella y pues ahora la solucion parece ser formatearlo de nuevo, que me decis ?

Tengo los dos ordenadores de mi casa y las dos memorias usb infectados con este virus Bck/IRCBot.gbg.2

Alguna sugerencia ?

[gsoft]

Hm... suena similar as ese virus del que hablé, ese Ap lo que sea.
Quizá puedas formatearlo sin riesgos de la siguiente manera: Usa una PC 'sana', instala algún tweaker que te permita desactivar por completo el autorun (TuneUp System Control por ejemplo). Una vez desactivado el autorun inserta el disco infectado, pero NO LO ABRAS.
NOTA: Si usas Vista, éste tiene una aplicación para apagar Autorun directamente del Panel de control, ahorrando tiempo.
Luego, abre la consola de comandos (Win+R, cmd.exe), y usa el comando format X: (X es la letra del dispositivo.)
Si todo sale bien, el disco será reformateado, y ya que la PC tendrá el autorun desactivado, el ejecutable no la infectará.

De hecho, desactivar el autorun es una de las mejores cosas que uno puede hacer. Con esto, la única manera de infectarse sería ejecutando a propósito el virus en cuestión.
En caso de XP o inferior, usen el TuneUp o similar, y en Vista simplemente apaguen todo autorun en el Panel de control.

Si aún tienes problemas, postea de nuevo

[mauro669]

He hecho un escaneo nuevamente de mi pc con el Mx One y tengo una información extra del virus Bck/IRCBot.gbg.2, resulta que el archivo infectado se encuentra en la siguiente ubicacion y con su nombre: X:\WINDOWS\system32\symlsmix.exe y ocupa 66,5 KB, Pero al darle eliminar el Mx one me dice Error al tratar el virus.

He entrado a la ubicacion del virus y lo he localizado, pero no puedo borrarlo ya que dice que puedo estar utilizandolo y no puedo acceder al administrador de tareas para finalizar el proceso, he intentado con una herramienta que se llama Unlock para desbloquearla y borrarla pero sin suerte, he probado con Killbox para matar el proceso pero no me deja abrirlo, tampoco me deja hacer un log con Hijackthis, en general no me deja abrir aplicaciones .exe, pero parece que el virus tuviera una base de datos o instrucciones de lo que no te deja, ver ni abrir, ni acceder.

Espero que se pueda parar este virus de alguna manera porque es uno de estos de rapida propagacion ya que se contagia automáticamente por memorias usb, mp3, etc, es decir cualquier tipo de unidad extraible. También comentaros que cuando esta contagiada la memoria usb en la carpeta Mi pc me sale de icono de la memoria una carpeta en ves de el iconito de unidad extraible. Gracias.

PD: tengo windows xp pro con Sp3

[gsoft]

Ayy... esto sí que está feo.
Este virus es DEMASIADO similar a ese Ap... Una manera infalible para eliminarlo consiste en conectar el disco duro con el virus en otra PC que esté bien, arrancar con el 'buen' disco, y eliminar al desgraciado desde éste. Más información la encontrarás en http://ldcmx.info/foro/index.php?topic=1045.0
Espero que ayude.

[mauro669]

Hola he mirado el post que me has dicho y seguramente esa sea buena solucion conectando el disco duro como esclavo a otro pc y borrar el archivo y luego pasarle un antivirus actualizado. Mirando el post he visto una respuesta de cazador.asesino acerca de las web que no te deja entrar. Me he metido a esta ubicacion: X:\WINDOWS\system32\drivers\etc y he abierto el archivo hosts con el bloc de notas y me he llevado la sorpresa de que estaban escritas todas las webs referente al tipo antispyware y antivirus, para comprobarlo borre una linea y luego le di a guardar  y probe a meterme en internet a esa web y pude entrar, es decir ahi esta la solucion para poder acceder a las webs, solo hay que borrarlas del archivo hosts.

Tambien comentar que al parecer es un virus que se contagia via messenger, pero a mi no me bloquea el msn ni se reenvia a los contactos ni nada y que al parecer crea esta clave en el registro O4 - HKLM\..\Run: [Symantec Security Mix] symlsmix.exe. Seguramente sea muy dificil borrarlo desde el pc infectado o tratar de limpiar la memoria usb porque no te deja ver archivos ocultos al estar bloqueado la opciones de carpeta y tampoco puedes matar el proceso.

Sigo investigando... el autor del virus no se cercioro de colocar esta web en el hosts sino estaria jodido encontrar solucion.

PD: estoy mirando el archivo symlsmix.exe y veo como se rie de mi al ver que no lo puedo borrar jajaja xD.
Gracias.

[mauro669]

hola de nuevo aqui estamos al ataque... jajaja
bueno de momento comentar que he borrado todas las webs del hosts y puedo acceder ya con normalidad a cualquiera pagina web, tambien decir que  cuando te metes con clic derecho en mi pc a propiedades te desaparece la pantalla de restaurar sistema para que no puedas desactivarla y tampoco te deja entrar al administrador de dispositivos de la pestaña hardware, esta interesante.

También comentar que logre instalar el hijackthis pero hay que cambiarle el nombre antes de instalarlo por ejemplo a hjthis y despues de instalarlo tienes que ir a la carpeta donde esta el hijackthis y cambiar el nombre del .exe para que te deje abrirlo.

intentare encontrar las entradas y borrar y reiniciar a ver que pasa. ya os contare.

[gsoft]

Un momento... 'Symantec Security Mix'... ES EXACTAMENTE como ese virus del que hablé antes. Pues con el método del disco esclavo deberia ser posible eliminarlo. Buena suerte =)

[mauro669]

ya si seguramente esa sea una solucion muy buena pero queria yo como encontrar otra para borrarlo sin necesidad de sacar el disco duro y conectarlo en otro pc y sin necesidad de formatear, pero la verdad ya despues de que se te mete un virus y te toquetea el registro y te jode un poco el windows aunque borres ese virus lo mejor es formatear.

Ahora mismo estoy haciendo unas posibles soluciones, ya contare como termina esto.
Gracias por prestarme atencion y tu ayuda.

[mauro669]

Posibles soluciones:

Me he metido en Panda y he hecho un escaneo online y lo ha detectado y esta es al parecer la ficha del virus: http://www.pandasecurity.com/spain/homeusers/security-info/about-malware/encyclopedia/overview.aspx?idvirus=144249

al parecer es un gusano que se llama Gaobot.OXI
en panda online al parecer te lo desinfectan pero tienes que registrarte aunque no tarda nada el registro.

Bueno ahora mismo informo de más cosas.

[mauro669]

hola los pasos para eliminarlo sin sacar el disco duro ni nada son los siguientes:

Como no puedes desactivar restaurar sistema porque la pestaña se te ha quitado de las propiedades de mi pc y tampoco puedes activarla ya que no tienes el boton ejecutar, tienes que hacer lo siguiente:

1- Borra archivos temporales, cookies y demas con una herramienta como esta que no necesita instalarse ATF clener, bajala de aqui http://atf-cleaner.softonic.com/

2- Descargar el hijackthis v2.0.2 de aqui http://hijackthis.softonic.com/
Ahora lo tienes que instalar, para hacerlo cambiale el nombre al archivo a otro por ejemplo hthis e instalalo, despues de instalarlo vete a la carpeta donde se instalo X:\Archivos de programa\trend micro y cambiale el nombre al .exe por cualquiera para que te lo deje abrir el programa.

Ahora abres el Hijackthis y haces lo siguiente:
clic en Open The Misc Tool Section
Luego clic en Open Process Manager y busca el proceso symlsmix.exe y lo seleccionas y dale clic a kill process, haz lo mismo con el proceso sysmgr.exe... (pueden no aparecer)
Ahora presiona Back y clic en Open Hosts File Manager y clic en Open in Notepad y se te abre con el bloc de notas y borras todas las paginas web que veas (seran muchas), yo las he borrado todas, despues das clic en archivo y guardar y cierras el bloc de notas. (con esto lo que haces es que ya puedes entrar a cualquiera web que antes no te dejaba)

Presionas de nuevo en Back en el hijackthis y haces clic en Delete a File on Reboot, se abre una ventana ya en el directorio de \system32 y buscas este archivo symlsmix.exe lo seleccionas y das abrir, te dira que debes reiniciar el pc y dale que si.

Una vez reiniciado el ordenador abre de nuevo el hijackthis y dale clic en Do a system scan only y borra las siguientes entradas si aparecen:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Symantec Security Mix] symlsmix.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Las marcas y das clic en Fix checked, fijate si se borraron los archivos metiendote en X:\Windows\system32 y busca symlsmix.exe, sysmgr.exe si aparecen borralos y reinicia el pc.

3- Ahora vamos a hacer aparecer las opciones de carpeta para ver archivos ocultos, el administrador de tareas, boton ejecutar en menu inicio, para ver el administrador de dispositivos de la pestaña hardware en las propiedades de mi pc:

Bajate estos dos archivos de aqui: http://rapidshare.com/users/LFKQG6
Los descomprimes y a continuacion abre el primero que se llama Sysconfig.exe, Marcas todas las casillas de la izquierda y le das aplicar, despues aceptar y luego cierras el programa y te dira que reinicies y das aceptar.... despues del reinicio abres el segundo archivo que es una entrada del registro que se llama Activar archivos ocultos.reg y te dira si deseas ingresar la informacion al registro y das que Si y luego aceptar y reinicias de nuevo.

Despues de reiniciar para ver el boton de ejecutar debes bajar esta utilidad llamada Msn cleaner de aqui http://msncleaner.softonic.com/
La abres y marcas la opcion desbloquear el navegador y la otra q se llama habilitar el administrador de tareas, etc. y das a analizar...
Cuando termine si te encuentra algo das a eliminar y a lo mejor te dice de reiniciar para borrarlo pues le dices que si y sino encuentra nada mejor.

Ahora si te fijas en el menu inicio ya tienes el boton ejecutar y ya puedes presionar ctrl+alt+supr(delete) y te saldra.
En el menu ejecutar ya puedes poner regedit y te sale el registro de windows.

PD: no hable de desactivar restaurar sistema ya que el virus te quita la pestaña de las propiedades de mi pc, pero ahora ya hablamos de ello

4- Para volver a poner la pestaña restaurar sistema y desactivarla:
para hacerlo clic en inicio, clic derecho mi pc y propiedades, en pestaña restaurar sistema marcas la casilla de desactivarla y si te sale un aviso dile que si y luego aplicar y aceptar.

Sino te sale la pestaña resutarar sistema, prueba lo siguiente:
Clic en inicio ejecutar escribes gpedit.msc (solo winxp pro) y aceptar
Acceda a Configuración del equipo\Plantillas administrativas\Sistema\Restaurar sistema
Busque en el panel de la derecha la directiva Desactivar Restaurar sistema
Haga doble clic sobre la misma, seleccione No configurada y pulse Aceptar
Cierre Directiva de grupo y reinicie el sistema

Si lo anterior no le dio resultado, verifique si el servicio "Servicio de restauración del sistema" está iniciado.

Abra Inicio, Ejecutar, escriba services.msc y pulse Aceptar
Busque el servicio "Servicio de restauración de sistema" y haga doble clic sobre el mismo
Verifique que el tipo de inicio esté establecido en Automático y que el estado del servicio sea Iniciado, Si no estuviera iniciado el servicio, pulse el botón Iniciar

Si al darle inciar te da un error de que se detuvo... hacer lo siguiente...

Para windows XP home edition:

Abra Inicio, Ejecutar, escriba regedit y pulse Aceptar.
Busque la clave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft NT\SystemRestore.
Con dicha clave de la derecha seleccionada haga clic sobre Edición, Eliminar.
Pulse Sí.
Haga clic sobre Archivo, Salir y reinicie el sistema y debera salirle la pestaña en las propiedades de mi pc

Para xp pro :

Abra Inicio, Ejecutar, escriba regedit y pulse Aceptar.
Busque la clave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore y a la derecha salen dos claves, pues a las dos ponerles el valor (1), para ellos dar doble clic en cada una y poner un 1 en informacion del valor y clic en aceptar y cierran el registro y reincian y ya les debe salir la pestaña en propiedades de mi pc.

Bueno eso es todo amigos cualquier duda posteen y no estaria mal agradecer ya que me tire unas horas solucionando todo esto y haciendo el tutorial.
Chao y hasta la proxima.
Mauro™

[gsoft]

Whooooooa! O_o

Excelente tutorial, espero que funcione también con la variante de la que hablé, que jodió el XP a Cazador.
Por suerte lo has solucionado, bien hecho.

[cazador.asesino]

Yo diría que es el mismo virus que me infectó, ya que este pesa igual -> 66.5 kb <- y hace lo mismo ...

[gsoft]

Te sirvió esto para quitar al desgraciado, Cazador?
O todavía ese virus está causando problemas?

[cazador.asesino]

Lo unico que queda del virus es:

-> No puedo iniciar en modo seguro porque se reinicia a cada rato
-> Al iniciar windows me aparece una ventana que siempre cambia "cada vez que inicio" que contiene entre 10 a 20 caracteres extraños .... de vez en cuando son entendibles y dice algo como qe faltan archivos en la carpeta system32\cache ... Pero le doy en aceptar y normal

Si alguien sabe como quitar esas molestias les agradecería... aunque ahora ya casi solo uso Ubuntu

[kar105]

hola a todos pues mi problema es el siguiente....
analiso mi memoria con el mxone y me aparece un virus llamado e.exe y lo intento borrar y no me deja
ademas aparece como virus desconocido....
ya envie una muestra del virus pero me preguntaba si este virus no sera otra version del mismo virus del que ustedes han hablado...