[Tutorial] Borrar Virus: Bck/IRCbot.gbg.2 Symlsmix.exe Sysmgr.exe

[mauro669]

hola los pasos para eliminarlo sin sacar el disco duro ni nada son los siguientes:

Como no puedes desactivar restaurar sistema porque la pestaña se te ha quitado de las propiedades de mi pc y tampoco puedes activarla ya que no tienes el boton ejecutar, tienes que hacer lo siguiente:

1- Borra archivos temporales, cookies y demas con una herramienta como esta que no necesita instalarse ATF clener, bajala de aqui http://atf-cleaner.softonic.com/

2- Descargar el hijackthis v2.0.2 de aqui http://hijackthis.softonic.com/
Ahora lo tienes que instalar, para hacerlo cambiale el nombre al archivo a otro por ejemplo hthis e instalalo, despues de instalarlo vete a la carpeta donde se instalo X:\Archivos de programa\trend micro y cambiale el nombre al .exe por cualquiera para que te lo deje abrir el programa.

Ahora abres el Hijackthis y haces lo siguiente:
clic en Open The Misc Tool Section
Luego clic en Open Process Manager y busca el proceso symlsmix.exe y lo seleccionas y dale clic a kill process, haz lo mismo con el proceso sysmgr.exe... (pueden no aparecer)
Ahora presiona Back y clic en Open Hosts File Manager y clic en Open in Notepad y se te abre con el bloc de notas y borras todas las paginas web que veas (seran muchas), yo las he borrado todas, despues das clic en archivo y guardar y cierras el bloc de notas. (con esto lo que haces es que ya puedes entrar a cualquiera web que antes no te dejaba)

Presionas de nuevo en Back en el hijackthis y haces clic en Delete a File on Reboot, se abre una ventana ya en el directorio de \system32 y buscas este archivo symlsmix.exe lo seleccionas y das abrir, te dira que debes reiniciar el pc y dale que si.

Una vez reiniciado el ordenador abre de nuevo el hijackthis y dale clic en Do a system scan only y borra las siguientes entradas si aparecen:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Symantec Security Mix] symlsmix.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Las marcas y das clic en Fix checked, fijate si se borraron los archivos metiendote en X:\Windows\system32 y busca symlsmix.exe, sysmgr.exe si aparecen borralos y reinicia el pc.

3- Ahora vamos a hacer aparecer las opciones de carpeta para ver archivos ocultos, el administrador de tareas, boton ejecutar en menu inicio, para ver el administrador de dispositivos de la pestaña hardware en las propiedades de mi pc:

Bajate estos dos archivos de aqui: http://rapidshare.com/users/LFKQG6
Los descomprimes y a continuacion abre el primero que se llama Sysconfig.exe, Marcas todas las casillas de la izquierda y le das aplicar, despues aceptar y luego cierras el programa y te dira que reinicies y das aceptar.... despues del reinicio abres el segundo archivo que es una entrada del registro que se llama Activar archivos ocultos.reg y te dira si deseas ingresar la informacion al registro y das que Si y luego aceptar y reinicias de nuevo.

Despues de reiniciar para ver el boton de ejecutar debes bajar esta utilidad llamada Msn cleaner de aqui http://msncleaner.softonic.com/
La abres y marcas la opcion desbloquear el navegador y la otra q se llama habilitar el administrador de tareas, etc. y das a analizar...
Cuando termine si te encuentra algo das a eliminar y a lo mejor te dice de reiniciar para borrarlo pues le dices que si y sino encuentra nada mejor.

Ahora si te fijas en el menu inicio ya tienes el boton ejecutar y ya puedes presionar ctrl+alt+supr(delete) y te saldra.
En el menu ejecutar ya puedes poner regedit y te sale el registro de windows.

PD: no hable de desactivar restaurar sistema ya que el virus te quita la pestaña de las propiedades de mi pc, pero ahora ya hablamos de ello

4- Para volver a poner la pestaña restaurar sistema y desactivarla:
para hacerlo clic en inicio, clic derecho mi pc y propiedades, en pestaña restaurar sistema marcas la casilla de desactivarla y si te sale un aviso dile que si y luego aplicar y aceptar.

Sino te sale la pestaña resutarar sistema, prueba lo siguiente:
Clic en inicio ejecutar escribes gpedit.msc (solo winxp pro) y aceptar
Acceda a Configuración del equipo\Plantillas administrativas\Sistema\Restaurar sistema
Busque en el panel de la derecha la directiva Desactivar Restaurar sistema
Haga doble clic sobre la misma, seleccione No configurada y pulse Aceptar
Cierre Directiva de grupo y reinicie el sistema

Si lo anterior no le dio resultado, verifique si el servicio "Servicio de restauración del sistema" está iniciado.

Abra Inicio, Ejecutar, escriba services.msc y pulse Aceptar
Busque el servicio "Servicio de restauración de sistema" y haga doble clic sobre el mismo
Verifique que el tipo de inicio esté establecido en Automático y que el estado del servicio sea Iniciado, Si no estuviera iniciado el servicio, pulse el botón Iniciar

Si al darle inciar te da un error de que se detuvo... hacer lo siguiente...

Para windows XP home edition:

Abra Inicio, Ejecutar, escriba regedit y pulse Aceptar.
Busque la clave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft NT\SystemRestore.
Con dicha clave de la derecha seleccionada haga clic sobre Edición, Eliminar.
Pulse Sí.
Haga clic sobre Archivo, Salir y reinicie el sistema y debera salirle la pestaña en las propiedades de mi pc

Para xp pro :

Abra Inicio, Ejecutar, escriba regedit y pulse Aceptar.
Busque la clave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore y a la derecha salen dos claves, pues a las dos ponerles el valor (1), para ellos dar doble clic en cada una y poner un 1 en informacion del valor y clic en aceptar y cierran el registro y reincian y ya les debe salir la pestaña en propiedades de mi pc.

Por ultimo les recomiendo un escaneo online como el de panda: http://www.pandasecurity.com/spain/homeusers/solutions/activescan/

Bueno eso es todo amigos cualquier duda posteen y no estaria mal agradecer ya que me tire unas horas solucionando todo esto y haciendo el tutorial.
Chao y hasta la proxima.
Mauro™

[BLITOR]

hola antes que nada agradecerte pues esta bueno tu tutorial yo tengo problemas con una maquina que me dio un primo segun para actualizarle su antivirus pues no tiene internet. y pues despues de analizarla, revisarla y escanearla pude ver que se ejecutaba una ventana del simblo del sistema con el titulo del virus del tutorial al iniciar secion en cualquier cuenta de la maquina.
y pues segui los pasos que mencionas y pues algunos problemas se solucionaron, como el acceder al administrador de tareas y el poder ver el boton de ejecutar pero pues ahora no tengo acceso a internet y ahora en vez de aparecer la ventana del simbolo del sistema con el nombre del virus pues ahora aparece el siguiente titulo:  C:\ARCHIV~1\Realtek\INSTAL~1\mixersel.exe.
deje un mensaje directo en el foro de seguridad donde explico un poco mas sobre mi caso por si alguien mas me puede ayudar pero pues igual te escribo a ti para ver si me puedes ayudar de alguna forma.
sin mas por el momento me despido no sin antes agradecerte mucho la informacion subida el tutorial es bueno y pues si me sirvio a resolver parte de la problematica grax.
y ojala puedas ayudarme con el problema que tengo aun