el nod32 me detecto un archivo pero igual hubo modificaciones en el sistema, el nod 32 me envio este mensaje:
Probablemente una variante modificada de aplicación Win32/Statik
y se agrego un nuevo proceso
C:\WINDOWS\services.exe en HKLM
18/08/2008, 12:39
| |||
| |||
 Que tipo de virus es este el nod32 me detecto un archivo pero igual hubo modificaciones en el sistema, el nod 32 me envio este mensaje: Probablemente una variante modificada de aplicación Win32/Statik y se agrego un nuevo proceso C:\WINDOWS\services.exe en HKLM Última edición por franko1809; 18/08/2008 a las 15:06 |
|
23/09/2008, 12:20
| ||||
| ||||
| Respuesta: Que tipo de virus es este  Buenasss, como estas??? Te dejo algo de informacion sobre ese virus,espero que te sirva.Es un Gusano que se propaga por correo electrónico a todos los contactos encontrados en el equipo infectado. Cuando el gusano se ejecuta crea una copia de si mismo con el nombre "services.exe" dentro de la carpeta de inicio de Windows, Plantillas y carpetas utilizadas por otras aplicaciones. Crea las siguientes entradas en el registro de Windows para ejecutarse en cada reinicio. HKCU\Software\Microsoft\Windows \CurrentVersion\Run Services Logon = services.exe HKCU\Software\Microsoft\Windows \CurrentVersion\Run Services Startup = services.exe HKCU\Software\Microsoft\Windows \CurrentVersion\RunServices Services Logon = services.exe HKCU\Software\Microsoft\Windows \CurrentVersion\RunServices Services Startup = services.exe HKCU\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce Services Logon = services.exe HKCU\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce Services Startup = services.exe HKCU\Software\Microsoft\Windows \CurrentVersion\RunOnce Services Logon = services.exe HKCU\Software\Microsoft\Windows \CurrentVersion\RunOnce Services Startup = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\Run Services Logon = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\Run Services Startup = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\RunServices Services Logon = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\RunServices Services Startup = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce Services Logon = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce Services Startup = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\RunOnce Services Logon = services.exe HKLM\Software\Microsoft\Windows \CurrentVersion\RunOnce Services Startup = services.exe También libera el archivo "services.dll" dentro de la siguiente carpeta: C:\Windows\System El gusano abre una ventana del navegador con el siguiente sitio: http://www.cnn.com/WORLD Luego abre el sitio http://cocorosa.ath.cx Después de ejecutarse el gusano borra las entradas creadas para ejecutarse en cada reinicio. Borra todos los archivos dentro de la carpeta Cookies. El gusano se conecta al sitio "cocoazul.ath.cx" por el puerto 80 y espera instrucciones de un atacante remoto. Captura la salida del teclado, los datos obtenidos son guardados en el archivo "keys.tmp" dentro de la siguiente carpeta: C:\Windows\Temp La ubicación de la carpeta "TEMP" puede ser: En Windows 9x/ME: c:\windows\TEMP En Windows NT, XP, 2000 y Server 2003: c:\documents and settings\[usuario]\local settings\TEMP Los datos obtenidos son enviados a las direcciones "[email protected]" o "[email protected]" El gusano intenta enviarse a si mismo utilizando su propio motor SMTP a todos los contactos de la libreta de direcciones de Windows. El asunto del mensaje y el nombre del archivo adjunto están creados con datos obtenidos del sitio http://www.cnn.com. > INSTRUCCIONES PARA ELIMINARLO 1. Desactive la restauración automática en Windows XP/ME. 2. Reinicie en Modo a prueba de fallos. 3. Ejecute un antivirus actualizado y elimine los archivos infectados. 4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema. 5. Elimine bajo la columna "Nombre", las entradas "Services Logon" y "Services Startup" en las siguientes claves del registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Run HKCU\Software\Microsoft\Windows \CurrentVersion\Run HKCU\Software\Microsoft\Windows \CurrentVersion\RunServices HKCU\Software\Microsoft\Windows \CurrentVersion\RunServices HKCU\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows \CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows \CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows \CurrentVersion\Run HKLM\Software\Microsoft\Windows \CurrentVersion\Run HKLM\Software\Microsoft\Windows \CurrentVersion\RunServices HKLM\Software\Microsoft\Windows \CurrentVersion\RunServices HKLM\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows \CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows \CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows \CurrentVersion\RunOnce 6. Cierre el editor del Registro del sistema. 7. Busque y elimine el siguiente archivo: C:\Windows\System\services.dll 8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano. Un abrazo.  |
Este tema le ha gustado a 1 personas 
