Hola a todos, recién tuve una infección de un virus y acá comparto un procedimiento que encontré para eliminarlo, aunque (a como explico más abajo) yo hice otros procedimientos, pero este que pongo acá primero se ve más fácil y en síntesis es lo que yo hice.
¿Cómo me di cuenta de la infección? Al abrir una carpeta noé que había otra "carpeta" con el mismo nombre, pero fijándome bien no era otra carpeta sino un archivo exe (ejecutable) que tenía el icono de una carpeta con exactamente el mismo nombre.
Intenté abrir el administrador de tareas para ver los procesos, pero me decía El administrador de tareas ha sido bloqueado por un administrador, igual sucedía con el regedit (no podía entrar al registro).
En el explorador de windows, desapareció la opción de menú Herramientas->OPciones de carpetas.
Haciéndo una inspección rápida me fijé que por acada carpeta que tenía en mi memoria USB (la que estaba infectada) había un archivo con el mismo nombre pero .exe de tamañao 263KB, creó tantos archivos que la memoría quedó FULL (sin espacio).
Acá les dejo el procedimiento para su desinfección:
RVHOST.EXE, es un virus que se esparce por lo programas de mensajería instantánea. ¿Cómo se detecta?, fácil, éste cambia unos cuantos registro los cuales no permiten acceder al Administrador de Tareas ni al Editor de Registros. Pero es fácil deshacerse de él.
Aquí van los pasos:
1) Ir al menú INICIO y luego click en EJECUTAR. (O mas rápido, tecleamos Tecla Windows + R )
Escribimos cmd y luego damos ENTER.
2) Escribimos el siguiente comando:
taskkill /F /IM RVHOST.exe
Esto hace que el proceso RVHOST.exe deje de ejecutarse.
3) En la misma consola de comandos, se van a la carpeta C:\Windows (cd.. para bajar nivel,
cd "carpeta" para subir nivel, para los que les cuesta).
En dicha carpeta ejecutamos el comando siguiente:
attrib -R -A -S -H RVHOST.EXE
Y después el siguiente:
del /F /Q RVHOST.exe
4) Repite el paso 3 nada mas que en la carpeta C:\Windows\System32
5) Hecho esto, hacemos nuevamente "Tecla Windows + R" y escribimos gpedit.msc y
luego ENTER.
6) Damos doble click en "Configuración de Usuario", luego "Plantillas Administrativas"
y después en "Sistema".
7) Dentro de Sistema, doble click en "Opciones de Ctrl+Alt+Sup", otros dos click en
"Quitar Administrador de tareas", en las propiedades escogemos "Deshabilitados",
(Aunque no crean pero funciona).
8 )Luego nos regresamos a Sistema y ahora hacemos doble click en "Impedir el acceso a
herramienta de edición de registro" y también lo ponemos en deshabilitado.
9) Para finalizar, como ya podemos abrir el editor de registro, lo abrimos y luego damos "CTRL + B",
para buscar, y escribimos RVHOST, y todo lo que valla encontrando lo vamos borrando y
listo.
Espero que les sirva.
Como hasta hoy leí esto, les explico qué fue lo que yo hice:
1. Ya que tenía el Tunne Up instalado, abrí el administrador de procesos que éste trae y procedí eliminar el proceso llamado RVHOST:EXE
2. Inicio->Ejecutar ahí escribí GPEDIT.MSC y busqué en usuario->Plantillas Administrativas Sistema
3. Doble clic en Opciones de Ctrl + Alt + Sup y cambié el valor a Deshabilitado a Quitar Administrador de Tareas
4. Luego nos regresamos a Sistema y ahora hacemos doble click en "Impedir el acceso a herramienta de edición de registro" y también lo ponemos en deshabilitado.
Con esto sólo queda hacer la búsqueda por el registro y borrar todo lo que diga RVHOST y listo
Espero que esta información les sea útil
La fuente para el primer artículo es esta .
El resto es edición mía.
Un poco más de info del virus
¿Cómo me di cuenta de la infección? Al abrir una carpeta noé que había otra "carpeta" con el mismo nombre, pero fijándome bien no era otra carpeta sino un archivo exe (ejecutable) que tenía el icono de una carpeta con exactamente el mismo nombre.
Intenté abrir el administrador de tareas para ver los procesos, pero me decía El administrador de tareas ha sido bloqueado por un administrador, igual sucedía con el regedit (no podía entrar al registro).
En el explorador de windows, desapareció la opción de menú Herramientas->OPciones de carpetas.
Haciéndo una inspección rápida me fijé que por acada carpeta que tenía en mi memoria USB (la que estaba infectada) había un archivo con el mismo nombre pero .exe de tamañao 263KB, creó tantos archivos que la memoría quedó FULL (sin espacio).
Acá les dejo el procedimiento para su desinfección:
RVHOST.EXE, es un virus que se esparce por lo programas de mensajería instantánea. ¿Cómo se detecta?, fácil, éste cambia unos cuantos registro los cuales no permiten acceder al Administrador de Tareas ni al Editor de Registros. Pero es fácil deshacerse de él.
Aquí van los pasos:
1) Ir al menú INICIO y luego click en EJECUTAR. (O mas rápido, tecleamos Tecla Windows + R )
Escribimos cmd y luego damos ENTER.
2) Escribimos el siguiente comando:
taskkill /F /IM RVHOST.exe
Esto hace que el proceso RVHOST.exe deje de ejecutarse.
3) En la misma consola de comandos, se van a la carpeta C:\Windows (cd.. para bajar nivel,
cd "carpeta" para subir nivel, para los que les cuesta).
En dicha carpeta ejecutamos el comando siguiente:
attrib -R -A -S -H RVHOST.EXE
Y después el siguiente:
del /F /Q RVHOST.exe
4) Repite el paso 3 nada mas que en la carpeta C:\Windows\System32
5) Hecho esto, hacemos nuevamente "Tecla Windows + R" y escribimos gpedit.msc y
luego ENTER.
6) Damos doble click en "Configuración de Usuario", luego "Plantillas Administrativas"
y después en "Sistema".
7) Dentro de Sistema, doble click en "Opciones de Ctrl+Alt+Sup", otros dos click en
"Quitar Administrador de tareas", en las propiedades escogemos "Deshabilitados",
(Aunque no crean pero funciona).
8 )Luego nos regresamos a Sistema y ahora hacemos doble click en "Impedir el acceso a
herramienta de edición de registro" y también lo ponemos en deshabilitado.
9) Para finalizar, como ya podemos abrir el editor de registro, lo abrimos y luego damos "CTRL + B",
para buscar, y escribimos RVHOST, y todo lo que valla encontrando lo vamos borrando y
listo.
Espero que les sirva.
Como hasta hoy leí esto, les explico qué fue lo que yo hice:
1. Ya que tenía el Tunne Up instalado, abrí el administrador de procesos que éste trae y procedí eliminar el proceso llamado RVHOST:EXE
2. Inicio->Ejecutar ahí escribí GPEDIT.MSC y busqué en usuario->Plantillas Administrativas Sistema
3. Doble clic en Opciones de Ctrl + Alt + Sup y cambié el valor a Deshabilitado a Quitar Administrador de Tareas
4. Luego nos regresamos a Sistema y ahora hacemos doble click en "Impedir el acceso a herramienta de edición de registro" y también lo ponemos en deshabilitado.
Con esto sólo queda hacer la búsqueda por el registro y borrar todo lo que diga RVHOST y listo
Espero que esta información les sea útil
La fuente para el primer artículo es esta .
El resto es edición mía.
Un poco más de info del virus
Sohanad.NAI. Se propaga por mensajería instantánea
http://www.vsantivirus.com/sohanad-nai.htm
Nombre: Sohanad.NAI
Nombre NOD32: Win32/Sohanad.NAI
Tipo: Gusano de Internet
Alias: Sohanad.NAI, Trojan.Win32.VB.anm, W32/AutoIt.e, W32/SillyFDC.G, W32/SillyFDC-G, W32/Sohanat.BD.worm, Win32.Agent.evj, Win32/Nuqel.A, Win32/Sohanad.NAI, Worm.AutoIt.d, Worm.Hakaglan.A, Worm.Hakaglan.B, Worm.Win32.AutoIt.e, Worm/Hakaglan.A.2
Fecha: 20/feb/07
Plataforma: Windows 32-bit
Tamaño: 268,288 bytes (UPX)
Gusano que se propaga a través de programas de mensajería instantánea como AOL Instant Messenger, Windows Live Messenger, Windows Messenger y Yahoo Messenger, enviando mensajes con enlaces a todas las listas de contacto del usuario infectado.
Si el usuario hace clic en el enlace, se descarga y ejecuta el gusano propiamente dicho, desde determinados sitios de Internet.
Cuando ello ocurre, se crean en el sistema los siguientes archivos:
c:\windows\resources\themes\luna\shell\homestead\[troyano]
c:\windows\rvhost.exe
c:\windows\system32\rvhost.exe
X:\new folder.exe
X:\ntt0509.exe
Donde "X" es una unidad de disquete, CD, o cualquier unidad mapeada en red. Para engañar al usuario, el archivo "new folder" muestra el icono de una carpeta.
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El gusano crea o modifica las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema, entre otras acciones:
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\WorkgroupCrawler\Shares
shared = \New Folder.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = "c:\windows\system32\rvhost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NotePad =
"c:\windows\Resources\Themes\Luna\Shell\Homestead\[troyano]"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe rvhost.exe"
HKLM\SYSTEM\CurrentControlSet\Services\Schedule
NextAtJobId = "2"
También desactiva el uso del editor del registro y el Administrador de tareas, modificando las siguientes entradas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NofolderOptions = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "1"
Leer Más....