Una solución al G-Vulcan III
Publicado por chamorro (5 intervenciones) el 07/02/2007 00:34:00
Manejo un café internet en Mocoa (Putumayo), cerca a Pasto (Nariño) de donde es el creador del Virus... y resulta que los 5 computadores estan infectados con el Troyano G-Vulcan III.
Ya conocía como manejar la versión antigua : G-Vulcan IV...
Bueno.. en fin.. esto es lo que pude averiguar infectando uno de los equipos de prueba que manejo en mi taller....
El virus se propaga muy facilmente de equipos infectados mediante las Memorias Flash USB y Diskettes.. asi mismo cuando se queman CD con información supuestamente de archivos Word...
Si ya esta infectado realice lo siguiente :
* Descarge el programa HijackThis, lo puede descargar desde : http://www.majorgeeks.com/download3155.html
* Ubique en su computador, en la raiz principal (C:\) un archivo que a simple vista parace un archivo de word.. de nombre "Recuerda que te Quiero", es de 56 K. y borrelo...
Asi mismo.. active en su explorador de archivos el mostrar todos los archivos y carpetas ocultas.. y va a encontrar que los archivos originales de Word los oculta, crea una copia tipo aplicación (Exe) con el mismo nombre... esa es la manera de infectar su PC.. pensando que es uno de sus archivos.. lo trata de abrir.. y listo.. ya está contagiado....
Despues de borrar todos los archivos tipo aplicación que parecen del tipo Word, vaya a la carpeta C:\windows\system\ y busque el archivo csrss.exe.. eliminelo
(aparece como si fuera un Documento de Microsoft Word).
Entramos al administrador de tarea y verificamos la presencia del proceso : csrss.exe, lo que vamos a ver, es que existen dos procesos con el mismo nombre pero con distinto usuario.. uno con usuario System.. que es el original.. y otro con el nombre de usuario del PC.
Luego, con el HiJackThis, haga un scan de su equipo y ubique la siguiente linea y eliminela : O4 - HKLM\..\Run: [WinSound] C:\WINDOWS\system\csrss.exe
Verificamos nuevamente en el administrador de tareas que el proceso CSRSS.exe del usuario del PC ya no exista...
Con respecto al cambio del boot.ini, lo que hice fue borrarlo.. para posteriormente con la consola de recuperación, crearlo con el bootcfg /rebuild
y listo...
Espero haber colaborado en algo...
Ya conocía como manejar la versión antigua : G-Vulcan IV...
Bueno.. en fin.. esto es lo que pude averiguar infectando uno de los equipos de prueba que manejo en mi taller....
El virus se propaga muy facilmente de equipos infectados mediante las Memorias Flash USB y Diskettes.. asi mismo cuando se queman CD con información supuestamente de archivos Word...
Si ya esta infectado realice lo siguiente :
* Descarge el programa HijackThis, lo puede descargar desde : http://www.majorgeeks.com/download3155.html
* Ubique en su computador, en la raiz principal (C:\) un archivo que a simple vista parace un archivo de word.. de nombre "Recuerda que te Quiero", es de 56 K. y borrelo...
Asi mismo.. active en su explorador de archivos el mostrar todos los archivos y carpetas ocultas.. y va a encontrar que los archivos originales de Word los oculta, crea una copia tipo aplicación (Exe) con el mismo nombre... esa es la manera de infectar su PC.. pensando que es uno de sus archivos.. lo trata de abrir.. y listo.. ya está contagiado....
Despues de borrar todos los archivos tipo aplicación que parecen del tipo Word, vaya a la carpeta C:\windows\system\ y busque el archivo csrss.exe.. eliminelo
(aparece como si fuera un Documento de Microsoft Word).
Entramos al administrador de tarea y verificamos la presencia del proceso : csrss.exe, lo que vamos a ver, es que existen dos procesos con el mismo nombre pero con distinto usuario.. uno con usuario System.. que es el original.. y otro con el nombre de usuario del PC.
Luego, con el HiJackThis, haga un scan de su equipo y ubique la siguiente linea y eliminela : O4 - HKLM\..\Run: [WinSound] C:\WINDOWS\system\csrss.exe
Verificamos nuevamente en el administrador de tareas que el proceso CSRSS.exe del usuario del PC ya no exista...
Con respecto al cambio del boot.ini, lo que hice fue borrarlo.. para posteriormente con la consola de recuperación, crearlo con el bootcfg /rebuild
y listo...
Espero haber colaborado en algo...
Valora esta pregunta
0