DeNunCianDo - Ver Mensaje Individual - G-vulcano IV

Darth DarK^^ · 05-08-2007 , 08:22:24

bueno buscando encontre esta informacion, ojala te sirva

Ya conocía como manejar la versión antigua : G-Vulcan IV...

Bueno.. en fin.. esto es lo que pude averiguar infectando uno de los equipos de prueba que manejo en mi taller....

El virus se propaga muy facilmente de equipos infectados mediante las Memorias Flash USB y Diskettes.. asi mismo cuando se queman CD con información supuestamente de archivos Word...

Si ya esta infectado realice lo siguiente :

* Descarge el programa HijackThis, lo puede descargar desde : http://www.majorgeeks.com/download3155.html

* Ubique en su computador, en la raiz principal (C:\) un archivo que a simple vista parace un archivo de word.. de nombre "Recuerda que te Quiero", es de 56 K. y borrelo...

Asi mismo.. active en su explorador de archivos el mostrar todos los archivos y carpetas ocultas.. y va a encontrar que los archivos originales de Word los oculta, crea una copia tipo aplicación (Exe) con el mismo nombre... esa es la manera de infectar su PC.. pensando que es uno de sus archivos.. lo trata de abrir.. y listo.. ya está contagiado....

Despues de borrar todos los archivos tipo aplicación que parecen del tipo Word, vaya a la carpeta C:\windows\system\ y busque el archivo csrss.exe.. eliminelo
(aparece como si fuera un Documento de Microsoft Word).

Entramos al administrador de tarea y verificamos la presencia del proceso : csrss.exe, lo que vamos a ver, es que existen dos procesos con el mismo nombre pero con distinto usuario.. uno con usuario System.. que es el original.. y otro con el nombre de usuario del PC.

Luego, con el HiJackThis, haga un scan de su equipo y ubique la siguiente linea y eliminela : O4 - HKLM\..\Run: [WinSound] C:\WINDOWS\system\csrss.exe

Verificamos nuevamente en el administrador de tareas que el proceso CSRSS.exe del usuario del PC ya no exista...

Con respecto al cambio del boot.ini, lo que hice fue borrarlo.. para posteriormente con la consola de recuperación, crearlo con el bootcfg /rebuild

como informacion adicional el antivirus NOD32 lo detecta y lo borra

05-08-2007 , 08:22:24	#3
Darth DarK^^ Administrador Denunciante Mega Me Gusta Estadisticas Mensajes: 6.046 Me Gusta Recibidos: 1776 Me Gustas Dados: 705 Ingreso: 30 mar 2005 Temas Nominados a TDM Temas Nominados 7 Temas Ganadores: 0 Reputacion Poder de Credibilidad: 95 Puntos: 141007 Premios Recibidos Total De Premios: 17	bueno buscando encontre esta informacion, ojala te sirva Ya conocía como manejar la versión antigua : G-Vulcan IV... Bueno.. en fin.. esto es lo que pude averiguar infectando uno de los equipos de prueba que manejo en mi taller.... El virus se propaga muy facilmente de equipos infectados mediante las Memorias Flash USB y Diskettes.. asi mismo cuando se queman CD con información supuestamente de archivos Word... Si ya esta infectado realice lo siguiente : * Descarge el programa HijackThis, lo puede descargar desde : http://www.majorgeeks.com/download3155.html * Ubique en su computador, en la raiz principal (C:\) un archivo que a simple vista parace un archivo de word.. de nombre "Recuerda que te Quiero", es de 56 K. y borrelo... Asi mismo.. active en su explorador de archivos el mostrar todos los archivos y carpetas ocultas.. y va a encontrar que los archivos originales de Word los oculta, crea una copia tipo aplicación (Exe) con el mismo nombre... esa es la manera de infectar su PC.. pensando que es uno de sus archivos.. lo trata de abrir.. y listo.. ya está contagiado.... Despues de borrar todos los archivos tipo aplicación que parecen del tipo Word, vaya a la carpeta C:\windows\system\ y busque el archivo csrss.exe.. eliminelo (aparece como si fuera un Documento de Microsoft Word). Entramos al administrador de tarea y verificamos la presencia del proceso : csrss.exe, lo que vamos a ver, es que existen dos procesos con el mismo nombre pero con distinto usuario.. uno con usuario System.. que es el original.. y otro con el nombre de usuario del PC. Luego, con el HiJackThis, haga un scan de su equipo y ubique la siguiente linea y eliminela : O4 - HKLM\..\Run: [WinSound] C:\WINDOWS\system\csrss.exe Verificamos nuevamente en el administrador de tareas que el proceso CSRSS.exe del usuario del PC ya no exista... Con respecto al cambio del boot.ini, lo que hice fue borrarlo.. para posteriormente con la consola de recuperación, crearlo con el bootcfg /rebuild como informacion adicional el antivirus NOD32 lo detecta y lo borra __________________