Ayuda para remover troyano worm_rbot.w

Estado
Cerrado para nuevas respuestas

ciberloco

Nuevo Miembro
Miembro
#1
Hola, pido su ayuda por el siguiente hecho, uso winmx para descargar archivos de internet. Alguien me ha pasado ese troyano. Trato de removerlo con un antivirus en linea. El antivirus lo detecta. Pero me dice que no es posible eliminarlo por que lo esta usando winsyst.exe. ¿Me pueden ayudar a removerlo? Gracias.
 

alnitak

Ex-Admin
Miembro
#2
Si el antivirus lo detecta lo mejor es que sea el mismo antivirus quien lo remueva.

Simplemente termina el proceso winsyst.exe desde el administrador de tareas:

CONTROL+ALT+SUPR>>ubicas el proceso>>clic derecho sobre el mismo>>terminar proceso.

Despuéste vuelves a escanear y deja que el antivirus lo remueva.

Dependiendo del sistema operativo que utilices podría ser necesario desactivar la funcion de restaurar el sistema y reactivarla en seguida después de remover el troyano, aclara que sistema operativo utilizas, en XP lo puedes hacer de la siguiente manera:

TECLA WINDOWS+PAUSE>>picas sobre restaurar el sistema>>marcas la casilla de DESACTIVAR... y aceptas, después haces lo mismo y lo vuelves a activar. Esto solo lo harás en el caso el troyano reaparezca después de reiniciar el sistema y después de volverlo a remover.
 

ciberloco

Nuevo Miembro
Miembro
#3
Hola, antes que nada quiero agradecer la ayuda que me brindaste. Sigo teniendo problemas ya que el antivirus no lo puede remover. Me aparece la opción de elimianar el archivo pero no puedo borrarlo ya que es del sistema.

Te mando el código que me brinda el antivirus sobre el mismo.

#!/usr/local/bin/perl

use HTTP::Request::Common;

require LWP::UserAgent;

$ua =new LWP::UserAgent;

require HTTP::Request;

&parse_form;

if ($FORM{"OneVirus"}){

$vname = $FORM{"OneVirus"};

}

$vname =~ tr/a-z/A-Z/;

$vurl='http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=';

$vurl.=$vname;

print "Content-type: text/html\n\n";

print "<html>";

print "<body>";

print "<head>";

print "<meta http-equiv='Refresh' content='0; URL=$vurl'>";

print "<title>... $vurl</title>";

print "</head>";

print "</body>";

print "</html>";

sub parse_form {

# Get the input

read(STDIN, $buffer, $ENV{'CONTENT_LENGTH'});

$buffer .= '&';

$buffer .= $ENV{'QUERY_STRING'};

# Split the name-value pairs

@pairs = split(/&/, $buffer);

foreach $pair (@pairs) {

($name, $value) = split(/=/, $pair);

# Un-Webify plus signs and %-encoding

$value =~ tr/+/ /;

$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;

$FORM{$name} = $value;

$debug .= "$name $value
\n";

}

}

Bueno espero su opinión y consejos.

Gracias
 

alnitak

Ex-Admin
Miembro
#4
Ok, vamos a removerlo manualmente.

No me has dicho todavia que sistema operativo utilizas, ni que antivirus, si esto que te voy a colocar no te resulta, por favor suministra esos datos. Mientras asumiré que utilizas XP debido a las caracteristicas del gusano.

Abre el administrador de tareas, para hacerlo:

CONTROL+SHIFT+ESC o CONTROL + ALT + SUPR segun el sistema operativo.

Ubica el proceso: WINSYST.EXE y finalizalo.

Si el antivirus te ha indicado algún otro archivo ademas del WINSYST.EXE buscalo también en el administrador de tareas y de existir finalizalo.

Despuésde eso abre el editor de registro, para eso:

Inicio>>Ejecutar>>escribes regedit y aceptas.

Navega el registro hasta ubicarte esta rama:

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run

En la parte derecha del editor deberías ver una entrada parecida a esta:

Microsoft Update = "WINSYST.EXE"

Eliminala

Ahora navega el registro hasta ubicarte en esta otra rama:

HKEY_CURRENT_USER>Software>Microsoft>

Windows>CurrentVersion>Run

Elimina la entrada Microsoft Update = "WINSYST.EXE"

Ahora ubicate en esta otra rama:

KEY_LOCAL_MACHINE>Software>Microsoft

Windows>CurrentVersion>RunServices

Elimina la entrada Microsoft Update = "WINSYST.EXE"

Cierra el registro, ubica y elimina el archivo: WINSYST.EXE

Limpia la papelera.

Si usas Windows XP desactiva la funcion de restaurar el sistema, reinicia, y la vuelves a activar

Si usas Windows 98 que no creo simplemente reinicia.

Corre el Windows Update y actualiza tu sistema con todas las actualizaciones criticas ya que este gusano explota vulnerabilidades para las cuales ya existen parches y de no actualizar tu sistema podrías volverte a infectar.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie