7 pasos para deshacerse de los virus de peligrosidad mínima como Zusy.C, Injecto.AM, Clovis, Jorik.V y Banker.FLQ

La cantidad de virus que circulan por Internet crece cada día y muchos de estos códigos maliciosos se ejecutan en nuestros ordenadores sin que apenas nos demos cuenta, debido a que muchos de ellos no suponen grandes problemas en el funcionamiento diario de nuestros terminales. Aún así, resulta incómodo tenerlos en nuestro sistema operativo, y más sabiendo que deshacernos de este tipo de gusanos y troyanos es muy sencillo. Tan solo es necesario seguir estos 7 pasos.

Como medida preventiva, es siempre recomendable crear un punto de restauración del sistema que sea capaz de llevarnos a una configuración previa a la infección.

  1. Lo más sencillo es restaurar el sistema a una configuración previa a la infección.
  2. Si no contamos con un punto de restauración del sistema, lo primero que tendremos que hacer será iniciar el ordenador en modo seguro o a prueba de fallos.
  3. Ejecutar el antivirus para que detecte las infecciones.
  4. Eliminar los ficheros que se detallan más abajo para cada uno de los virus: Zusy.C, Injecto.AM, Clovis, Jorik.V y Banker.FLQ
  5. En caso de no poder eliminar los ficheros por encontrarse en uso, primero tendremos que detener el proceso desde el administrador de tareas.
  6. Ya solo tenemos que editar el registro de la forma que se indica más abajo para cada virus.
  7. Y eliminar todos los archivos temporales, tanto los del disco duro como los del navegador, además de vaciar la papelera de reciclaje.

Zusy.C – ¿Qué hace en nuestro ordenador?

Crea el fichero: “%Application Data%\netprotocol.exe”

Crea la entrada de registro:

  • Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Valor: Netprotocol = c:\Documents and Settings\test user\Application Data\netprotocol.exe

 

Se conecta por IP a:

http://ekadus.be/nconfirm.php

http://ekadus.be/njob.php

http://eksyghskgsbakrys.com/nconfirm.php

http://eksyghskgsbakrys.com/njob.php

http://felsy.be/nconfirm.php

http://felsy.be/njob.php

http://msrgejsdyvekadh.com/nconfirm.php

http://msrgejsdyvekadh.com/njob.php

Realiza las peticiones DNS:

ekadus.be

eksyghskgsbakrys.com

felsy.be

msrgejsdyvekadh.com

 

Zusy.C – ¿Qué ficheros debemos eliminar?

%Application Data%\netprotocol.exe

Zusy.C – ¿Qué entradas del registro tenemos que cambiar?

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: Netprotocol = c:\Documents and Settings\test user\Application Data\netprotocol.exe

 

 

 

Injecto.AM – ¿Qué hace en nuestro ordenador?

Crea los siguientes ficheros

  • “%Temp%\~LC2.tmp”
  • “%ApplicationData%\TeamViewer\{646D7E30-AAD0-4185-B8F3-02E477DF9CE9}\C1A3D650B82F4DC988CD23C2949AE4C0.dat”
  • “%Application Data%\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe”

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
Valor: upgrade = c:\Documents and Settings\test user\Application Data\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage 
Valor: ReserveProgram = ?@??'??S??"?p+??+?PP?`??P???D??>?????;??H??????? l???? )??;?@E?????x??Q??6??.?????k????p??@l?py?`s??o?????W?@?????pc??B??J????pI??S?@u??x?P???a?`t????????q????`O??%?P??pN?@ ????@??`w????p???C?@???s??y?@???

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 
Valor: PersistFolder = 0x00000013

 

Injecto.AM – ¿Qué ficheros debemos eliminar?

 

  • %ApplicationData%\TeamViewer\{646D7E30-AAD0-4185-B8F3-02E477DF9CE9}\C1A3D650B82F4DC988CD23C2949AE4C0.dat
  • %Application Data%\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe
  • %Temp%\~LC2.tmp

Nota: %Application Data% es una variable que hace referencia a la carpeta de Datos de Aplicación. C:\WINNT\Profiles\{nombre de usuario}\Application Data (Windows NT), o C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data (Windows 2000/XP/Server 2003) o C:\usuarios\{nombre de usuario}\AppData (Windows Vista y 7).

%Temp% es una variable que representa la carpeta temporal de Windows. Por defecto puede ser C:\Windows\temp (XP/Vista y 7), C:\Winnt\temp (Windows NT/2000), C:\documents and settings\{nombre de usuario}\local settings\temp (Windows XP) o C:\Usuarios\{nombre de usuario}\AppData\Local\Temp (Windows Vista y 7).

 

Injecto.AM – ¿Qué entradas del registro tenemos que cambiar?

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valor: PersistFolder = 0x00000013
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: Upgrade = c:\Documents and Settings\test user\Application Data\Sun\{8614653F-AA3A-4124-A8BC-454DA8E7C750}\Upgrade.exe
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage
Valor: ReserveProgram = ?@??'??S??"?p+??+?PP?`??P???D??>?????;??H??????? l???? )??;?@E?????x??Q??6??.?????k????p??@l?py?`s??o?????W?@?????pc??B??J????pI??S?@u??x?P???a?`t????????q????`O??%?P??pN?@ ????@??`w????p???C?@???s??y?@???

 

 

Clovis – ¿Qué hace en nuestro ordenador?

Guarda la siguiente copia de sí mismo: “%ProgramFiles%\Java\jre-07\bin\jusched.exe”

Crea los siguientes ficheros

  • “%ProgramFiles%\Java\jre-07\bin\UF”
  • “%Drive%\New Folder .exe”

Crea la siguiente entrada del registro

·       Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
Valor: SunJavaUpdateSched = C:\Program Files\Java\jre-07\bin\jusched.exe
Crea los siguientes procesos
  • c:\program files\java\jre-07\bin\jusched.exe
  1. Se conecta a las siguientes direcciones de Internet: tp.host.sk, ftp.tripod.com, hohoho.ho.funpic.org

Clovis – ¿Qué entradas del registro tenemos que cambiar?

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: SunJavaUpdateSched=C:\Program Files\Java\jre-07\bin\jusched.exe
Clave:HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Valor: C:\Program Files\Java\jre-07\bin\jusched.exe

 

Jorik.V – ¿Qué hace en nuestro ordenador?

Guarda la siguiente copia de sí mismo: “%Drive%\RECYCLER/R-1-5-21-1482476501-1644491937-682003330-1013/avccs.exe”

Crea el siguiente fichero: “%Drive%\RECYCLER/R-1-5-21-1482476501-1644491937-682003330-1013/Desktop.ini”

Se conecta a las siguientes direcciones de Internet: dcppng.idolmovies.com

Para evitar el borrado del troyano, modifica los atributos de las papeleras de reciclaje de las unidades del sistema, haciéndolas de sólo lectura.

 

Jorik.V – ¿Qué ficheros debemos eliminar?

%Drive%\RECYCLER/R-1-5-21-1482476501-1644491937-682003330-1013/avccs.exe

 

Nota%Drive% es una variable que hace referencia a todas las unidades del sistema (C:, D:, E:, F:,G:,H:…, etc.)

Para poder eliminar estos ficheros primero hay que modificar los atributos de la papelera de reciclaje y eliminar el atributo de sólo lectura. Para ello, abra un intérprete de comandos (Boton de Windows –> Ejecutar –> cmd ) y escriba el siguiente comando:

attrib -r c:\RECYCLER

Nota: Nótese que el nombre de la papelera podria ser tambien $Recycler.bin.

Repite este comando con todas las unidades del sistema sustituyendo “c:” por “d:”, “e:”, etc.

 

 

Jorik.V – ¿Qué entradas del registro tenemos que cambiar?

Clave:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: Taskman= c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avccs.exe

 

Banker.FLQ – ¿Qué hace en nuestro ordenador?

 

 

Crea el siguiente fichero (MD5: 76C51C4280C22BAD1C37602F3115D399 – 1.897.984 bytes) y “%System%\Plug de Seguranca.exe”

Crea los siguientes procesos; Plug de Seguranca.exe

Se conecta a las siguientes direcciones de Internet; www.links-patrocinados.net/wp-includes/sntemp.php

Cuando el troyano se ejecuta se mantiene en memoria y puede aparecer el siguiente error en pantalla:

 

Para marcar su presencia en el sistema y ejecutarse sólo una vez, el troyano crea un mutex con el siguiente valor:

_SHuassist.mtx

Banker.FLQ – ¿Qué ficheros debemos eliminar?

%System%\Plug de Seguranca.exe

 

 

Zbot.BTP – ¿Qué hace en nuestro ordenador?

Descarga los siguientes ficheros

  • “%UserProfile%\Local Settings\Temp\agyywuuh.sys”
  • “%UserProfile%\Local Settings\Application Data\tvbjuwht.log”

Guarda la siguiente copia de sí mismo

  • “%UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe”

Modifica la clave del registro

·       Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
Valor: Userinit = C:\WINDOWS\system32\userinit.exe,,c:\Documents and Settings\%usuario%\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Crea la siguiente entrada del registro

·       Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
Valor: SrxRwxyu = c:\Documents and Settings\%usuario%\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Crea los siguientes procesos:

  • c:\docume~1\support\locals~1\temp\kavmyabeqvvnifrf.exe
  • c:\windows\system32\svchost.exe

Trata de conectarse a MULTITUD DE servidores DNS.

Zbot.BTP – ¿Qué ficheros debemos eliminar?

  • %UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe
  • %UserProfile%\Local Settings\Application Data\tvbjuwht.log
  • %UserProfile%\Local Settings\Temp\agyywuuh.sys

 

Zbot.BTP¿Qué entradas del registro tenemos que cambiar?

Elimina las siguientes entradas del registro:

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: SrxRwxyu = c:\Documents and Settings\%usuario%\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Restaura las siguientes entradas del registro al valor por defecto:

Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

 

Deje un comentario