video tutoriales, software, diseño, cursos ,video , hadware,y sofware gratuito videos en linea
miércoles, 24 de septiembre de 2008
Eliminar Virus Recycler
Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, Este virus tiene las siguientes características:
1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013
y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.
3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.
Eliminación manual:
1. Abrir una consola de comandos (cmd.exe)
2. Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe
3. Tipear:
cd \Recycler
4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
6. Abrir el explorador de windows tipeando en la consola:
explorer.exe.
7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.
Se Procedio hacer un script que automatice el proceso. Para los que no quieren hacerlo manual con este script lo ejecutan y listo
Archivo matavirus Scrip
Nota: El matavirus Recycler lo he probado en 16 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB.
Tambien el Kasperky 2009 Lo elimina
Eliminar Virus MSCS.PIF, WUAUCLT.EXE
Al parecer este virus no viene solo, trae consigo otro virus de nombre WUAUCLT.exe el cual se da atributos de oculto aprovechándose de que no podemos ver los procesos que se inician por medio del MSCONFIG y el REGEDIT.
Además de impedir el acceso al regedit y al msconfig el virus elimina ciertas claves del registro de windows impidiendo que el PC se inicie en Modo Seguro o en Modo aprueba de Fallos. tenemos una aplicación que elimina el virus en forma automática y restaura el registro de Windows.
Me llego un Equipo Con este virus Procedí a revisar el equipo y lo primero que hice:
1.Intentar acceder al MSCONFIG, y me salía un mensaje de error:
Ósea no pude entrar al msconfig para ver qué programas se están cargando al inicio. Es, muy sospechoso.
2.Ok, intenté luego acceder al Editor del Registro Regedit.exe y el siguiente mensaje nuevamente:
Esto fue muy Molesto.
3.Dije, bueno hay herramientas que también permiten visualizar los programas que se cargan junto con window, los más comunes que uso son el Hijackthis :
http://majorgeeks.com/download3155.html
o usando el A2Hijackfree:
http://download3.emsisoft.com/a2HiJackFree.exe
Así que las descargué y ejecuté.
Pero para mi sorpresa, antes de que pueda ver algo, se me cerraban las ventanas automáticamente!!!
4.Bueno, luego intenté reiniciar en modo a prueba de fallos y tampoco podía acceder, se reiniciaba automáticamente mostrando antes una pantalla azul de error, la tan conocida Pantalla Azul de la Muerte (BSOD-Blue Screen Of Death).
Bueno, luego intenté por la Línea de comandos para ver si podía encontrar algo.
Haciendo un listado en la unidad C: encontré 2 archivos SUPER Sospechosos: MSCS.PIF y el autorun.inf, Ambos ocultos como archivos de sistema.
Al editar el autorun.inf direcciona al archivo MSCF.PIF !!
No hay duda, éste es un virus, pero hay que ver si en realidad está activo y si es al causante de mis irritaciones.
Así que me descargo el Process Explorer de Mark Russinovich y visualizo los procesos activos y veo un archivo llamado WUAUCLT.EXE.
Esto automáticamente me remonta en memorias a los tiempos de Microsoft Windows Millenium Edition. El archivo WUAUCLT.EXE era un archivo que servía para hacer las actualizaciones en Windows Millenium, en los sistemas operativos posteriores: 2000, 2003 y XP este archivo está aún en la carpeta C:\windows\system32\ con los siguiente nombres:
•wuauclt.exe
•wuauclt1.exe
SIN EMBARGO, no se usan más como procesos padres!! Así que no deberían estar más activos, a no ser que estén activadas las actualizaciones automáticas, si están activadas, este virus lo sobrescribe y de este modo se activa en cada momento.
Así que es un sospechoso, de estar activo en Windows XP Professional XP2!!!.
Procedo a ver los detalles del proceso WUAUCLT y me muestra lo siguiente:
Así que no me cabe más duda, el virus activo es el MSCS.PIF que usa una imagen del mismo virus llamado WUAUCLT.EXE
Así que procedo a sacar una copia de estos virus - para mi colección y análisis - jeje. Y lo pruebo en un máquina virtual para ver qué cosas hace en el sistema afectado y de este modo, conociendo cómo funciona, hacer la vacuna adecuada.
Como lo puedes ver en la imagen siguiente, tengo el virus en la máquina virtual y previamente antes de ejecutar el virus, primero hago un listado para ver si hay archivos con el mismo nombre en C:\windows\system32
Vemos el listado y tenemos los 2 archivos como mencioné líneas arriba. Los 2 archivos mencionados.
Procedo luego a sacar un backup de mi registro usando el Advanced Registry Monitor:
Y procedo a ejecutar el virus, luego de ejecutar el virus hago nuevamente un listado en c:\windows\system32 y me sale lo siguiente, osea el archivo wuauclt.exe anterior ha sido reemplazo por otro con el mismo nombre pero de tamaño diferente: 15893 bytes, aproximadamente 15 Kilobytes.
Luego procedo a sacar otro backup del registro ósea estando ya el virus activo en mi máquina virtual para compararlo con el Backup anterior y ver qué modificaciones ha hecho el virus en mi máquina. Al hacer la comparación me muestra que hay 5 claves del registro borradas (apuntada por la flecha) y en el cuadro rojo grande vemos las 4 claves que fueron borradas. Esto es muy interesante, ya que exactamente estás claves en el registro son las que definen que se cargue la unidad de inicio cuando se accede en el Modo Seguro o en el Modo a prueba de Fallos.
Con estas claves borradas el virus se asegura que NO puedas iniciar en el Modo Seguro, esta es la razón por la cual en las máquina infectadas con este virus, no se puede acceder al modo Seguro.
Ahora en la claves o valores agregados se ha creado un valor llamado Explorer que apunta al archivo de virus WUAUCLT.EXE en la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
De este modo, se asegura de iniciarse cada vez que inicie el sistema.
En el cuadro azul se muestra las entrada creadas para interceptar la ejecución de los siguientes programas y ejecutarse, y evitar que otros procesos los usen:
Esto lo logra creando el valor llamado Debugger para cada programa, entre ellos varios motores de antivirus conocidos e incluso el MSCONFIG y el REGEDIT de modo que cuando alguno de los programa de la lista intenten ejecutarse, no se ejecuten.
Esa es la causa por la que sale el error descrito arriba cuando se intenta ejecutar el REGEDIT.EXE y el MSCONFIG.EXE.
Ahora en la sección de Datos y Valores modificados el cuadro en azul muestra como el valor Checked ha pasado de ser “1” (Antes de la ejecución del virus) a ser el valor “2” (después de la ejecución del virus).
Con esto el virus evita que se muestren los archivos ocultos, ya que los ejecutables del virus se han auto atribuido características de archivos ocultos (H), y Sistema (S).
Ahora, usando el Monitor de Procesos de Mark Russinovich, vemos las acciones que ha realizado el archivo MSCS.PIF al ser ejecutado, como se puede ver en la imagen crea archivos en todas las unidades:
• autorun.inf
• MSCS.PIF
Con esto está infectando las unidades de modo que se ejecuten en todas las unidades el virus usando la característica del Inicio Automático (AutoRun).
Y luego les pone atributos de Sistema y Ocultos (H y S)
Y por último, el virus también crea 2 copias de sí mismo en las siguientes carpetas:
•C:\windows\system32 ——-> wuauclt.exe
•C:\windows\System32\dllcache –> wuauclt.exe
Señores, de este modo conociendo cómo actúa este virus, se ha elaborado una vacuna que:
1.Elimina el virus y sus “hijos”
2.Restaura el Registro de sistema para poder acceder al Modo Seguro
3.Restaura el Registro para poder ejecutar nuevamente los programas “bloqueado” como el msconfig, regedit, procesos de antivirus bloqueados, etc.
4.Restaura el Registro para poder ver los archivos ocultos y de sistema nuevamente.
Espero la disfruten y les ayude.
Recomiendo también que ejecuten la vacuna una vez más después de reiniciar, para asegurar la completa eliminación de los rastros del virus.
La vacuna que se diseño para este virus la puedes descargar de aquí:
Debes descargar el archivo comprimido y descomprimir a una carpeta el contenido, luego debes hacer doble click en el archivo mata_mscs.vbs y el programa limpiará tu sistema de este molestoso virus.
DESCARGA
Además de impedir el acceso al regedit y al msconfig el virus elimina ciertas claves del registro de windows impidiendo que el PC se inicie en Modo Seguro o en Modo aprueba de Fallos. tenemos una aplicación que elimina el virus en forma automática y restaura el registro de Windows.
Me llego un Equipo Con este virus Procedí a revisar el equipo y lo primero que hice:
1.Intentar acceder al MSCONFIG, y me salía un mensaje de error:
Ósea no pude entrar al msconfig para ver qué programas se están cargando al inicio. Es, muy sospechoso.
2.Ok, intenté luego acceder al Editor del Registro Regedit.exe y el siguiente mensaje nuevamente:
Esto fue muy Molesto.
3.Dije, bueno hay herramientas que también permiten visualizar los programas que se cargan junto con window, los más comunes que uso son el Hijackthis :
http://majorgeeks.com/download3155.html
o usando el A2Hijackfree:
http://download3.emsisoft.com/a2HiJackFree.exe
Así que las descargué y ejecuté.
Pero para mi sorpresa, antes de que pueda ver algo, se me cerraban las ventanas automáticamente!!!
4.Bueno, luego intenté reiniciar en modo a prueba de fallos y tampoco podía acceder, se reiniciaba automáticamente mostrando antes una pantalla azul de error, la tan conocida Pantalla Azul de la Muerte (BSOD-Blue Screen Of Death).
Bueno, luego intenté por la Línea de comandos para ver si podía encontrar algo.
Haciendo un listado en la unidad C: encontré 2 archivos SUPER Sospechosos: MSCS.PIF y el autorun.inf, Ambos ocultos como archivos de sistema.
Al editar el autorun.inf direcciona al archivo MSCF.PIF !!
No hay duda, éste es un virus, pero hay que ver si en realidad está activo y si es al causante de mis irritaciones.
Así que me descargo el Process Explorer de Mark Russinovich y visualizo los procesos activos y veo un archivo llamado WUAUCLT.EXE.
Esto automáticamente me remonta en memorias a los tiempos de Microsoft Windows Millenium Edition. El archivo WUAUCLT.EXE era un archivo que servía para hacer las actualizaciones en Windows Millenium, en los sistemas operativos posteriores: 2000, 2003 y XP este archivo está aún en la carpeta C:\windows\system32\ con los siguiente nombres:
•wuauclt.exe
•wuauclt1.exe
SIN EMBARGO, no se usan más como procesos padres!! Así que no deberían estar más activos, a no ser que estén activadas las actualizaciones automáticas, si están activadas, este virus lo sobrescribe y de este modo se activa en cada momento.
Así que es un sospechoso, de estar activo en Windows XP Professional XP2!!!.
Procedo a ver los detalles del proceso WUAUCLT y me muestra lo siguiente:
Así que no me cabe más duda, el virus activo es el MSCS.PIF que usa una imagen del mismo virus llamado WUAUCLT.EXE
Así que procedo a sacar una copia de estos virus - para mi colección y análisis - jeje. Y lo pruebo en un máquina virtual para ver qué cosas hace en el sistema afectado y de este modo, conociendo cómo funciona, hacer la vacuna adecuada.
Como lo puedes ver en la imagen siguiente, tengo el virus en la máquina virtual y previamente antes de ejecutar el virus, primero hago un listado para ver si hay archivos con el mismo nombre en C:\windows\system32
Vemos el listado y tenemos los 2 archivos como mencioné líneas arriba. Los 2 archivos mencionados.
Procedo luego a sacar un backup de mi registro usando el Advanced Registry Monitor:
Y procedo a ejecutar el virus, luego de ejecutar el virus hago nuevamente un listado en c:\windows\system32 y me sale lo siguiente, osea el archivo wuauclt.exe anterior ha sido reemplazo por otro con el mismo nombre pero de tamaño diferente: 15893 bytes, aproximadamente 15 Kilobytes.
Luego procedo a sacar otro backup del registro ósea estando ya el virus activo en mi máquina virtual para compararlo con el Backup anterior y ver qué modificaciones ha hecho el virus en mi máquina. Al hacer la comparación me muestra que hay 5 claves del registro borradas (apuntada por la flecha) y en el cuadro rojo grande vemos las 4 claves que fueron borradas. Esto es muy interesante, ya que exactamente estás claves en el registro son las que definen que se cargue la unidad de inicio cuando se accede en el Modo Seguro o en el Modo a prueba de Fallos.
Con estas claves borradas el virus se asegura que NO puedas iniciar en el Modo Seguro, esta es la razón por la cual en las máquina infectadas con este virus, no se puede acceder al modo Seguro.
Ahora en la claves o valores agregados se ha creado un valor llamado Explorer que apunta al archivo de virus WUAUCLT.EXE en la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
De este modo, se asegura de iniciarse cada vez que inicie el sistema.
En el cuadro azul se muestra las entrada creadas para interceptar la ejecución de los siguientes programas y ejecutarse, y evitar que otros procesos los usen:
Esto lo logra creando el valor llamado Debugger para cada programa, entre ellos varios motores de antivirus conocidos e incluso el MSCONFIG y el REGEDIT de modo que cuando alguno de los programa de la lista intenten ejecutarse, no se ejecuten.
Esa es la causa por la que sale el error descrito arriba cuando se intenta ejecutar el REGEDIT.EXE y el MSCONFIG.EXE.
Ahora en la sección de Datos y Valores modificados el cuadro en azul muestra como el valor Checked ha pasado de ser “1” (Antes de la ejecución del virus) a ser el valor “2” (después de la ejecución del virus).
Con esto el virus evita que se muestren los archivos ocultos, ya que los ejecutables del virus se han auto atribuido características de archivos ocultos (H), y Sistema (S).
Ahora, usando el Monitor de Procesos de Mark Russinovich, vemos las acciones que ha realizado el archivo MSCS.PIF al ser ejecutado, como se puede ver en la imagen crea archivos en todas las unidades:
• autorun.inf
• MSCS.PIF
Con esto está infectando las unidades de modo que se ejecuten en todas las unidades el virus usando la característica del Inicio Automático (AutoRun).
Y luego les pone atributos de Sistema y Ocultos (H y S)
Y por último, el virus también crea 2 copias de sí mismo en las siguientes carpetas:
•C:\windows\system32 ——-> wuauclt.exe
•C:\windows\System32\dllcache –> wuauclt.exe
Señores, de este modo conociendo cómo actúa este virus, se ha elaborado una vacuna que:
1.Elimina el virus y sus “hijos”
2.Restaura el Registro de sistema para poder acceder al Modo Seguro
3.Restaura el Registro para poder ejecutar nuevamente los programas “bloqueado” como el msconfig, regedit, procesos de antivirus bloqueados, etc.
4.Restaura el Registro para poder ver los archivos ocultos y de sistema nuevamente.
Espero la disfruten y les ayude.
Recomiendo también que ejecuten la vacuna una vez más después de reiniciar, para asegurar la completa eliminación de los rastros del virus.
La vacuna que se diseño para este virus la puedes descargar de aquí:
Debes descargar el archivo comprimido y descomprimir a una carpeta el contenido, luego debes hacer doble click en el archivo mata_mscs.vbs y el programa limpiará tu sistema de este molestoso virus.
DESCARGA
jueves, 18 de septiembre de 2008
Final De Windows Vista????
Un Anucio en Kriptopolis en referencia a una grave vulnerabilidad en Windows Vista que parece ser cierta y es realmente preocupante este golpe demoledor para los usuarios de este sistema operativo.
El autor se refiere a que la unica solucion es instalarse un SO Linux y olvidarse de Vista, pero se olvida de que estos usuarios tienen la opcion que puedan instalarse Windows XP legalmente en su ordenador pues parece que esta vulnerabilidad no afecta a este SO.
Por Fernando Acero
De todos son conocidos los problemas de Windows Vista para entrar en el mercado, con controvertidas cifras de venta (recordemos que se lo hacen comer con patatas a cada comprador de un sistema informático) y con otros serios problemas con el hardware, los recursos y la compatibilidad, como ya predijo Gartner en su momento. Pero puede que la puntilla destinada a acabar definitivamente con este sistema operativo tan polémico se la acaben de haber dado en Las Vegas...
Al parecer, investigadores de IBM y VMWare acaban de desvelar durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo. o sustancialmente, la arquitectura de seguridad de Windows Vista, lo que sinceramente, como están las cosas, me parece improbable.
El problema nace en la forma en la que algunos programas de Windows Vista,DLLs (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales. Como están las cosas, basta mezclar la tecnología .NET con código malicioso embebido en DLL's, para tener un cóctel explosivo y demoledor para la seguridad de los usuarios.
Lo peor de todo, es que es una técnica muy sencilla de implementar y muy flexible, puesto que se pueden modificar las DLL maliciosas con mucha facilidad y añadirles un "payload" personalizado, lo que puede abrir las puertas a un nuevo universo de maldades informáticas, gracias a que cualquiera podrá tomar el control total y absoluto de un ordenador dotado con Windows Vista, con un acto tan inocente como visitar una página Web preparada para ejecutar el ataque.
Por si alguno piensa que el parche llegará pronto, hay un problema adicional en todo este asunto, como hemos dicho, el fallo reside en la arquitectura de seguridad de Windows Vista, es decir, que no explota un error de programación, más bien, explota un error de diseño que afecta a lo más íntimo del sistema operativo. La consecuencia es clara, puede que no se pueda arreglar con facilidad, o si se puede, el parche puede ser de varios cientos de megas y sobre todo, de poder arreglarse, es posible que tarde algún tiempo en llegar.
Ahora es el momento de pensar en lo que decía Bruce, sobre el coste para la seguridad que tiene un monopolio, o sobre los problemas de seguridad del código cerrado y monolítico.Pero lo peor de todo, es que a pesar del desastre para los usuarios de Vista, habrá muchos usuarios que no serán conscientes del problema y que seguirán usando Vista con todo lo que ello puede suponer para la seguridad global.
Por Tonky
Ahora que piensan Ustedes sobre ese gran fracaso de windows Vista Yo por eso me quedo con Xp Y uno que otro Linux Saludos
viernes, 12 de septiembre de 2008
Malware Medellin
Hace unos días se ha dado a conocer una amenaza conocida con el nombre Medellín, la cual se propaga por correo electrónico y a través de la ejecución automática en dispositivos USB.
Este gusano genera mensajes provocativos hacia el usuario y luego procede a eliminar ciertos componentes del sistema operativo, necesarias para el funcionamiento del mismo. Debido a esto, posterior a la infección con este gusano, el sistema no volverá a arrancar.
Luego de mostrar estos mensajes, realiza las siguientes acciones en el disco local y particiones:
* Elimina archivos, algunos de ellos indispensables para el sistema operativo:
o C:\boot.ini
o C:\ntldr
o C:\NTDETECT.COM
o C:\AUTOEXEC.BAT
o C:\WINDOWS\regedit.exe
o C:\WINDOWS\notepad.exe
* Crea el archivo autorun.inf y wind.exe en la raíz de todos los discos y unidades disponibles en el sistema.
* Genera las siguientes carpetas y archivos:
o D:\TONTOS
o D:\PAILAS
o C:\HOLA
o C:\COMO
o C:\ESTAS
o C:\PAILAS
o C:\MEDELLIN
o D:\documentos
o D:\SOMOSMEDALLO
o D:\MEDELLIN
* Crea el archivo C:\WINDOWS\system32\wind.exe
* Crea el archivo D:\documentos\chicas.exe
* Agrega la siguientes entradas en el registro:
o HKLM\Software\Microsoft\Windows\CurrentVersion\Run con los siguientes valores:
C:\WINDOWS\system32\wind.exe
D:\documentos\chicas.exe
Esta amenaza es detectada por ESET NOD32 como Win32AutoRun.YU:
En una posible infección, los archivos eliminados por este gusano pueden recuperarse desde otro sistema sin infectar o desde el CD de Windows 2000 o Windows XP, utilizado la consola de recuperación.
Para evitar la infección, como siempre es fundamental contar con un antivirus actualizado como ESET NOD32 que detecte este tipo de malware en todo momento y, en este caso también se puede prevenir la ejecución automática a través de dispositivos USB para evitar propagar esta infección.
Este gusano genera mensajes provocativos hacia el usuario y luego procede a eliminar ciertos componentes del sistema operativo, necesarias para el funcionamiento del mismo. Debido a esto, posterior a la infección con este gusano, el sistema no volverá a arrancar.
Luego de mostrar estos mensajes, realiza las siguientes acciones en el disco local y particiones:
* Elimina archivos, algunos de ellos indispensables para el sistema operativo:
o C:\boot.ini
o C:\ntldr
o C:\NTDETECT.COM
o C:\AUTOEXEC.BAT
o C:\WINDOWS\regedit.exe
o C:\WINDOWS\notepad.exe
* Crea el archivo autorun.inf y wind.exe en la raíz de todos los discos y unidades disponibles en el sistema.
* Genera las siguientes carpetas y archivos:
o D:\TONTOS
o D:\PAILAS
o C:\HOLA
o C:\COMO
o C:\ESTAS
o C:\PAILAS
o C:\MEDELLIN
o D:\documentos
o D:\SOMOSMEDALLO
o D:\MEDELLIN
* Crea el archivo C:\WINDOWS\system32\wind.exe
* Crea el archivo D:\documentos\chicas.exe
* Agrega la siguientes entradas en el registro:
o HKLM\Software\Microsoft\Windows\CurrentVersion\Run con los siguientes valores:
C:\WINDOWS\system32\wind.exe
D:\documentos\chicas.exe
Esta amenaza es detectada por ESET NOD32 como Win32AutoRun.YU:
En una posible infección, los archivos eliminados por este gusano pueden recuperarse desde otro sistema sin infectar o desde el CD de Windows 2000 o Windows XP, utilizado la consola de recuperación.
Para evitar la infección, como siempre es fundamental contar con un antivirus actualizado como ESET NOD32 que detecte este tipo de malware en todo momento y, en este caso también se puede prevenir la ejecución automática a través de dispositivos USB para evitar propagar esta infección.
miércoles, 10 de septiembre de 2008
Encarta Premium 2009
Producto Microsoft Student con Encarta Premium 2009 - versión de la popular serie de herramientas destinadas a escolares y estudiantes e incluye todo lo necesario para la auto-examen de temas complejos y la preparación de la tarea.
Encarta Premium contiene una gran cantidad de información disponible para toda la familia: miles de artículos informativos,imágenes fotográficas, cientos de videos y films de animación y otros materiales multimedia necesarios para adquirir conocimientos. Este es un gran punto de partida en la búsqueda. Adecuado para usuarios domésticos, proyectos de investigación. Para esta enciclopedia, recibirá el gran placer de aprender. Construido sobre la base de la popular enciclopedia Microsoft Encarta Standard, Enciclopedia incluye información que no encontrarás en Internet.
Contenido
La última versión de la popular enciclopedia contiene la aún más pertinente y precisa información de antecedentes y materiales multimedia que pueden ser útiles a los estudiantes en sus clases.
Paquete de Microsoft Matemáticas, un amplio conjunto de herramientas, guías y manuales destinados a abordar diferentes matemáticas, algebraicas y funciones trigonométricas.
El medio universal de visualización de datos matemáticos Graphing Calculator ofrece todo lo que necesita para construir una de dos y tres dimensiones gráficos.
Requisitos
Personal computer with a Pentium 600-megahertz (MHz) or faster processor (1 gigahertz [GHz] or faster processor recommended).
Windows XP operating system with Service Pack 2 (SP2).
256 megabytes (MB) of RAM (512 MB or more recommended).
1.6 gigabytes (GB) of available hard disk space.
Microsoft .NET Framework 2.0 (included on disc), requiring between 210 MB and 620 MB of hard disk space.
DVD-ROM drive.
High-color–capable or better video card with a minimum 800 × 600 resolution (1,024 × 768 resolution recommended).
Microsoft Mouse, Microsoft IntelliMouse pointing device, or compatible pointing device.
16-bit sound card and headphones or speakers.
Microsft Encarta Premium 2009
* Peso Total: 1,89 GB
* Idioma:Español Full-DVD/ISO
* Compresion: WinRAR
* Server: Megaupload y Rapidshare
Parte 1 Megaupload
Parte 2 Megaupload
Parte 3 Megaupload
Eliminar Megavirus TroyanoSpyware
Cuidado con este MegaVirusTroyanoySpyware, Este Virus, Troyano & Spyware… es Imparable y lo Malo es que No hay forma de eliminarlo, hay muchos foros especializados que dan soluciones y se han creado algunos archivos VBScript Script, pero lo que no saben es que solo eliminan a los que ellos conoces como: Autorun.inf, ntdelect.com y amvo.exe, lo que no saben es que No son solo esos archivos hay muchos más que integran este MegaVirusTroyanoySpyware…
Está compuesto No solo por el virus, sino por Troyanos y Spywares.
El Virus se llama: W32.Gammima/ W32.Gammima.AG (AMVO).
Y está Compuesto por todos estos Archivos que se instalan en todas las unidades de Disco Duro y Usb:
1.- Autorun.inf 2.- ntdelect.com 3.- nidelec.com 4.- RavMon.exe 5.- 2ifetri.cmd
6.- 3wcxx91.cmd 7.- 8ng8w.com 8.- u9tw.dll 9.- zfxrzrwk.dll 10.- m1t8ta.com
11.- amvo.exe.vir 12.- amvo1.dll.vir 13.- 9d.cmd y
14.- x.com/ b.com/ h.com(varia la letra).
El Troyano:
1.- xn1i9x.com 2.- ylr.exe 3.- y82td3td.com
Y el Spyware:
1.- tmp15.tmp.exe 2.- tmp1C.tmp.exe
¿Cómo Saber si ya estamos Infectados?
Muy sencillo… No podremos ver las carpetas y archivos ocultos en nuestra PC.
¿Como comprobar si tienes este virus?
a) Ve a Inicio> Ejecutar> escribe: msconfig
b) Ve a la pestaña que se llama INICIO, busca si tienes un archivo que se llame amvo.
c) Si aparece con un checkbox, significa que si esta en tu computadora y que al iniciar la sesión de ******* se ejecuta.
Cuando pase esto, ya estaremos infectados y dependiendo del tiempo que pase este SúperVirus en nuestra PC empezara a Mutar en 4 Niveles.
Primer Nivel: No podrás ver archivos Ocultos y de sistema.
Segundo Nivel: No Te Reconocerá la USB, Disco de 3 ½ y toda unidad Extraíble.
Tercer Nivel: Llegara un momento en que pasaras a ser un Invitado en tu PC y se Creara un Administrador el cual te limitara por completo el uso de tu PC, no podrás entrar a los discos duros y mucho menos hacer cambios.
Cuarto Nivel: Si llegas a este Nivel aparte de tener todos los inconvenientes antes mencionados, No podrás realizar ningún respaldo en Cd o Dvd ya que Bloquea por completo el uso del Quemador y puede dañarlo y dejarlo inservible.
Ningún Antivirus lo elimina: Norton, Panda, McAfee, kaspersky, Avg, Nod 32, Avast, Etc. Ni siquiera los detectan.
¿Cómo Nos Infectamos?...
El Medio de Infección es por la USB, que solo necesita abrir la carpeta, abrir cualquier archivo y listo ya estas infectado, o simplemente dando doble clic en la USB y automáticamente ejecutaras el Virus, Por Internet es muy raro el Contagio.
La Única solución es Formatear los Discos Duros, si ya estamos en el Nivel 2 o 4, No hay Mas opción, hay varios foros donde te piden entres al Registro o a CMD y le des atributos a ciertos archivos o que busques los archivos: Kavo.exe, Kavo1.dll y Kavo0.dll, para eliminar dicho virus, es Inútil, como lo dije no solo es un Virus, son Troyanos y Spywares juntos y aunque puedas eliminar algunos quedan los otros y estos reproducen o Re Infectan con el mismo virus la PC..
Pero Si Detectamos el Virus a tiempo Podremos eliminarlo con un VBScript Script Editado y Modificado especialmente para este Virus, mas adelante lo Pondre..
¿Como Protegerte de este Virus?
La verdad es que es muy difícil protegerse o prevenir el contagio, ya que el ejecutable es tan común que todos los programas lo traen: (autorun.inf); por ello es que Ningún antivirus lo detecta.
¿Si ya estamos Infectados que Hacemos?
Los Siguientes son algunos pasos que recomiendo hacer para Librarnos de este Virus y en especial, Evitar nos contagiemos de nueva cuenta.
1.- Como lo mencione, la única solución es Formatear las Unidades de Disco Duro que han sido Infectadas, así como las USB.
2.- Si el virus no ha Mutado aun en tu PC, Te recomiendo realices un respaldo de La Información mas Importante en Cd o Dvd, pero recuerda que las Posibilidades de que el Virus se Copie en tu respaldo son del 90%.
3.- Si tienes más de un Disco Duro en tu PC, coloca tu información de respaldo en dicho disco, pero en este caso Recuerda, el Virus seguirá en este Disco Duro ya que como lo mencione el virus Contagia todas las Unidades, pero No te preocupes, en otro punto más adelante, te diré como poder limpiar este segundo disco duro.
4.- Formatea e Instala de nueva cuenta el Sistema Operativo de tu preferencia:
Win 2000/2003/Xp. (Al Parecer el Virus No Afecta a WinVista, solo bloquea la Usb y no permite Leer el contenido, y con esto no Infecta a este Sistema Operativo).
5.- Ya que hayas terminado de Instalar el sistema Operativo, POR NINGÚN MOTIVO ABRAS EL DISCO DURO DE RESPALDO O COPIES TU INFORMACIÓN DE CD, DVD O USB, sin hacer los pasos que a continuación describiré.
A) Ya que tengas instalado tu sistema operativo, Crea un punto de Restauración en:
Todos los Programas/Accesorios/Herramientas del Sistema/Restaurar Sistema, Crea un punto de Restauración con el Nombre de: SIN VIRUS o el nombre que tú desees, esto nos ayudara a No tener que formatear y reinstalar de nuevo en caso de que nos volvamos a Infectar durante los siguientes pasos.
B) Configura Papelera de Reciclaje: Configurar Unidades Independientemente, para No mover los archivos a papelera de Reciclaje y se borren inmediatamente y evitar un Contagio.
C) Ahora nos vamos a las opciones de carpeta y configuramos las opciones de ver archivos ocultos así como los archivos ocultos y extensiones del sistema, esto nos ayudara a ver los archivos Ocultos en nuestra PC y saber si ya tenemos el virus, porque lógicamente ya no los podremos ver.
D) En el Escritorio creamos un nuevo documento de texto con la leyenda: SIN VIRUS, y le damos la configuración de archivo oculto, el cual podremos ver transparente y también nos servirá para verificar que no tenemos dicho virus, en este paso también podemos volver hacer un nuevo punto de restauración para evitar hacer todos los pasos anteriores si nos llegáramos a infectar, ya que lo curioso de este Supervirus es que tenemos la posibilidad de restaurar a un punto previo si nos infecta la maquina, siempre y cuando, este el virus este en la primera etapa y no haya mutado, ya que después deshabilita toda Restauración del sistema y por mas restauraciones que hagamos ya no tendremos éxito.
E) Ahora que ya tenemos las configuraciones adecuadas y antes mencionadas, es hora de lo bueno, limpiar las unidades de Respaldo (D, E, F o las que tengas) y las USB.
F) Lo que hay que hacer primeramente en los Discos Duros: ESTO DEBE SER RÁPIDO Y SIN ABRIR NINGÚN ARCHIVO Ó CARPETA
***1.- APENAS ABRAS EL DISCO DURO (D,E,F, Etc), Ordena por detalles y después por tipo.
2.- BORRA TODOS LOS ARCHIVOS OCULTOS que estén, los más comunes y que son principales de este virus: Autorun.inf, ntdelect.com, 3wcxx91.cmd Y Las extensiones .exe, .cmd y .com, que de igual manera estén ocultos.
3.- Posteriormente borra la carpeta de RECYCLER y la carpeta llamada: System Volume Information, para evitar una Re Infección.
4.- Verifica que aun sigues Viendo el archivo de texto en el escritorio, si ya no lo vez, realiza una restauración de sistema inmediatamente, para volver a estar sin virus y por lógica tendrás que volver a realizar los pasos anteriores, pero esta vez más rápido.
5.- Para la USB los pasos son iguales, pero OJO, configura de igual manera la papelera de reciclaje, para que se borren los archivos inmediatamente y no se queden guardados y con ello contagies de nuevo la PC, esto es antes de que abras la USB, también tienes cuidado, si tienes carpetas ocultas que no sea la de RECYCLER y System Volume Information, no las borres ya que podrían ser los driver de tu USB.
6.- Si tienes tu Respaldo en CD o DVD, solo copia los archivos teniendo la opción de verlos por detalles y por tipo para evitar copies las extensiones antes mencionadas: .exe, .cmd y .com. y con ello Evitas contagiar tu PC de nueva cuenta.
Con estos pasos tendremos libre nuestra PC de este SuperVirus, ya solo depende de nosotros tener el cuidado, ya que como hice mención, la forma de Infección es por la USB y al no haber Antivirus o Programa alguno que detecte este Virus, es muy Fácil la Re Infección, por ello es importante la Creación de un Punto de Restauración y tener las configuraciones recomendadas en Las Carpetas (Ver Archivo y Carpetas Ocultos del Sistema), en la Papelera de Reciclaje(No mover a papelera y Eliminar Inmediatamente), así como Un sencillo archivo de texto en el Escritorio que nos Ayude a saber si nos hemos Infectado.
Ahora que si hemos detectado a tiempo el Virus y aun no ha mutado, o si lo ha hecho y No deseamos Formatear, podremos utilizar 2 Programas..
1.- Para La Deteccion y Eliminacion, Recomiendo Utilizar: Microworld Anti Virus & Spyware Toolkit Utility v.9.7.8 Detecta el Virus y lo Elimina, pero no Restaura el Sistema(Mostrar las carpetas ocultas)
2.- VBScript Script Editado y Modificado especialmente para este Vicho...
el cual es capaz de detectar:
1.- Autorun.inf 2.- ntdelect.com 3.- nidelec.com
4.- RavMon.exe 5.- 2ifetri.cmd 6.- 3wcxx91.cmd
7.- 8ng8w.com 8.- u9tw.dll 9.- zfxrzrwk.dll
10.- m1t8ta.com 11.- amvo.exe.vir 12.- amvo1.dll.vir
13.- 9d.cmd y 14.- x.com/ b.com/ h.com(varia la letra).
Ademas de que Restaura el Sistema y Nos Muestra Nuevamente las carpetas Ocultas y que nos dara la posibilidad de borrar el virus en caso de que siga activo como lo menciono en los puntos ***1.-
Datos del software:
* Microworld Anti Virus & Spyware Toolkit Utility v.9.7.8
* Tamaño: 25.2 MB
* Idioma: Multilenguaje incluye Español
* Compresion: WinRAR
* Server: Rapidshare
* Descarga
* VBScript
* Tamaño: 56.7 Kb
* Idioma: Español
* Compresion: WinRAR
* Server: Rapidshare
* Descarga
lunes, 1 de septiembre de 2008
3D-Album Commercial Suite 3
Completa Solución de imagen digital para la producción comercial ¿Es usted La Persona que busca la forma emocionante de publicar su contenido en los productos multimedia, o vender su unidad de CD / DVD de producción para bodas, anuarios y otros acontecimientos especiales? El 3D-Album Commercial Suite es nuestra primera categoría de productos en la línea que le proporciona con una licencia para la producción comercial de CDs y DVDs.Presentaciónes de CD con la encriptación y la protección de contraseña.
Características principales
** Licencia comercial para la creación de CD / DVD producciones
** La producción está libre de 3D-Album logotipos y enlaces
** 110 + espectacular al estilo de Hollywood Espectáculos
Si usted es un principiante y Piensa que hacer la presentación en 3D tendrá un gran esfuerzo y es una tarea para los profesionales, espere a Usar 3D-Album! Con 3D-Album Va Hacer una fácil creación de plantillas, la creación de profesionales en 3D muestra la foto es tan fácil como 1-2-3. Sólo apuntar y hacer clic, usted se convertirá sus fotos en un brillante espectáculo que se puede compartir con su familia y amigos a través de pop-play CDs y DVDs (excluye PictureEZ y Showcase).
** Autoría multimedia profesional
El 3D-Album Commercial Suite y PicturePro Platinum le permitirá definir los puntos calientes, especialmente en zonas de una imagen que tomar medidas como jugar sonido o de vídeo, visualización de información, la apertura de otro álbum, convirtiendo a una página, o vincular a un sitio web, o cuando se hace clic con el cursor ha terminado.
** Completo Editor gráfico y retoque fotográfico
El 3D-Album Photo Editor integra un conjunto completo de dibujo y pintura de toma características 3D-Album no sólo una herramienta de edición de imágenes, sino también la creación de una poderosa herramienta que mejore su creatividad y potenciar la productividad. Lo que es más, el 3D-Album Photo Editor incluye muchas características únicas que no se puede encontrar en otros lugares.Estos incluyen 3
1.-dimension foto composición
2.-llamativa capa estilos 3D
3.-3D y vectores cepillo de diseño; creativo vector accidente cerebrovascular y la malla llenar, y mucho más.
** Avanzado organizador de Fotos
El Organizador 3D-Album de fotos te ayuda a buscar y organizar tus fotos digitales y tiene todo lo que necesitas para compartir tus recuerdos.
** Creacion Impresión de fotografías y Herramientas diseño de páginas.
Con cientos de plantillas de diseño incluidas en contacto con las hojas, las páginas de los álbumes, los tamaños estándar de fotos, sin fisuras y sin fronteras de impresión, catálogos, calendarios, tarjetas de felicitación, CD / DVD etiquetas, volantes, y muchos otros diseños especiales, podrá imprimir como un profesional, y con facilidad.
Herramientas profesionales de diseño le ayude a hacer los ajustes precisos y nunca tendrá que imprimir dos veces.
En 3D-Album de fotos de impresión integra un conjunto completo de texto, dibujo, y la creación de herramientas que hace que el 3D álbum no sólo una impresión fotográfica de servicios públicos, sino también una poderosa herramienta de diseño de páginas que mejore considerablemente su creatividad y potenciar la productividad.
** Producir DVD y otros archivos de vídeo
La utilidad de captura de vídeo integrado en el 3D-Album te permite convertir tu 3D-Album presentaciones en archivos de película en diversos formatos.
* Convertir discos en DVD, SVCD, VCD y listo archivos.
* Producir vídeos en AVI, MPEG1, MPEG2, Windows Media, RealVideo y formatos.
Siéntese Disfrute de las películas en DVD, Video CD, o la web.(Espere un momento, el espectáculo se iniciará pronto!)
Notas:
* Antes de instalar Lean el archivo Leeme Importante antes de Instalar
* Me Tome la melestia de reunir una gran mayoria de estilos para su mayor funcionamiento
Datos De Software
* Idioma: Español
* Tamaño: 9 partes de 180Mb 1 de 153 mb total 10 partes
las partes son intercambiables de Ambos servidores
* Compresion: Winrar
* Infositio: 3d album
* Servidor: Rapidshare y Megaupload
* Video Demostracion:
Descargas:
http://rapidshare.com/files/139009919/Acs3D.part01.rar
http://rapidshare.com/files/139190332/Acs3D.part02.rar
http://rapidshare.com/files/139264031/Acs3D.part03.rar
http://rapidshare.com/files/139435652/Acs3D.part04.rar
http://rapidshare.com/files/139507660/Acs3D.part05.rar
http://rapidshare.com/files/139667665/Acs3D.part06.rar
http://rapidshare.com/files/139752462/Acs3D.part07.rar
http://rapidshare.com/files/139861162/Acs3D.part08.rar
http://rapidshare.com/files/139998481/Acs3D.part09.rar
http://rapidshare.com/files/140174226/Acs3D.part10.rar
Megaupload
Parte 10 http://www.megaupload.com/?d=1IWFK18L
Parte 09 http://www.megaupload.com/?d=NJ7NDC5J
Parte 08 http://www.megaupload.com/?d=ZAZH7JG3
Parte 07 http://www.megaupload.com/?d=WEN7REB8
Parte 06 http://www.megaupload.com/?d=1JYKVG11
Parte 05 http://www.megaupload.com/?d=7MUNA7I1
parte 04 http://www.megaupload.com/?d=V8K11WBR
Parte 03 http://www.megaupload.com/?d=CNW8JOFL
Parte 02 http://www.megaupload.com/?d=DRL989K1
Parte 01 http://www.megaupload.com/?d=AJXU5M45
Suscribirse a:
Entradas (Atom)