Inicio de Windows 98
Hola, me llamo Lucio. Te quería preguntar porque cada vez que inicio la pc me aparece un cartel que dice "No se puede encontrar el archivo sub.exe(o alguno de sus componentes). Compruebe la ruta de acceso..."
Ese archivo no esta en ningún lado. Te agradecería que me dijeras como sacar al cartel molesto este. Gracias
Ese archivo no esta en ningún lado. Te agradecería que me dijeras como sacar al cartel molesto este. Gracias
1 respuesta
Respuesta
1
Como ese archivo no esta es que te aparece ese mensaje.-
Pero no te preocupes que todo tiene solución.-
El tema es rastrear en que archivo de configuración del windows esta, para ello el primer lugar a buscar es el registro.-
1.- inicio / ejecutar
2.- escribir "regedit"
3.- Presionar f3 y escribir sub.exe
4.- Si se detiene en algún lugar y nos marca que esta escrito sub.exe presionas suprimir y lo eliminas, luego volvés a presionar f3 y seguirá buscando hasta que llegue al final del registro (CUIDADO NO TOQUE NADA MÁS EN EL REGISTRO PORQUE ES PELIGROSO)
5.- Para el caso en que no hubiera encontrado el sub.exe en el registro tenemos que buscar en el win.ini y en el system.ini, para ello en inicio / ejecutar escribimos:
Sysedit y repetimos con la tecla f3 la búsqueda en cada uno de esos archivos hasta eliminarlo.-
Reiniciamos la pc y nos fijamos si se repite el efecto.-
Tiene que haberse solucionado así porque es claro el problema, ahora ese nombre de archivo me parece muy sospechoso (me parece que tuviste un virus que se llama sub7) y el antivirus te lo limpió y a partir de ahí te diste cuenta del error, igual esto es adivinar.-
Pero no te preocupes que todo tiene solución.-
El tema es rastrear en que archivo de configuración del windows esta, para ello el primer lugar a buscar es el registro.-
1.- inicio / ejecutar
2.- escribir "regedit"
3.- Presionar f3 y escribir sub.exe
4.- Si se detiene en algún lugar y nos marca que esta escrito sub.exe presionas suprimir y lo eliminas, luego volvés a presionar f3 y seguirá buscando hasta que llegue al final del registro (CUIDADO NO TOQUE NADA MÁS EN EL REGISTRO PORQUE ES PELIGROSO)
5.- Para el caso en que no hubiera encontrado el sub.exe en el registro tenemos que buscar en el win.ini y en el system.ini, para ello en inicio / ejecutar escribimos:
Sysedit y repetimos con la tecla f3 la búsqueda en cada uno de esos archivos hasta eliminarlo.-
Reiniciamos la pc y nos fijamos si se repite el efecto.-
Tiene que haberse solucionado así porque es claro el problema, ahora ese nombre de archivo me parece muy sospechoso (me parece que tuviste un virus que se llama sub7) y el antivirus te lo limpió y a partir de ahí te diste cuenta del error, igual esto es adivinar.-
Hola, el archivo no aparece en el registro de ninguna de las dos maneras.
Mi hermano me dijo que apareció por el sub7, porque el lo probo e infecto la pc probándolo, pero lo hizo varias veces y quedo solamente esta vez.
Mi hermano me dijo que apareció por el sub7, porque el lo probo e infecto la pc probándolo, pero lo hizo varias veces y quedo solamente esta vez.
Alias
Sub7
Subseven
Información del Virus
Fecha de Descubrimiento: 15/04/99
Fecha de Ingreso: 27/05/99
Tipo: Virus Troyano
Subtipo: Acceso Remoto
Origen: Neo Zelandes
Tamaño: Desconocido
Variantes: Desconocido
Características del Virus
Este es un troyano Internet de Windows 9x. Cuando está corriendo da virtualmente acceso ilimitado al sistema a través de Internet a cualquiera que este corriendo el cliente apropiado.
Este troyano instala 3 archivos en el sistema. En WINDOWS y WINDOWS\SYSTEM.
NODLL.EXE - Este exe se instala en la carpeta WINDOWS. Este se usa para cargar el troyano server principal. Este es llamado desde una entrada en la línea 'run=' del WIN.INI. El archivo se identifica como BackDoor-G.ldr SERVER.EXE o KERNEL16.DL o WINDOW.EXE - Este exe se instala en la carpeta WINDOWS. Este es el principal troyano que recibe y lleva los comandos desde el software cliente vía Internet. El archivo se identifica como BackDoor-G.srv. El programa es generalmente el primer archivo que el usuario recibe y contiene copias de los otros dos archivos.
WATCHING.DLL o LMDRK_33.DLL - Esta dll se copia a la carpeta WINDOWS\SYSTEM. Este archivo se usa por el programa troyano del servidor para monitorear Internet por conexiones desde el software cliente. Este archivo se identifica como "BackDoor-G.dll".
Otros archivos asociados con este troyano son el programa cliente el cual se identifica como "BackDoor-G.cli" y un programa de configuración el cual se identifica como "BackDoor-G.cfg".
NOTA: Los nombres de los archivos dados anteriormente son sólo una guía, como se puede usar el programa de configuración para cambiar los nombres de los archivos utilizados.
Síntomas
Si usted ya ha sido infectado puede bajar este archivo para remover las líneas del registro. Luego de esto borre todos los archivos relacionados con este virus.
Si usted no ha sido infectado y desea protegerse, actualice su software Antivirus con la versión de Engine y Dat señaladas anteriormente y agregue la extensión "SHS" en la configuración de VirusScan.
Nota1- Microsoft ha realizado un Update para outlook email attachment security update. Para una lista de bloques adjuntos general FAQ, visite este link.
Adicionalmente, Network Administrator puede configurar esta actualización mediante una herramienta establecida- visite este link para más información.
Nota2- Esto es muy común para virus macro deshabilitar las opciones dentro de aplicaciones office por ejemplo en Word, la protección macro es comúnmente dashabilitada . Después limpiar el virus macro asegurando mantener habilitada esta configuración.
Método de Infección
El troyano engancha en el sistema operativo host en una o más de 4 diferentes maneras:
1) Agrega el nombre del archivo principal del servidor a la línea run= en la sección [windows] de WIN.INI.
2) Agrega el nombre del archivo principal del servidor al final de la línea shell= en la sección [boot] del SYSTEM.INI.
3) Agrega el archivo principal al registro bajo las claves:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4) Cambia la manera en la cual el sistema operativo ejecuta los archivos exe cambiando el valor del registro a
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
de ""%1" %*" a "mueexe.exe "%1" %*". Este provoca que el sistema operativo ejecute el programa cargador cada vez que un archivo ejecutable es lanzado. Entonces el programa cargador ejecuta el archivo exe principal del servidor (si no está corriendo) y entonces ejecuta el archivo ejecutable requerido por el sistema operativo.
El Troyano también registra la extensión de archivo .dl como un archivo del tipo ejecutable que puede ejecutarse por el sistema operativo tal como cualquier archivo exe. Esto permite al atacante bajar archivos al sistema víctima y ejecutarlos. Debido a que la extensión generalmente no está asociada con archivos ejecutables, al Antivirus no revisara estos archivos
Instrucciones de Remoción
La remoción de este troyano es complicada por la profundidad a la cual el troyano engancha el sistema operativo.
Algo importante que AVERT ha descubierto es renombrar la extensión de los programas de edición de registro originales de .EXE a .COM. Esto saltara las limitaciones creadas por la remoción del troyano antes de editar el registro. Por ejemplo, en Windows 95/98, el registro se puede cargar y editar usando el programa REGEDIT.EXE mientras que en Windows NT, usted usa REGEDT32.EXE. Renombre estos a extensión .COM y aún se ejecutaran y le permitirá remover las referencias de troyanos y gusanos de Internet.
1) Identifique y note los archivos asociados con este troyano detectados por el escáner - No remueva el troyano en este momento. Si usted ya ha removido el troyano, no será capaz de de ejecutar los pasos de más abajo referentes al REGEDIT en el sistema afectado. Proceda desde el paso 11.
2) Abra una ventana MS-DOS vía el menú o click en START|RUN, tipee COMMAND y entonces presione Enter.
3) Inicio el Regedit en Windows 95/98 tipeando REGEDIT o en Windows NT typee REGEDT32 y presione Enter.
4) Remueva las referencias al troyano desde estas keys en el registry
HKEY_CLASSES_ROOT\exefile\shell\open\command\
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
They should contain only the value not including brackets ["%1" %*].
5) Si es aplicable, remueva cualquier clave que ejecute el troyano principal bajo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
6) If applicable, delete the registry key if it exists
HKEY_CLASSES_ROOT\.dl
and exit Regedit
7) Si es aplicable, edite WIN.INI y remueva la referencia al troyano desde la línea run= en la sección [windows].
8) Si es aplicable, edite SYSTEM.INI y remueva la referencia al troyano desde la línea shell= en la sección [boot]. Este debería sólo contener el archivo EXPLORER.EXE.
9) Reinicie el sistema.
10) Borre el programa(s) troyano(s). Si todo lo anterior se hizo bien estos archivos deberían borrarse sin problemas. Si usted recibe un mensaje diciendo que windows es incapaz de borrar el archivo por que está en uso, entonces usted ha cometido algún error u omisión en los pasos anteriores. Repita los pasos del 1 al 9 e intente de nuevo.
11) En el evento que el troyano fuera borrado antes de hacer los cambios en el registro, aún es posible repara el registro. Usted necesitara acceder a otro computador, o al menos, a MS-DOS en el sistema afectado. Usando el editor de MS-DOS "edit", cree un archivo llamado UNDO. REG con el siguiente contenido (usted puede cortar y pegar):
Regedit4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
Si no puede generar el archivo Presione aquí apara bajarlo, debe descomprimirlo antes de usarlo.
12) Guarde este archivo en la carpeta Windows en el sistema afectado como "UNDO.REG".
13) Click en START|RUN, tipee UNDO. REG y presione ENTER. El contenido de UNDO. REG debería ser importado al registro.
Sub7
Subseven
Información del Virus
Fecha de Descubrimiento: 15/04/99
Fecha de Ingreso: 27/05/99
Tipo: Virus Troyano
Subtipo: Acceso Remoto
Origen: Neo Zelandes
Tamaño: Desconocido
Variantes: Desconocido
Características del Virus
Este es un troyano Internet de Windows 9x. Cuando está corriendo da virtualmente acceso ilimitado al sistema a través de Internet a cualquiera que este corriendo el cliente apropiado.
Este troyano instala 3 archivos en el sistema. En WINDOWS y WINDOWS\SYSTEM.
NODLL.EXE - Este exe se instala en la carpeta WINDOWS. Este se usa para cargar el troyano server principal. Este es llamado desde una entrada en la línea 'run=' del WIN.INI. El archivo se identifica como BackDoor-G.ldr SERVER.EXE o KERNEL16.DL o WINDOW.EXE - Este exe se instala en la carpeta WINDOWS. Este es el principal troyano que recibe y lleva los comandos desde el software cliente vía Internet. El archivo se identifica como BackDoor-G.srv. El programa es generalmente el primer archivo que el usuario recibe y contiene copias de los otros dos archivos.
WATCHING.DLL o LMDRK_33.DLL - Esta dll se copia a la carpeta WINDOWS\SYSTEM. Este archivo se usa por el programa troyano del servidor para monitorear Internet por conexiones desde el software cliente. Este archivo se identifica como "BackDoor-G.dll".
Otros archivos asociados con este troyano son el programa cliente el cual se identifica como "BackDoor-G.cli" y un programa de configuración el cual se identifica como "BackDoor-G.cfg".
NOTA: Los nombres de los archivos dados anteriormente son sólo una guía, como se puede usar el programa de configuración para cambiar los nombres de los archivos utilizados.
Síntomas
Si usted ya ha sido infectado puede bajar este archivo para remover las líneas del registro. Luego de esto borre todos los archivos relacionados con este virus.
Si usted no ha sido infectado y desea protegerse, actualice su software Antivirus con la versión de Engine y Dat señaladas anteriormente y agregue la extensión "SHS" en la configuración de VirusScan.
Nota1- Microsoft ha realizado un Update para outlook email attachment security update. Para una lista de bloques adjuntos general FAQ, visite este link.
Adicionalmente, Network Administrator puede configurar esta actualización mediante una herramienta establecida- visite este link para más información.
Nota2- Esto es muy común para virus macro deshabilitar las opciones dentro de aplicaciones office por ejemplo en Word, la protección macro es comúnmente dashabilitada . Después limpiar el virus macro asegurando mantener habilitada esta configuración.
Método de Infección
El troyano engancha en el sistema operativo host en una o más de 4 diferentes maneras:
1) Agrega el nombre del archivo principal del servidor a la línea run= en la sección [windows] de WIN.INI.
2) Agrega el nombre del archivo principal del servidor al final de la línea shell= en la sección [boot] del SYSTEM.INI.
3) Agrega el archivo principal al registro bajo las claves:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4) Cambia la manera en la cual el sistema operativo ejecuta los archivos exe cambiando el valor del registro a
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
de ""%1" %*" a "mueexe.exe "%1" %*". Este provoca que el sistema operativo ejecute el programa cargador cada vez que un archivo ejecutable es lanzado. Entonces el programa cargador ejecuta el archivo exe principal del servidor (si no está corriendo) y entonces ejecuta el archivo ejecutable requerido por el sistema operativo.
El Troyano también registra la extensión de archivo .dl como un archivo del tipo ejecutable que puede ejecutarse por el sistema operativo tal como cualquier archivo exe. Esto permite al atacante bajar archivos al sistema víctima y ejecutarlos. Debido a que la extensión generalmente no está asociada con archivos ejecutables, al Antivirus no revisara estos archivos
Instrucciones de Remoción
La remoción de este troyano es complicada por la profundidad a la cual el troyano engancha el sistema operativo.
Algo importante que AVERT ha descubierto es renombrar la extensión de los programas de edición de registro originales de .EXE a .COM. Esto saltara las limitaciones creadas por la remoción del troyano antes de editar el registro. Por ejemplo, en Windows 95/98, el registro se puede cargar y editar usando el programa REGEDIT.EXE mientras que en Windows NT, usted usa REGEDT32.EXE. Renombre estos a extensión .COM y aún se ejecutaran y le permitirá remover las referencias de troyanos y gusanos de Internet.
1) Identifique y note los archivos asociados con este troyano detectados por el escáner - No remueva el troyano en este momento. Si usted ya ha removido el troyano, no será capaz de de ejecutar los pasos de más abajo referentes al REGEDIT en el sistema afectado. Proceda desde el paso 11.
2) Abra una ventana MS-DOS vía el menú o click en START|RUN, tipee COMMAND y entonces presione Enter.
3) Inicio el Regedit en Windows 95/98 tipeando REGEDIT o en Windows NT typee REGEDT32 y presione Enter.
4) Remueva las referencias al troyano desde estas keys en el registry
HKEY_CLASSES_ROOT\exefile\shell\open\command\
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
They should contain only the value not including brackets ["%1" %*].
5) Si es aplicable, remueva cualquier clave que ejecute el troyano principal bajo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
6) If applicable, delete the registry key if it exists
HKEY_CLASSES_ROOT\.dl
and exit Regedit
7) Si es aplicable, edite WIN.INI y remueva la referencia al troyano desde la línea run= en la sección [windows].
8) Si es aplicable, edite SYSTEM.INI y remueva la referencia al troyano desde la línea shell= en la sección [boot]. Este debería sólo contener el archivo EXPLORER.EXE.
9) Reinicie el sistema.
10) Borre el programa(s) troyano(s). Si todo lo anterior se hizo bien estos archivos deberían borrarse sin problemas. Si usted recibe un mensaje diciendo que windows es incapaz de borrar el archivo por que está en uso, entonces usted ha cometido algún error u omisión en los pasos anteriores. Repita los pasos del 1 al 9 e intente de nuevo.
11) En el evento que el troyano fuera borrado antes de hacer los cambios en el registro, aún es posible repara el registro. Usted necesitara acceder a otro computador, o al menos, a MS-DOS en el sistema afectado. Usando el editor de MS-DOS "edit", cree un archivo llamado UNDO. REG con el siguiente contenido (usted puede cortar y pegar):
Regedit4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
Si no puede generar el archivo Presione aquí apara bajarlo, debe descomprimirlo antes de usarlo.
12) Guarde este archivo en la carpeta Windows en el sistema afectado como "UNDO.REG".
13) Click en START|RUN, tipee UNDO. REG y presione ENTER. El contenido de UNDO. REG debería ser importado al registro.