Virus
Hola, buenas.
Era para que si me pudieras explicar una cosa.
Veras.
Tengo un virus residente que es el FUNLOVE. GEN.
Y haber si me puedes indicar un programa para inocularlo bajándolo de internet y que tengo que hacer paso a paso.
Gracias.
Un saludo
Era para que si me pudieras explicar una cosa.
Veras.
Tengo un virus residente que es el FUNLOVE. GEN.
Y haber si me puedes indicar un programa para inocularlo bajándolo de internet y que tengo que hacer paso a paso.
Gracias.
Un saludo
1 Respuesta
Respuesta de pplu500
1
Nombre: W32/FunLove
Alias: FLCSS.EXE, PE_FUNLOVE. 4099, W32. FunLove.4099, W32/Flcss, W32/Funlove.4099.dr, W32/FunLove.gen, W95/FunLove.4099, Win32. FLC, Win32. FunLove.4070 , W32/FunLove.dr
Tipo: Virus
Tamaño: 4099 bytes
Origen: Usa, finales de 1999, (W32/Funlove.dr el 12/11/2002)
Destructivo: NO
En la calle (in the wild): SI
Detección y eliminación: The Hacker a partir del 17/12/1999. W32/Funlove.dr desde el 12/11/2002
. Importante 12/11/2002
En las últimas horas muchos usuarios han sido infectados por una nueva variante del virus W32/FunLove, dicha variante es detectada como "W32/FunLove.dr".
The Hacker 5.3 elimina esta última variante, incluidas las demás variantes con el Registro de Virus al día 12/11/2002.
Características
La nueva variante del virus W32/FunLove es ejecutado por el archivo BRIDE.EXE, a diferencia de las versiones anteriores del FunLove que eran ejecutados por el archivo FLCSS.EXE. El archivo Bride.exe es copiado por el virus W32/Braid@MM dentro de C:\WINDOWS\SYSTEM\BRIDE.EXE
Esta variante al igual que las anteriores realiza la misma rutina de infección solo se diferencia en la creación del archivo BRIDE.EXE.
Pasos para detectar y eliminar w32/funlove.Dr
Estas recomendaciones asumen que Windows 95/98/ME se encuentra instalado en C:\WINDOWS y Windows NT en C:\WINNT, si su computadora tiene instalado el sistema operativo en una carpeta diferente reemplace estos valores por los de su sistema (Ej. C:\WIN95, C:\WIN98, ...)
Un punto importante para evitar la propagación de W32/Funlove.dr es la creación de una carpeta "BRIDE.EXE" dentro de C:\Windows\System (para Windows 95/98/ME) o C:\Winnt\System32 (Windows NT). Si una carpeta "BRIDE.EXE" es creada dentro de SYSTEM el virus W32/FunLove.dr no podrá crear su archivo BRIDE.EXE y por lo tanto no infectará todos los archivos del disco duro y unidades compartidas.
Es importante precisar que esta carpeta BRIDE.EXE evita que el virus se coloque residente en la memoria de la computadora pero no que esta pueda ser infectada desde otra computadora que sí tiene el virus activo y con la cual se comparten algún recurso como disco o carpeta..
- Si el sistema operativo es Windows 95, 98, Millennium crear la carpeta BRIDE.EXE en C:\WINDOWS\SYSTYEM
- Si el sistema operativo es Windows NT / 2000 crear la carpeta BRIDE.EXE en C:\WINNT\SYSTEM32
Si ya existe el archivo BRIDE.EXE borrarlo para que la carpeta pueda ser creada.
Ej.
del c:\windows\system\bride.exe [enter]
md c:\windows\system\bride.exe [enter]
md c:\winnt\system32\bride.exe [enter]
No comparta el disco duro de ninguna computadora incluyendo el servidor hasta que se encuentre 100% seguro que el virus W32/FunLove.dr ha sido totalmente erradicado de su red.
--------------------------------------------------------------------------------------------------------------------------------------------------------
Descripción 17/12/1999
W32/Funlove es un virus que infecta archivos *. EXE, *. SCR y *.OCX en sistemas con Windows 95/98/Me y Windows NT.
Al ejecutar un archivo infectado el virus W32/Funlove crea un archivo infectado FLCSS.EXE en la carpeta WinNT\System32 (Windows NT) o Windows\System (Windows 95/98/Me)
Si el archivo FLCSS.EXE no puede ser creado el virus termina su ejecución sin infectar otros archivos del sistema.
Si el virus logra crear el archivo FLCSS.EXE lo ejecuta quedando el virus residente en memoria, en Windows NT el archivo FLCSS.EXE se instala como un servicio, en la lista de servicios de "Start->Settings->Control Panel->Services" aparece el servicio "FLC".
Una vez residente en memoria el virus infecta todos los archivos *. EXE, *. SCR y *.OCX en la carpeta \Windows, \WinNT, \Program Files y en todas las unidades a las que tiene acceso incluyendo las de Red (C:, D:, E:, ... Z:), asimismo infecta en todos los recursos compartidos a los cuales tiene acceso.
El virus W32/FunLove es muy especial y bastante rápido en su propagación, una sola computadora sin antivirus puede resultar en una infección masiva en toda la red.
Es importante conocer como infecta el virus W32/FunLove a fin de que se tomen los procedimientos adecuados para su eliminación.
Supongamos que una computadora cualquiera (PC-MIO) tiene acceso a las siguientes unidades de disco y/o recursos compartidos.
Unidad C: - Disco duro local
Unidad D: - disco duro local
Unidad E: - Recurso compartido (Ej. La unidad C:\ de otra computadora, PC-VENTAS)
Unidad F: - Recurso compartido (Ej. La carpeta C:\sistemas de otra computadora, PC-MARKET)
Unidad G: - Recurso compartido (Ej. La unidad C:\ del servidor, SERVIDOR)
Si se ejecuta un archivo infectado en PC-MIO, el virus W32/FunLove infectará todos los archivos *. EXE, *. SCR y *.OCX en PC-MIO (unidad C y D), PC-VENTAS (unidad E:), PC-MARKET (la carpeta C:\Sistemas) y el SERVIDOR (unidad G:).
En nuestro ejemplo, el ejecutar 1 archivo infectado en un PC-MIO resultará en la infección de miles de archivos en 4 diferentes computadoras incluyendo el servidor.
La infección de archivos hacia PC-VENTAS, PC-MARKET y el SERVIDOR es una infección remota, eso significa que así estas computadoras tengan cualquier antivirus instalado la infección SI se produce en el archivo remoto, la vacuna en tiempo real del antivirus en estas 3 computadoras notará la infección y procederá a eliminar el virus, por cada archivo que se infecta y cura debería aparecer un mensaje de la vacuna
Pasos para detectar y eliminar w32/funlove
Estas recomendaciones asumen que Windows 95/98/ME se encuentra instalado en C:\WINDOWS y Windows NT en C:\WINNT, si su computadora tiene instalado el sistema operativo en una carpeta diferente reemplace estos valores por los de su sistema (Ej. C:\WIN95, C:\WIN98, ...)
Un punto importante para evitar la propagación de W32/Funlove es la creación de una carpeta "FLCSS.EXE" dentro de c:\windows\system (para Windows 95/98/ME) o C:\Winnt\System32 (Windows NT). Si una carpeta "FLCSS.EXE" es creada dentro de SYSTEM el virus W32/FunLove no podrá crear su archivo FLCSS.EXE y por lo tanto no infectará todos los archivos del disco duro y unidades compartidas.
Es importante precisar que esta carpeta FLCSS.EXE evita que el virus se coloque residente en la memoria de la computadora pero no que esta pueda ser infectada desde otra computadora que sí tiene el virus activo y con la cual se comparten algún recurso como disco o carpeta..
- Si el sistema operativo es Windows 95, 98, Millennium crear la carpeta FLCSS.EXE en C:\WINDOWS\SYSTYEM
- Si el sistema operativo es Windows NT / 2000 crear la carpeta FLCSS.EXE en C:\WINNT\SYSTEM32
Si ya existe el archivo FLCSS.EXE borrarlo para que la carpeta pueda ser creada.
Ej.
del c:\windows\system\flcss.exe [enter]
md c:\windows\system\flcss.exe [enter]
md c:\winnt\system32\flcss.exe [enter]
No comparta el disco duro de ninguna computadora incluyendo el servidor hasta que se encuentre 100% seguro que el virus W32/FunLove ha sido totalmente erradicado de su red.
Detección de virus en el servidor Windows NT
Desactivar cualquier recurso compartido en el servidor, ninguna estación debe tener acceso al servidor de lo contrario el servidor será reinfectado por la estación en segundos.
Desactive el servicio "FLC":
Clic en Start->Settings->Control Panel->Services, buscar el servicio "FLC", elegir el botón "Startup" y modificarlo a "Manual"
Reiniciar el servidor
Al iniciar nuevamente el servidor, el servicio "FLC" no se ejecuta automáticamente, borrar el archivo FLCSS.EXE y crear una carpeta con el mismo nombre.
Ej. Desde una consola DOS en NT vía Start->Run->cmd.exe
del c:\winnt\system32\flcss.exe [enter]
md c:\winnt\system32\flcss.exe [enter]
Abrir una consola DOS en NT vía Start->Run-> cmd.exe, ejecutar el programa TH.EXE desde A:\ que viene en el disquete "1 de 2" de The Hacker para Windows 95/98/ME o NT/2000.
TH.EXE permite detectar y eliminar virus por el modo DOS.
Al iniciar el programa TH.EXE se recomienda activar la opción de creación de reporte antes de efectuar la eliminación de virus en "Opciones->Reporte", por defecto el reporte será creado en C:\TH.RPT
Activada la opción de reporte detectar y eliminar el virus en la unidad C: en "Detectar->Detectar y Eliminar".
Finalizada la eliminación del virus revisar el reporte en C:\TH.RPT y verificar si quedan archivos infectados en uso (cargados en memoria) que no puedan ser limpiados, si fuera el caso necesita sacar los programas infectados de memoria y volver a revisar el disco duro con TH.EXE. (Para sacar un programa de memoria CTRL+ALT+DEL->Task Manager->Processes, ubicar el programa y End Task)
Tip en TH.EXE: A fin de evitar que se revisen otra vez todos los archivos elija la opción "Detectar->Ruta", ingrese c:\*.exe, después "detectar y eliminar", igual con c:\*.scr y c:\*.ocx
Instale The Hacker para Windows NT en el servidor
Después de este punto el servidor debería estar limpio
Detección de virus en las estaciones
1.- Desactivar cualquier recurso compartido en la estación, ninguna otra computadora debe tener acceso a la suya de lo contrario podría generarse una reinfección.
NET VIEW \\NombrePC, desde una ventana de DOS debería indicar que recursos comparte esa estación.
2.- Detectar y eliminar virus en las estaciones: Dado que W32/FunLove es un virus de Windows debe ser eliminado desde el modo MS-DOS de lo contrario los archivos en uso (cargados en memoria) no pueden ser alterados (curados). Este no es un problema de The Hacker sino una protección del sistema operativo de no poder modificar un archivo en uso.
- Reinicie el sistema desde A:\ con un disquete de Inicio de Windows 95/98/ME
- Cuando aparece el prompt del DOS inserte el disquete "1 de 2" de The Hacker y ejecute TH.EXE; en el menú elegir la unidad a revisar "C:" vía "Detectar->Disco", después inicie la eliminación del virus en "C:" vía "Detectar->Detectar y eliminar"
- Finalizada la eliminación del virus salir del programa "Detectar->Salir" y crear la carpeta FLCSS.EXE en C:\WINDOWS\SYSTEM.
Ej
del c:\windows\system\flcss.exe [enter]
md c:\windows\system\flcss.exe [enter]
Si no está 100% seguro que su servidor ya está limpio de virus NO se logee, de lo contrario la computadora podría ser infectada si comparte sus recursos (disco o carpeta.)
Nuevamente, no comparta el disco duro de esta computadora a menos que este 100% seguro que todas las demás computadoras están limpias y con antivirus instalado.
Si necesita obligatoriamente compartir recursos entre computadoras no comparta toda la unidad sino solamente la carpeta o archivo que se necesita.
Eliminado el virus verificar que todas las computadoras corran la vacuna antivirus
Si la vacuna o scanner del mismo antivirus (th32.exe, thd32.exe) son infectados ya no se ejecutan aún después de ser limpiados, los programas del antivirus se autoverifican y no ejecutan si detectan que han sido alterados así los cambios son menores. Al dar doble clic sobre th32.exe y thd32.exe no hacen nada.
Después de eliminar el virus verifique en cada una de las estaciones que la vacuna en tiempo real se encuentre operando, el icono de la vacuna (icono azul) debería figurar en la lista de iconos (System tray) al costado de la hora.
Si los programas de The Hacker ya no ejecutan por este motivo consulte a nuestro departamento de soporte como solucionar este problema [email protected].
--------------------------------------------------------------------------------
Alias: FLCSS.EXE, PE_FUNLOVE. 4099, W32. FunLove.4099, W32/Flcss, W32/Funlove.4099.dr, W32/FunLove.gen, W95/FunLove.4099, Win32. FLC, Win32. FunLove.4070 , W32/FunLove.dr
Tipo: Virus
Tamaño: 4099 bytes
Origen: Usa, finales de 1999, (W32/Funlove.dr el 12/11/2002)
Destructivo: NO
En la calle (in the wild): SI
Detección y eliminación: The Hacker a partir del 17/12/1999. W32/Funlove.dr desde el 12/11/2002
. Importante 12/11/2002
En las últimas horas muchos usuarios han sido infectados por una nueva variante del virus W32/FunLove, dicha variante es detectada como "W32/FunLove.dr".
The Hacker 5.3 elimina esta última variante, incluidas las demás variantes con el Registro de Virus al día 12/11/2002.
Características
La nueva variante del virus W32/FunLove es ejecutado por el archivo BRIDE.EXE, a diferencia de las versiones anteriores del FunLove que eran ejecutados por el archivo FLCSS.EXE. El archivo Bride.exe es copiado por el virus W32/Braid@MM dentro de C:\WINDOWS\SYSTEM\BRIDE.EXE
Esta variante al igual que las anteriores realiza la misma rutina de infección solo se diferencia en la creación del archivo BRIDE.EXE.
Pasos para detectar y eliminar w32/funlove.Dr
Estas recomendaciones asumen que Windows 95/98/ME se encuentra instalado en C:\WINDOWS y Windows NT en C:\WINNT, si su computadora tiene instalado el sistema operativo en una carpeta diferente reemplace estos valores por los de su sistema (Ej. C:\WIN95, C:\WIN98, ...)
Un punto importante para evitar la propagación de W32/Funlove.dr es la creación de una carpeta "BRIDE.EXE" dentro de C:\Windows\System (para Windows 95/98/ME) o C:\Winnt\System32 (Windows NT). Si una carpeta "BRIDE.EXE" es creada dentro de SYSTEM el virus W32/FunLove.dr no podrá crear su archivo BRIDE.EXE y por lo tanto no infectará todos los archivos del disco duro y unidades compartidas.
Es importante precisar que esta carpeta BRIDE.EXE evita que el virus se coloque residente en la memoria de la computadora pero no que esta pueda ser infectada desde otra computadora que sí tiene el virus activo y con la cual se comparten algún recurso como disco o carpeta..
- Si el sistema operativo es Windows 95, 98, Millennium crear la carpeta BRIDE.EXE en C:\WINDOWS\SYSTYEM
- Si el sistema operativo es Windows NT / 2000 crear la carpeta BRIDE.EXE en C:\WINNT\SYSTEM32
Si ya existe el archivo BRIDE.EXE borrarlo para que la carpeta pueda ser creada.
Ej.
del c:\windows\system\bride.exe [enter]
md c:\windows\system\bride.exe [enter]
md c:\winnt\system32\bride.exe [enter]
No comparta el disco duro de ninguna computadora incluyendo el servidor hasta que se encuentre 100% seguro que el virus W32/FunLove.dr ha sido totalmente erradicado de su red.
--------------------------------------------------------------------------------------------------------------------------------------------------------
Descripción 17/12/1999
W32/Funlove es un virus que infecta archivos *. EXE, *. SCR y *.OCX en sistemas con Windows 95/98/Me y Windows NT.
Al ejecutar un archivo infectado el virus W32/Funlove crea un archivo infectado FLCSS.EXE en la carpeta WinNT\System32 (Windows NT) o Windows\System (Windows 95/98/Me)
Si el archivo FLCSS.EXE no puede ser creado el virus termina su ejecución sin infectar otros archivos del sistema.
Si el virus logra crear el archivo FLCSS.EXE lo ejecuta quedando el virus residente en memoria, en Windows NT el archivo FLCSS.EXE se instala como un servicio, en la lista de servicios de "Start->Settings->Control Panel->Services" aparece el servicio "FLC".
Una vez residente en memoria el virus infecta todos los archivos *. EXE, *. SCR y *.OCX en la carpeta \Windows, \WinNT, \Program Files y en todas las unidades a las que tiene acceso incluyendo las de Red (C:, D:, E:, ... Z:), asimismo infecta en todos los recursos compartidos a los cuales tiene acceso.
El virus W32/FunLove es muy especial y bastante rápido en su propagación, una sola computadora sin antivirus puede resultar en una infección masiva en toda la red.
Es importante conocer como infecta el virus W32/FunLove a fin de que se tomen los procedimientos adecuados para su eliminación.
Supongamos que una computadora cualquiera (PC-MIO) tiene acceso a las siguientes unidades de disco y/o recursos compartidos.
Unidad C: - Disco duro local
Unidad D: - disco duro local
Unidad E: - Recurso compartido (Ej. La unidad C:\ de otra computadora, PC-VENTAS)
Unidad F: - Recurso compartido (Ej. La carpeta C:\sistemas de otra computadora, PC-MARKET)
Unidad G: - Recurso compartido (Ej. La unidad C:\ del servidor, SERVIDOR)
Si se ejecuta un archivo infectado en PC-MIO, el virus W32/FunLove infectará todos los archivos *. EXE, *. SCR y *.OCX en PC-MIO (unidad C y D), PC-VENTAS (unidad E:), PC-MARKET (la carpeta C:\Sistemas) y el SERVIDOR (unidad G:).
En nuestro ejemplo, el ejecutar 1 archivo infectado en un PC-MIO resultará en la infección de miles de archivos en 4 diferentes computadoras incluyendo el servidor.
La infección de archivos hacia PC-VENTAS, PC-MARKET y el SERVIDOR es una infección remota, eso significa que así estas computadoras tengan cualquier antivirus instalado la infección SI se produce en el archivo remoto, la vacuna en tiempo real del antivirus en estas 3 computadoras notará la infección y procederá a eliminar el virus, por cada archivo que se infecta y cura debería aparecer un mensaje de la vacuna
Pasos para detectar y eliminar w32/funlove
Estas recomendaciones asumen que Windows 95/98/ME se encuentra instalado en C:\WINDOWS y Windows NT en C:\WINNT, si su computadora tiene instalado el sistema operativo en una carpeta diferente reemplace estos valores por los de su sistema (Ej. C:\WIN95, C:\WIN98, ...)
Un punto importante para evitar la propagación de W32/Funlove es la creación de una carpeta "FLCSS.EXE" dentro de c:\windows\system (para Windows 95/98/ME) o C:\Winnt\System32 (Windows NT). Si una carpeta "FLCSS.EXE" es creada dentro de SYSTEM el virus W32/FunLove no podrá crear su archivo FLCSS.EXE y por lo tanto no infectará todos los archivos del disco duro y unidades compartidas.
Es importante precisar que esta carpeta FLCSS.EXE evita que el virus se coloque residente en la memoria de la computadora pero no que esta pueda ser infectada desde otra computadora que sí tiene el virus activo y con la cual se comparten algún recurso como disco o carpeta..
- Si el sistema operativo es Windows 95, 98, Millennium crear la carpeta FLCSS.EXE en C:\WINDOWS\SYSTYEM
- Si el sistema operativo es Windows NT / 2000 crear la carpeta FLCSS.EXE en C:\WINNT\SYSTEM32
Si ya existe el archivo FLCSS.EXE borrarlo para que la carpeta pueda ser creada.
Ej.
del c:\windows\system\flcss.exe [enter]
md c:\windows\system\flcss.exe [enter]
md c:\winnt\system32\flcss.exe [enter]
No comparta el disco duro de ninguna computadora incluyendo el servidor hasta que se encuentre 100% seguro que el virus W32/FunLove ha sido totalmente erradicado de su red.
Detección de virus en el servidor Windows NT
Desactivar cualquier recurso compartido en el servidor, ninguna estación debe tener acceso al servidor de lo contrario el servidor será reinfectado por la estación en segundos.
Desactive el servicio "FLC":
Clic en Start->Settings->Control Panel->Services, buscar el servicio "FLC", elegir el botón "Startup" y modificarlo a "Manual"
Reiniciar el servidor
Al iniciar nuevamente el servidor, el servicio "FLC" no se ejecuta automáticamente, borrar el archivo FLCSS.EXE y crear una carpeta con el mismo nombre.
Ej. Desde una consola DOS en NT vía Start->Run->cmd.exe
del c:\winnt\system32\flcss.exe [enter]
md c:\winnt\system32\flcss.exe [enter]
Abrir una consola DOS en NT vía Start->Run-> cmd.exe, ejecutar el programa TH.EXE desde A:\ que viene en el disquete "1 de 2" de The Hacker para Windows 95/98/ME o NT/2000.
TH.EXE permite detectar y eliminar virus por el modo DOS.
Al iniciar el programa TH.EXE se recomienda activar la opción de creación de reporte antes de efectuar la eliminación de virus en "Opciones->Reporte", por defecto el reporte será creado en C:\TH.RPT
Activada la opción de reporte detectar y eliminar el virus en la unidad C: en "Detectar->Detectar y Eliminar".
Finalizada la eliminación del virus revisar el reporte en C:\TH.RPT y verificar si quedan archivos infectados en uso (cargados en memoria) que no puedan ser limpiados, si fuera el caso necesita sacar los programas infectados de memoria y volver a revisar el disco duro con TH.EXE. (Para sacar un programa de memoria CTRL+ALT+DEL->Task Manager->Processes, ubicar el programa y End Task)
Tip en TH.EXE: A fin de evitar que se revisen otra vez todos los archivos elija la opción "Detectar->Ruta", ingrese c:\*.exe, después "detectar y eliminar", igual con c:\*.scr y c:\*.ocx
Instale The Hacker para Windows NT en el servidor
Después de este punto el servidor debería estar limpio
Detección de virus en las estaciones
1.- Desactivar cualquier recurso compartido en la estación, ninguna otra computadora debe tener acceso a la suya de lo contrario podría generarse una reinfección.
NET VIEW \\NombrePC, desde una ventana de DOS debería indicar que recursos comparte esa estación.
2.- Detectar y eliminar virus en las estaciones: Dado que W32/FunLove es un virus de Windows debe ser eliminado desde el modo MS-DOS de lo contrario los archivos en uso (cargados en memoria) no pueden ser alterados (curados). Este no es un problema de The Hacker sino una protección del sistema operativo de no poder modificar un archivo en uso.
- Reinicie el sistema desde A:\ con un disquete de Inicio de Windows 95/98/ME
- Cuando aparece el prompt del DOS inserte el disquete "1 de 2" de The Hacker y ejecute TH.EXE; en el menú elegir la unidad a revisar "C:" vía "Detectar->Disco", después inicie la eliminación del virus en "C:" vía "Detectar->Detectar y eliminar"
- Finalizada la eliminación del virus salir del programa "Detectar->Salir" y crear la carpeta FLCSS.EXE en C:\WINDOWS\SYSTEM.
Ej
del c:\windows\system\flcss.exe [enter]
md c:\windows\system\flcss.exe [enter]
Si no está 100% seguro que su servidor ya está limpio de virus NO se logee, de lo contrario la computadora podría ser infectada si comparte sus recursos (disco o carpeta.)
Nuevamente, no comparta el disco duro de esta computadora a menos que este 100% seguro que todas las demás computadoras están limpias y con antivirus instalado.
Si necesita obligatoriamente compartir recursos entre computadoras no comparta toda la unidad sino solamente la carpeta o archivo que se necesita.
Eliminado el virus verificar que todas las computadoras corran la vacuna antivirus
Si la vacuna o scanner del mismo antivirus (th32.exe, thd32.exe) son infectados ya no se ejecutan aún después de ser limpiados, los programas del antivirus se autoverifican y no ejecutan si detectan que han sido alterados así los cambios son menores. Al dar doble clic sobre th32.exe y thd32.exe no hacen nada.
Después de eliminar el virus verifique en cada una de las estaciones que la vacuna en tiempo real se encuentre operando, el icono de la vacuna (icono azul) debería figurar en la lista de iconos (System tray) al costado de la hora.
Si los programas de The Hacker ya no ejecutan por este motivo consulte a nuestro departamento de soporte como solucionar este problema [email protected].
--------------------------------------------------------------------------------
