¿Cómo elimino el virus informático w32 sircam?
Acabo de detectar el sircam .he limpiado el ordenador de archivos temporales y he pasado el pqremove.com.ahora me encuentro con la papelera de msn llena de 32 mensajes eliminados y sin poder hacer nada porque se bloquea cuando intento entrar .no soy ninguna experta y hago lo que me van diciendo mis amigos pero llegado a este punto ya no se como seguir.te agradecería que si puedes me ayudaras. Gracias de antemano
1 respuesta
Respuesta de memmoch
1
Te remito la información que ha día de hoy he enviado a mucha gente por e-mail.
Fecha de descubrimiento: 17/07/2001
Fecha de ingreso: memmoch 18/07/2001
Origen: Desconocido
Tamaño: 137,216 bytes
Tipo: Virus
Subtipo: Email
Variantes: Ninguna
Características del virus
Para la Detección de W32/sirCam@MM, se deben agregar las extensiones LNK y PIF en la lista de extensiones o debe escoger la opción Scan ALL Files ( o revisar todos los archivos, en español).
Este virus de mail masivo intenta enviarse a si mismo a todos los usuarios que se encuentren en la libreta de direcciones de Windows, y en direcciones de correo encontradas en archivos del caché.
El mail que se recibe contiene el siguiente mensaje (en español):
-----------------------------------------------------------
Asunto: [nombre del archivo adjunto sin extensión]
Cuerpo del mensaje:
¿Hola cómo estas?
Te mando este archivo para que me des tu punto de vista
o Espero me puedas ayudar con el archivo que te mando
o Espero te guste este archivo que te mando
o Este es el archivo con la información que me pediste
Nos vemos pronto, gracias.
-----------------------------------------------------------
Cuando se ejecuta, se copia a si mismo al directorio C:\RECYCLED\SirC32.exe para encubrir su presencia, y crea la siguiente clave de registro para ejecutarse siempre que se cargue algún archivo .EXE.
HKCR\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1" %*
Como el comportamiento de la bandeja de reciclaje está a menudo en la liste de exclusión, se deben revisar las configuraciones para asegurar que se está explorando este directorio.
Además se copia a si mismo al directorio Windows\System como SCam32.exe y crea la siguiente clave de registro para cargarse a si mismo automáticamente:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
Una lista de archivos GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PUES, y .ZIP son buscados y copiados desde el directorio Mis documentos, y son guardados en el archivo SCD.DLL en el directorio System. Las direcciones de correo son recolectadas desde la libreta de direcciones de Windows, y desde archivos temporales de Internet, para luego ser guardadas en el archivo SCD1.DLL en el directorio System.
El gusano intenta copiar los archivos que son renombrados en el archivo SCD.DLL y esta copia es adjuntada al mensaje de correo que se envía, usando una de las siguientes extensiones: BAT, .COM, .EXE, y .LNK.
El programa crea una clave de registro para almacenar sus variables (como ejecutar un contador, e información de SMTP)
HKLM\Software\Sircam
Síntomas
Presencia del archivo SCam32.exe en el directorio Windows\System
Método de infección
Este virus se envía a si mismo como un archivo ejecutable, a todos los correos de la libreta de direcciones de Windows, y correos en archivos temporales de Internet. El virus contiene su propia rutina SMTP para autoenviarse a las direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer el archivo infectado a enviar el gusano se copia al principio de alguno de los archivos listados en SCD.DLL añadiendo al final la segunda extensión. De esta forma consigue distintas apariencias según va infectando sistemas.
Instrucciones de limpieza
Para remover el virus Ud. debe seguir los siguientes pasos. Sígalos con atención y sin saltar ninguno:
1.- Bajar los siguientes archivos a su disco duro "C"
Para descargar el archivo SIRC.BAT presione ---> SIRC.BAT
Para descargar el archivo UNDO. REG presione ---> UNDO. REG
Aparecerá un cuadro de dialogo para escoger donde guardar los archivos. Haga doble clic sobre Mi PC (aparecerán sus unidades de disco duro disponibles). Haga doble clic sobre la unidad C (aparecerán las diferentes carpetas y archivos del disco C).
Presione el botón "Guardar"
2.- Inicie su equipo en modo MS-DOS
Apague y vuelva a encender su computador, presione F8 cuando aparezca el mensaje "Iniciando Windows", si no aparece el mensaje mantenga presionado F8 durante el inicio.
Se desplegará un menú con al menos 6 opciones, de las cuales Usted debe seleccionar la opción Iniciar en modo MSDOS
A continuación verá el siguiente símbolo C:\>
Escriba SIRC.BAT. Presione Enter
Luego aparecerá la siguiente pantalla:
Responda afirmativamente con ES o Y, según como aparezca
3.- Editar el archivo AUTOEXEC.BAT
Para editar el archivo autoexec.bat. siguiendo los siguientes pasos:
Escribir a continuación de donde dice C:\>
C:\>edit autoexec.bat
Aparecerá una pantalla como la que se muestra a continuación, normalmente encontrará más líneas que las que muestra este ejemplo.
De existir en una de sus líneas @ win \recycled\sirc32.exe, debe ser eliminada la frase completamente, para ello utilice la tecla Supr (o Del) para borrar todos los caracteres de esa línea. Si la línea está repetida varias veces, elimine todas ellas.
Una vez eliminadas todas las líneas con ese texto, debe guardar el archivo, para ello realice lo siguiente: escoja Archivo luego Salir y responda afirmativamente a la pregunta ¿desea guardar los cambios?.
4.- Ejecutando Sirc.bat desde Windows
Finalizado el paso anterior debe reiniciar el equipo
Una vez dentro de Windows abra una ventana DOS, quedará con una prompt como la siguiente
C:\Windows>
Escriba cd.. y presione Enter (aparecerá C:\>)
Escriba SIRC.BAT. Y presione Enter
A continuación se le mostrará la siguiente ventana
Responda afirmativamente, ES o Y, según como aparezca
5.- Ejecutar el Antivirus, para buscar cualquier rastro del virus que haya quedado.
Reinicie nuevamente su equipo.
Una vez iniciado Windows utilice el escaneador del Antivirus, con la opción de Revisar todos los archivos activada, para revisar todos sus discos. Su Antivirus debe estar actualizado al menos con el Dat 4148 y el motor 4.1.40.
--------------------------------------------------
Procedimiento de limpieza para Windows NT 4.0 y Windows 2000
Debe realizar los siguientes pasos, para remover el virus:
Desconectar el equipo infectado de la red
Windows de tener habilitada la propiedad de mostrar todos los archivos Para el caso de que el Sistema Operativo esté en inglés, se debe cambiar en:
Exploring -> option -> view -> option -> show all
Si el sistema operativo está en español,
Explorador -> ver -> opciones -> mostrar todos los archivos
Se deben eliminar los archivos temporales de Internet, cookies y temporales contenidos en la papelera(s) de reciclaje.
Copiar el archivo UNDO. REG, que se descarga desde aquí.
Antes de reiniciar el equipo, se deben verificar las políticas del antivirus en las versiones 4.03 y 4.5. Se debe revisar que estén incluidas las extensiones LNK y PIF en el listado a escanear. Si no es así, se deben agregar.
Reiniciar el equipo
Ejecutar VirusScan, chequeando todos los archivos.
Reiniciar nuevamente el equipo, incorporándolo a la red.
--------------------------------------------------
Sólo para Usuarios de Windows ME
Nota: Windows ME utiliza una utilidad de Backup que respalda archivos seleccionados automáticamente en C:\directorio_respaldo. Este permite que un archivo infectado pueda ser almacenado en un archivo de respaldo, y VirusScan estará incapacitado para detectar estos archivos. Estas instrucciones explican como remover los archivos infectados en C:\Directorio_respaldo:
Deshabilitando la utilidad de Recuperación
1. Hacer clic derecho sobre el icono Mi PC en el escritorio y elegir propiedades
2. Hacer clic en la viñeta de Rendimiento
3. Hacer clic en el botón de Archivos del sistema
4. Hacer clic en la opción Resolver problemas
5. Marcar la opción "Deshabilitar Sistema de restauración"
6. Hacer clic en el botón aplicar
7. Hacer clic en el botón Cerrar
8. Hacer clic en el botón Cerrar, nuevamente
9. El sistema indicará que se debe reiniciar el PC. Debe presionar "Aceptar"
Nota: En este paso, la utilidad de restauración estará habilitada.
10. Reiniciar el PC en "modo a prueba de fallos"
11. Ejecutar una revisión con VirusScan para detectar todos los archivos infectados, o localizar los archivos en c:\Directorio_respaldo y eliminarlos.
12. Después de remover los archivos indicados, reiniciar el PC normalmente.
Nota: Al habilitar nuevamente la utilidad de Restauración, seguir los pasos 1-9 y en el paso 5 desmarcar la opción "Habilitar el sistema de restauración". Los archivos infectados están eliminados y el sistema de restauración esta otra vez activo.
Ademas te informo que después de realizar todo esto te puedes bajar de Panda un ejecutable que ayuda a su desinfección.
http://updates.pandasoftware.com/pqremove/pqremove.com
Espero que esto te sirva de algo.
Je je, este virus parece que ha hecho estragos. De todas formas no borra ningún dato del HD ;-)
Fecha de descubrimiento: 17/07/2001
Fecha de ingreso: memmoch 18/07/2001
Origen: Desconocido
Tamaño: 137,216 bytes
Tipo: Virus
Subtipo: Email
Variantes: Ninguna
Características del virus
Para la Detección de W32/sirCam@MM, se deben agregar las extensiones LNK y PIF en la lista de extensiones o debe escoger la opción Scan ALL Files ( o revisar todos los archivos, en español).
Este virus de mail masivo intenta enviarse a si mismo a todos los usuarios que se encuentren en la libreta de direcciones de Windows, y en direcciones de correo encontradas en archivos del caché.
El mail que se recibe contiene el siguiente mensaje (en español):
-----------------------------------------------------------
Asunto: [nombre del archivo adjunto sin extensión]
Cuerpo del mensaje:
¿Hola cómo estas?
Te mando este archivo para que me des tu punto de vista
o Espero me puedas ayudar con el archivo que te mando
o Espero te guste este archivo que te mando
o Este es el archivo con la información que me pediste
Nos vemos pronto, gracias.
-----------------------------------------------------------
Cuando se ejecuta, se copia a si mismo al directorio C:\RECYCLED\SirC32.exe para encubrir su presencia, y crea la siguiente clave de registro para ejecutarse siempre que se cargue algún archivo .EXE.
HKCR\exefile\shell\open\command
\Default="C:\recycled\SirC32.exe" "%1" %*
Como el comportamiento de la bandeja de reciclaje está a menudo en la liste de exclusión, se deben revisar las configuraciones para asegurar que se está explorando este directorio.
Además se copia a si mismo al directorio Windows\System como SCam32.exe y crea la siguiente clave de registro para cargarse a si mismo automáticamente:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
Una lista de archivos GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PUES, y .ZIP son buscados y copiados desde el directorio Mis documentos, y son guardados en el archivo SCD.DLL en el directorio System. Las direcciones de correo son recolectadas desde la libreta de direcciones de Windows, y desde archivos temporales de Internet, para luego ser guardadas en el archivo SCD1.DLL en el directorio System.
El gusano intenta copiar los archivos que son renombrados en el archivo SCD.DLL y esta copia es adjuntada al mensaje de correo que se envía, usando una de las siguientes extensiones: BAT, .COM, .EXE, y .LNK.
El programa crea una clave de registro para almacenar sus variables (como ejecutar un contador, e información de SMTP)
HKLM\Software\Sircam
Síntomas
Presencia del archivo SCam32.exe en el directorio Windows\System
Método de infección
Este virus se envía a si mismo como un archivo ejecutable, a todos los correos de la libreta de direcciones de Windows, y correos en archivos temporales de Internet. El virus contiene su propia rutina SMTP para autoenviarse a las direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer el archivo infectado a enviar el gusano se copia al principio de alguno de los archivos listados en SCD.DLL añadiendo al final la segunda extensión. De esta forma consigue distintas apariencias según va infectando sistemas.
Instrucciones de limpieza
Para remover el virus Ud. debe seguir los siguientes pasos. Sígalos con atención y sin saltar ninguno:
1.- Bajar los siguientes archivos a su disco duro "C"
Para descargar el archivo SIRC.BAT presione ---> SIRC.BAT
Para descargar el archivo UNDO. REG presione ---> UNDO. REG
Aparecerá un cuadro de dialogo para escoger donde guardar los archivos. Haga doble clic sobre Mi PC (aparecerán sus unidades de disco duro disponibles). Haga doble clic sobre la unidad C (aparecerán las diferentes carpetas y archivos del disco C).
Presione el botón "Guardar"
2.- Inicie su equipo en modo MS-DOS
Apague y vuelva a encender su computador, presione F8 cuando aparezca el mensaje "Iniciando Windows", si no aparece el mensaje mantenga presionado F8 durante el inicio.
Se desplegará un menú con al menos 6 opciones, de las cuales Usted debe seleccionar la opción Iniciar en modo MSDOS
A continuación verá el siguiente símbolo C:\>
Escriba SIRC.BAT. Presione Enter
Luego aparecerá la siguiente pantalla:
Responda afirmativamente con ES o Y, según como aparezca
3.- Editar el archivo AUTOEXEC.BAT
Para editar el archivo autoexec.bat. siguiendo los siguientes pasos:
Escribir a continuación de donde dice C:\>
C:\>edit autoexec.bat
Aparecerá una pantalla como la que se muestra a continuación, normalmente encontrará más líneas que las que muestra este ejemplo.
De existir en una de sus líneas @ win \recycled\sirc32.exe, debe ser eliminada la frase completamente, para ello utilice la tecla Supr (o Del) para borrar todos los caracteres de esa línea. Si la línea está repetida varias veces, elimine todas ellas.
Una vez eliminadas todas las líneas con ese texto, debe guardar el archivo, para ello realice lo siguiente: escoja Archivo luego Salir y responda afirmativamente a la pregunta ¿desea guardar los cambios?.
4.- Ejecutando Sirc.bat desde Windows
Finalizado el paso anterior debe reiniciar el equipo
Una vez dentro de Windows abra una ventana DOS, quedará con una prompt como la siguiente
C:\Windows>
Escriba cd.. y presione Enter (aparecerá C:\>)
Escriba SIRC.BAT. Y presione Enter
A continuación se le mostrará la siguiente ventana
Responda afirmativamente, ES o Y, según como aparezca
5.- Ejecutar el Antivirus, para buscar cualquier rastro del virus que haya quedado.
Reinicie nuevamente su equipo.
Una vez iniciado Windows utilice el escaneador del Antivirus, con la opción de Revisar todos los archivos activada, para revisar todos sus discos. Su Antivirus debe estar actualizado al menos con el Dat 4148 y el motor 4.1.40.
--------------------------------------------------
Procedimiento de limpieza para Windows NT 4.0 y Windows 2000
Debe realizar los siguientes pasos, para remover el virus:
Desconectar el equipo infectado de la red
Windows de tener habilitada la propiedad de mostrar todos los archivos Para el caso de que el Sistema Operativo esté en inglés, se debe cambiar en:
Exploring -> option -> view -> option -> show all
Si el sistema operativo está en español,
Explorador -> ver -> opciones -> mostrar todos los archivos
Se deben eliminar los archivos temporales de Internet, cookies y temporales contenidos en la papelera(s) de reciclaje.
Copiar el archivo UNDO. REG, que se descarga desde aquí.
Antes de reiniciar el equipo, se deben verificar las políticas del antivirus en las versiones 4.03 y 4.5. Se debe revisar que estén incluidas las extensiones LNK y PIF en el listado a escanear. Si no es así, se deben agregar.
Reiniciar el equipo
Ejecutar VirusScan, chequeando todos los archivos.
Reiniciar nuevamente el equipo, incorporándolo a la red.
--------------------------------------------------
Sólo para Usuarios de Windows ME
Nota: Windows ME utiliza una utilidad de Backup que respalda archivos seleccionados automáticamente en C:\directorio_respaldo. Este permite que un archivo infectado pueda ser almacenado en un archivo de respaldo, y VirusScan estará incapacitado para detectar estos archivos. Estas instrucciones explican como remover los archivos infectados en C:\Directorio_respaldo:
Deshabilitando la utilidad de Recuperación
1. Hacer clic derecho sobre el icono Mi PC en el escritorio y elegir propiedades
2. Hacer clic en la viñeta de Rendimiento
3. Hacer clic en el botón de Archivos del sistema
4. Hacer clic en la opción Resolver problemas
5. Marcar la opción "Deshabilitar Sistema de restauración"
6. Hacer clic en el botón aplicar
7. Hacer clic en el botón Cerrar
8. Hacer clic en el botón Cerrar, nuevamente
9. El sistema indicará que se debe reiniciar el PC. Debe presionar "Aceptar"
Nota: En este paso, la utilidad de restauración estará habilitada.
10. Reiniciar el PC en "modo a prueba de fallos"
11. Ejecutar una revisión con VirusScan para detectar todos los archivos infectados, o localizar los archivos en c:\Directorio_respaldo y eliminarlos.
12. Después de remover los archivos indicados, reiniciar el PC normalmente.
Nota: Al habilitar nuevamente la utilidad de Restauración, seguir los pasos 1-9 y en el paso 5 desmarcar la opción "Habilitar el sistema de restauración". Los archivos infectados están eliminados y el sistema de restauración esta otra vez activo.
Ademas te informo que después de realizar todo esto te puedes bajar de Panda un ejecutable que ayuda a su desinfección.
http://updates.pandasoftware.com/pqremove/pqremove.com
Espero que esto te sirva de algo.
Je je, este virus parece que ha hecho estragos. De todas formas no borra ningún dato del HD ;-)
