Como elimino el virus wyx en win200
Hola espero me puedas ayudar, hay alguna manera de eliminar de forma manual el virus wyx de una maquina que tiene win2000 o existe alguna herramienta para eliminarlo
1 Respuesta
Respuesta de chalan2004
1
Primero dejame decir que se trata de un sencillo virus del sector de booteo, cuya primera versión fue descubierta en noviembre de 1999. A la fecha existen por lo menos tres variantes del mismo.
Infecta sectores de booteo del disco duro y de los disquetes además del Master Boot Record.
La forma en que un virus de este tipo podría infectarnos, sería el dejar un disquete infectado en la unidad A:, al mismo tiempo que la secuencia de inicio de nuestro PC sea A: -> C: o Floppy -> IDE0 por ejemplo (ver "VSA #548 "Guía de supervivencia: Consejos para una computación segura" http://www.vsantivirus.com/guia-de-supervivencia.htm).
Si un disquete infectado queda en la unidad A: e iniciamos el PC con la secuencia incorrecta (A: -> C:, etc.), el virus mostrará el clásico mensaje "Non-system disk or disk error", cuando ya ha infectado a nuestro disco duro.
En principio, puede eliminarse con un FDISK /MBR desde un disquete de inicio limpio.
El virus, una vez activo, permanece residente en memoria, encriptado.
Su código ocupa dos sectores de disco (la primera versión), y estando en memoria, primero se desencripta, luego infecta el Master Boot Record (MBR) del disco duro, el sector de booteo de la unidad C:\, y la de los disquetes.
El MBR se infecta al iniciarse con un disquete infectado. Para infectar otras unidades, el virus se engancha a la función INT 8 (timer), y en intervalos regulares revisa si existen otras unidades de disco en uso, dependiendo de lo cuál infectará disquetes en A:, B: o sector de booteo de C:.
Infección desde disquete
Al ejecutarse el boot del disquete, el virus compara la dirección de segmento utilizada por INT 8. Si el valor del segmento es menor de 0xC000 asume que él mismo ya está residente y salta directamente a su propio código en memoria. En cualquier otro caso, guarda la dirección original de INT 8 (el reloj del sistema), y decrementa la cantidad de memoria básica para el DOS (640 Kb) en 2 Kb.
Luego, mueve su código al tope de la memoria asignada (638 Kb) y transfiere el control a esa dirección. Una vez allí, carga el resto de su código almacenado en sectores al final del directorio raíz del disquete infectado, e infecta el MBR del disco duro.
Una vez infectado éste, carga el sector original del disquete original y le devuelve el control.
Al estar enganchado a INT 8, el virus es llamado 18.7 veces por segundo. De ese modo controla continuamente cada vez que se accede a una unidad de disco y la infecta.
Infección del Master Boot Record (MBR)
Cuando infecta el sector del MBR, el virus deshabilita la protección antivirus del BIOS, modificando la memoria CMOS.
El MBR original, el sector de booteo de la unidad C: y el segundo sector usado por el virus, son guardados en los últimos sectores de la primera pista de la unidad de disco duro (una pista reservada).
El sector original de booteo de los disquetes, es guardado al final de los sectores del directorio raíz.
Con cada booteo subsecuente, el virus se cargará en memoria e intentará infectar otros disquetes. Por otra parte la técnica de infección del disco duro no es común, ya que se infectan ambas áreas del sistema de un disco duro simultáneamente.
El virus no se manifiesta a si mismo de ninguna manera, aunque contiene en su código el siguiente texto:
31/03/98 WYX
LA variante WYX. B también es conocida como Eek.B, Preboot o POLYBOOT-B, y ocupa 5 sectores de disco.
WYX. B es un virus residente en memoria, encriptado, que también infecta el Master Boot Record (MBR) y el sector de booteo del DOS (del primer disco duro únicamente). Este método de infección es considerado inusual entre los virus que afectan los sectores de booteo. También puede infectar el sector de arranque de los disquetes.
El virus guarda el sector de booteo original en otro lugar, dependiendo éste del tipo de sector: DBS (Dos Boot Sector), MBR (Master Boot Record) o sector de arranque del disquete.
De cualquier modo, no es un virus destructivo.
La variante WYX.C, también polimórfica, infecta sectores de booteo de los discos duros y disquetes. Aunque tampoco posee una rutina destructiva, esta versión es capaz de destruir particiones FAT32 si se produce la infección.
WYX. C ocupa tres sectores de disco, y también reduce la memoria básica para aplicaciones DOS (640 Kb) en 2 Kb, cargándose en el tope de esa memoria (638 Kb). Luego, infecta el Master Boot Record (MBR) y el Disk Boot Sector (DBS) de la primera partición activa en el disco duro.
Debido a un error en su código, el virus sobrescribe parte de la memoria de video durante su ejecución. Esto causa un efecto visible en aplicaciones DOS (basura en la parte superior de la pantalla).
WYX. C contiene el siguiente texto:
20/01/2001 WYX
Esta versión puede afectar a Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, UNIX y Linux. No afecta sistemas Macintosh.
Métodos de limpieza
Para limpiarlo, puede usarse un antivirus como el F-PROT, ejecutándolo desde un disquete, previo inicio del PC desde un disquete LIMPIO Y PROTEGIDO, PREVIAMENTE GRABADO EN UNA MAQUINA SIN VIRUS.
También el uso del comando FDISK /MBR puede ayudar
Si esto causa problemas, existe también una utilidad de Central Command que puede bajar del sitio http://www.videosoft.net.uy/wyxfix.zip
En ese caso procedamos así:
1 - Extraemos los archivos contenidos en WYXFIX.ZIP a un disquete limpio (nuevo). Los archivos son: CWSDPMI.EXE y WYX_FIX.EXE
2 - Protegemos el disquete para que no pueda ser grabado, con la lengüeta correspondiente (abierta).
3 - Conseguimos un disquete de inicio LIMPIO, y PREVIAMENTE CREADO EN UNA PC SIN VIRUS.
4 - Protegemos ese disquete con la lengüeta correspondiente.
5 - Reiniciamos el PC, asegurándonos de bootear desde el disquete limpio (hay que asegurarse de que la configuración en el BIOS Setup del PC lo permita así, primero disquete -FLOPPY-, luego unidad C: -IDE 0-).
6 - Luego del inicio desde el disquete de arranque, introducimos el disquete con los archivos CWSDPMI.EXE y WYX_FIX.EXE
7 - Desde A:\ tecleamos:
WYX_FIX.EXE
[y Enter].
Si el Master Boot Record del sistema infectado ha sido corrompido, y la PC no inicia desde el disco C:, usamos el siguiente comando para forzar la reconstrucción y limpieza del MBR:
También desde A:, tecleamos (cuidado con el espacio antes del parámetro /F):
WYX_FIX.EXE /F
[y Enter]
Solo com comentario, las computadoras con manejadores de arranque (boot managers) o múltiples sistemas de booteo, pueden guardar información en la primera pista del disco duro. Eso podría hacer que la infección del virus dejara irreparable la información contenida en el disco.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Infecta sectores de booteo del disco duro y de los disquetes además del Master Boot Record.
La forma en que un virus de este tipo podría infectarnos, sería el dejar un disquete infectado en la unidad A:, al mismo tiempo que la secuencia de inicio de nuestro PC sea A: -> C: o Floppy -> IDE0 por ejemplo (ver "VSA #548 "Guía de supervivencia: Consejos para una computación segura" http://www.vsantivirus.com/guia-de-supervivencia.htm).
Si un disquete infectado queda en la unidad A: e iniciamos el PC con la secuencia incorrecta (A: -> C:, etc.), el virus mostrará el clásico mensaje "Non-system disk or disk error", cuando ya ha infectado a nuestro disco duro.
En principio, puede eliminarse con un FDISK /MBR desde un disquete de inicio limpio.
El virus, una vez activo, permanece residente en memoria, encriptado.
Su código ocupa dos sectores de disco (la primera versión), y estando en memoria, primero se desencripta, luego infecta el Master Boot Record (MBR) del disco duro, el sector de booteo de la unidad C:\, y la de los disquetes.
El MBR se infecta al iniciarse con un disquete infectado. Para infectar otras unidades, el virus se engancha a la función INT 8 (timer), y en intervalos regulares revisa si existen otras unidades de disco en uso, dependiendo de lo cuál infectará disquetes en A:, B: o sector de booteo de C:.
Infección desde disquete
Al ejecutarse el boot del disquete, el virus compara la dirección de segmento utilizada por INT 8. Si el valor del segmento es menor de 0xC000 asume que él mismo ya está residente y salta directamente a su propio código en memoria. En cualquier otro caso, guarda la dirección original de INT 8 (el reloj del sistema), y decrementa la cantidad de memoria básica para el DOS (640 Kb) en 2 Kb.
Luego, mueve su código al tope de la memoria asignada (638 Kb) y transfiere el control a esa dirección. Una vez allí, carga el resto de su código almacenado en sectores al final del directorio raíz del disquete infectado, e infecta el MBR del disco duro.
Una vez infectado éste, carga el sector original del disquete original y le devuelve el control.
Al estar enganchado a INT 8, el virus es llamado 18.7 veces por segundo. De ese modo controla continuamente cada vez que se accede a una unidad de disco y la infecta.
Infección del Master Boot Record (MBR)
Cuando infecta el sector del MBR, el virus deshabilita la protección antivirus del BIOS, modificando la memoria CMOS.
El MBR original, el sector de booteo de la unidad C: y el segundo sector usado por el virus, son guardados en los últimos sectores de la primera pista de la unidad de disco duro (una pista reservada).
El sector original de booteo de los disquetes, es guardado al final de los sectores del directorio raíz.
Con cada booteo subsecuente, el virus se cargará en memoria e intentará infectar otros disquetes. Por otra parte la técnica de infección del disco duro no es común, ya que se infectan ambas áreas del sistema de un disco duro simultáneamente.
El virus no se manifiesta a si mismo de ninguna manera, aunque contiene en su código el siguiente texto:
31/03/98 WYX
LA variante WYX. B también es conocida como Eek.B, Preboot o POLYBOOT-B, y ocupa 5 sectores de disco.
WYX. B es un virus residente en memoria, encriptado, que también infecta el Master Boot Record (MBR) y el sector de booteo del DOS (del primer disco duro únicamente). Este método de infección es considerado inusual entre los virus que afectan los sectores de booteo. También puede infectar el sector de arranque de los disquetes.
El virus guarda el sector de booteo original en otro lugar, dependiendo éste del tipo de sector: DBS (Dos Boot Sector), MBR (Master Boot Record) o sector de arranque del disquete.
De cualquier modo, no es un virus destructivo.
La variante WYX.C, también polimórfica, infecta sectores de booteo de los discos duros y disquetes. Aunque tampoco posee una rutina destructiva, esta versión es capaz de destruir particiones FAT32 si se produce la infección.
WYX. C ocupa tres sectores de disco, y también reduce la memoria básica para aplicaciones DOS (640 Kb) en 2 Kb, cargándose en el tope de esa memoria (638 Kb). Luego, infecta el Master Boot Record (MBR) y el Disk Boot Sector (DBS) de la primera partición activa en el disco duro.
Debido a un error en su código, el virus sobrescribe parte de la memoria de video durante su ejecución. Esto causa un efecto visible en aplicaciones DOS (basura en la parte superior de la pantalla).
WYX. C contiene el siguiente texto:
20/01/2001 WYX
Esta versión puede afectar a Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, UNIX y Linux. No afecta sistemas Macintosh.
Métodos de limpieza
Para limpiarlo, puede usarse un antivirus como el F-PROT, ejecutándolo desde un disquete, previo inicio del PC desde un disquete LIMPIO Y PROTEGIDO, PREVIAMENTE GRABADO EN UNA MAQUINA SIN VIRUS.
También el uso del comando FDISK /MBR puede ayudar
Si esto causa problemas, existe también una utilidad de Central Command que puede bajar del sitio http://www.videosoft.net.uy/wyxfix.zip
En ese caso procedamos así:
1 - Extraemos los archivos contenidos en WYXFIX.ZIP a un disquete limpio (nuevo). Los archivos son: CWSDPMI.EXE y WYX_FIX.EXE
2 - Protegemos el disquete para que no pueda ser grabado, con la lengüeta correspondiente (abierta).
3 - Conseguimos un disquete de inicio LIMPIO, y PREVIAMENTE CREADO EN UNA PC SIN VIRUS.
4 - Protegemos ese disquete con la lengüeta correspondiente.
5 - Reiniciamos el PC, asegurándonos de bootear desde el disquete limpio (hay que asegurarse de que la configuración en el BIOS Setup del PC lo permita así, primero disquete -FLOPPY-, luego unidad C: -IDE 0-).
6 - Luego del inicio desde el disquete de arranque, introducimos el disquete con los archivos CWSDPMI.EXE y WYX_FIX.EXE
7 - Desde A:\ tecleamos:
WYX_FIX.EXE
[y Enter].
Si el Master Boot Record del sistema infectado ha sido corrompido, y la PC no inicia desde el disco C:, usamos el siguiente comando para forzar la reconstrucción y limpieza del MBR:
También desde A:, tecleamos (cuidado con el espacio antes del parámetro /F):
WYX_FIX.EXE /F
[y Enter]
Solo com comentario, las computadoras con manejadores de arranque (boot managers) o múltiples sistemas de booteo, pueden guardar información en la primera pista del disco duro. Eso podría hacer que la infección del virus dejara irreparable la información contenida en el disco.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
