Registro Win NT atacado por virus W32/Darby
Urgente...
Un equipo con Windows NT Server 4.0 infectado con el virus W32/Darby.worm, se vacunó con el Norton y borró 8 archivos infectados. Hasta aquí todo bien. Pero al reiniciar, cuando entró a Windows empezó a presentar mensajes que no encuentra el archivo REGRUNDLARP. PIF, este fue uno de los archivos infectados que borró el antivirus. Lo mismo cuando se trata de ejecutar cualquier archivo ".exe". No deja ejecutar el regedit.exe, explorer.exe, notepad, word... Es decir, el equipo entra a Windows pero no deja hacer nada, para todo pide el archivo ".pif".
Mil gracias por lo que me puedas ayudar, la máquina no la quieren formatear ni reinstalar el sistema por que tiene un software muy delicado e importante.
Un equipo con Windows NT Server 4.0 infectado con el virus W32/Darby.worm, se vacunó con el Norton y borró 8 archivos infectados. Hasta aquí todo bien. Pero al reiniciar, cuando entró a Windows empezó a presentar mensajes que no encuentra el archivo REGRUNDLARP. PIF, este fue uno de los archivos infectados que borró el antivirus. Lo mismo cuando se trata de ejecutar cualquier archivo ".exe". No deja ejecutar el regedit.exe, explorer.exe, notepad, word... Es decir, el equipo entra a Windows pero no deja hacer nada, para todo pide el archivo ".pif".
Mil gracias por lo que me puedas ayudar, la máquina no la quieren formatear ni reinstalar el sistema por que tiene un software muy delicado e importante.
1 respuesta
Respuesta de alino
1
He estado mirando acerca de darby y tiene pinta de ser bastante chungo.
Encuentro raro que el norton te los eliminara directamente, yo te recomiendo que vayas a la página de pandasoftware. Es y mires en la enciclopedia de virus el darby (mira exactamente que version fue la que te ataco).
Una vez echo esto, repasa las acciones para eliminarlo, y intentalo, aunque seguramente no podrás (por que te pide entrar en el registro), aunque puede ser que haciendo los cambios en el autoexec.bat, win.ini, etc. te permita entrar en el registro.
Llegados a este punto, yo buscaría algún tipo de software que permitiera recuperar archivos borrados (file recovery, pc inspector, o algo así) y recuperar el archivo pif, a ver si así puedes desinstalarlo como dice en pandasoftware.
Otra opción, aunque no se si winnt la tiene, es que en win2000 server cuando instalas, te permite la opción de recuperar (esto te copia los archivos de funcionamiento de windows desde el cd de instalación). Si sabes realmente si la tiene, te recomendaría esta ya que no te modifica ni configuración ni programas que tengas instalados.
Es obvio que algo ha fallado, así que plantea la opción de invertir un poco en seguridad informática para evitar estos problemas (ya se que es fácil decirlo, a mi me pasa lo mismo en el trabajo).
Encuentro raro que el norton te los eliminara directamente, yo te recomiendo que vayas a la página de pandasoftware. Es y mires en la enciclopedia de virus el darby (mira exactamente que version fue la que te ataco).
Una vez echo esto, repasa las acciones para eliminarlo, y intentalo, aunque seguramente no podrás (por que te pide entrar en el registro), aunque puede ser que haciendo los cambios en el autoexec.bat, win.ini, etc. te permita entrar en el registro.
Llegados a este punto, yo buscaría algún tipo de software que permitiera recuperar archivos borrados (file recovery, pc inspector, o algo así) y recuperar el archivo pif, a ver si así puedes desinstalarlo como dice en pandasoftware.
Otra opción, aunque no se si winnt la tiene, es que en win2000 server cuando instalas, te permite la opción de recuperar (esto te copia los archivos de funcionamiento de windows desde el cd de instalación). Si sabes realmente si la tiene, te recomendaría esta ya que no te modifica ni configuración ni programas que tengas instalados.
Es obvio que algo ha fallado, así que plantea la opción de invertir un poco en seguridad informática para evitar estos problemas (ya se que es fácil decirlo, a mi me pasa lo mismo en el trabajo).
Gracias Alino, me sirvió mucho tu orientación.
El virus exactamente fue W32.HLLW.Darby. Y en la página de Symantec dice, adicionalmente a lo que tu me dices de editar los archivos del sistema, que para poder editar el registro hay que hacer lo siguiente:
Before repairing the registry, first re-enable the registry tools.
a. Click Start, then Run. (The Run dialog box appears.)
b. Type: notepad
and click OK. (Notepad opens a text file.)
c. Type, or copy and paste, the following text into the text file:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
d. Sabe the file as:
repair.reg
in the root folder (usually C:\).
e. Click Start, then Run.
f. Type:
regedit -s \repair.reg
and click OK.
g. Click Start, and then click Run.
h. Type regedit
Then click OK. (The Registry Editor opens.)
i. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
j. In the right pane, delete the value:
"MicroLoad"="%System%\<random filename>"
k. Navigate to the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings
l. In the right pane, delete the value:
"Timeout"="0x0"
m. Navigate to the key:
HKEY_LOCAL_MACHINE\Software\GEDZAC LABS
and delete it.
n. Exit the Registry Editor
La idea es crear un archivo ".reg" para que me desbloquee el registro y reversar lo que modificó el virus.
Mil Gracias
El virus exactamente fue W32.HLLW.Darby. Y en la página de Symantec dice, adicionalmente a lo que tu me dices de editar los archivos del sistema, que para poder editar el registro hay que hacer lo siguiente:
Before repairing the registry, first re-enable the registry tools.
a. Click Start, then Run. (The Run dialog box appears.)
b. Type: notepad
and click OK. (Notepad opens a text file.)
c. Type, or copy and paste, the following text into the text file:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
d. Sabe the file as:
repair.reg
in the root folder (usually C:\).
e. Click Start, then Run.
f. Type:
regedit -s \repair.reg
and click OK.
g. Click Start, and then click Run.
h. Type regedit
Then click OK. (The Registry Editor opens.)
i. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
j. In the right pane, delete the value:
"MicroLoad"="%System%\<random filename>"
k. Navigate to the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings
l. In the right pane, delete the value:
"Timeout"="0x0"
m. Navigate to the key:
HKEY_LOCAL_MACHINE\Software\GEDZAC LABS
and delete it.
n. Exit the Registry Editor
La idea es crear un archivo ".reg" para que me desbloquee el registro y reversar lo que modificó el virus.
Mil Gracias
