Re: [Sop.Tec.LinuxPPP] e: [Sop.Tec.LinuxPPP] Nuevo vírus.

To: linux en linuxppp com
Subject: Re: [Sop.Tec.LinuxPPP] e: [Sop.Tec.LinuxPPP] Nuevo vírus.
From: "Enrique A. Sanchez N." <enrique en cisa net mx>
Date: Mon, 23 Jul 2001 20:14:11 -0500
References: <Pine.LNX.4.33.0107231607520.5728-100000@pdpa.uam.mx>
Reply-to: linux en linuxppp com
Sender: owner-linux en pepe net mx

"Edgar R. Sanchez Galicia" wrote:
> 
> Auxilio!
> Que creen? Los usuarios de la red local ejecutaron el virus y ahora no
> jala ninguna aplicacion win32, no puedo editar el registro, alguna
> sugerencia? Alguien sabe como corregir esto? espero que no se molesten por
> pedirles ayuda sobre win.
> Gracias
> Edgar S.
> 
> ---------------------------------------------------------------------
> Lista de soporte de LinuxPPP
>  Reglas de la lista en http://linuxppp.com/reglas.html

Perdón para los puristas por el abuso a una lista de linux, y espero no
merecerme un ban de la lista, pero esta situación es una emergencia para
los sysadmins. Además, la cantidad de gusanos que se propagan por las
máquinas de otras personas está repercutiendo seriamente en nuestro
ancho de banda y en nuestros servidores de correo electrónico, que por
supuesto son linux. Por cierto, si alguien tiene alguna solución ya
hecha para denetener al virus desde sendmail, yo seré uno de los más
agradecidos.


Saludos
- Enrique



Eliminando el Sircam: 

En principio debera restaurar la configuracion de su sistema a traves de
los registros del
mismo.

Si usted esta conectado a una red remueva la conexion fisica a la misma,
retire el conector de
su placa de red.. 

Renombre REGEDIT.EXE a REGEDIT.COM. 
Clickee Inicio|Ejecutar, escriba Regedit y presione la tecla enter\
En la seccion izquierda, realize el siguiente camino:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServices.
En el panel derecho, busque un registro con valor Driver32.
Clickee en el y presione la tecla delete.
En la seccion izquierda, siga el siguiente camino:
HKEY_LOCAL_MACHINE\Software\SirCam.
Clickee SirCam y presione la tecla Delete(borrar).
En la seccion izquierda, siga el siguiente camino:
HKEY_CLASSES_ROOT\exefile\shell\open\command
En la seccion Izquierda, hagla click derecho en el valor de este
registro y eliga modificar.
Cambie"C:\Recycled\SirC32.exe""%1?%*" a "%1?%*". En otras palabras
remueva
"C:\Recycled\SirC32.exe".
Salga del administrador de registris y reinicie el equipo.
Remueva los rastros del Gusano\:
Vaya al directorio del sistema(usualmente: C:\Windows\system).
Borre el archivo SCAM32.EXE .
Vaya al directorio C:\Recycled .
Borre el archivo SCAM32.EXE .
Remueva la referencia al virus del AutoExec.bat
Edite el archivo AUTOEXEC.BAT.
Busque y quite el "@win \recycled\Sirc32.exe"
---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://linuxppp.com/reglas.html

Referencias:
- [Sop.Tec.LinuxPPP] e: [Sop.Tec.LinuxPPP] Nuevo vírus.
  - De: Edgar R. Sanchez Galicia

Previo por Fecha: Re: [Sop.Tec.LinuxPPP] OffTopic: HelpDesk de Sistemas desde Web
Siguiente por Fecha: Re: [Sop.Tec.LinuxPPP] Como reinstalo lilo
Previo por Hilo: [Sop.Tec.LinuxPPP] e: [Sop.Tec.LinuxPPP] Nuevo vírus.
Siguiente por Hilo: [Sop.Tec.LinuxPPP] Como desativo telnet

[Hilos de Discusión] [Fecha] [Tema] [Autor]