sysinfomrg.exe

[rbejaranoe]

Buenos días:
Antesdeayer recibí un mensaje instantáneo por el msm de un amigo que no estaba ni siquiera conectado,la cosa es que parecía una foto típico archivo DIMM1479.jpg con la peculiaridad de que tenía un .exe al final.
Con las prisas por ver las fotos lo ejecuté.
Me dí cuenta y analicé todo el ordenador (tengo el karspesky original con sus licencias)no dándome ningún resultado.
El problema viene porque desde entonces cada vez que lo enciendo el ordenador me pide que ejecute un archivo llamado sysinfomrg.exe,que cancelo.
Buscándolo se encuentra en Windows prefectch.
¿lo elimino?¿qué me recomendais?.Lo he buscado en internet pero sólo lo encuentro en alemán como virus troyano.
Gracias

 

[El Pollo Diablo]

Prueba (si tienes XP):

INICIO> Todos los programas > Accesorios > Herramientas del Sistema >Restaurar sistema

Selecciona una fecha anterior a antesdeayer y restaura.

Y luego nos cuentas ^^

 

[rbejaranoe]

Preguntando me han dicho que es este bichito.

Es el caso del espécimen que nos ocupa, a través de Windows Live Messenger es capaz de enviarse a todos nuestros contactos.
Una vez se infecta el PC con el virus IM-Worm.Win32.VB.az (así es como han denominado a este virus) se encargará de enviar a todos tus contactos conectados un mensaje de texto y un archivo comprimido (.zip).
Como gancho emplea alguna de estas frases, en español, lo que ha hecho que mucha gente pique:

• hola
• espero que te gusten las fotos
• me las hice ayer
• ey mira te mando unas fotos que me hice ayer

El archivo comprimido de nombre fotos_posse.zip contiene en su interior una supuesta foto. El nombre del archivo es yo_posse_007.jpg.exe
El engaño viene porque la mayoría de la gente no muestra las extensiones para los archivos conocidos en Windows, por tanto solo veremos algo como yo_posse_007.jpg con el mismo icono que utiliza Windows XP para las fotografías.
En principio el virus no hace nada más que enviarse a nuestros contactos del messenger, aún así no es un compañero de viaje que debamos mantener en el equipo.
Podemos eliminarlo empleando un antivirus actualizado o borrando los procesos que registra el virus para que se inicien con el sistema.
Estos procesos suelen tener como nombre “yo_posse_007.jpg.exe”, “SP2.EXE” o “Proyecto 1″, podéis determinar cual tenéis en vuestro sistema usando el gestor de procesos de Windows (CTRL-ALT-SUP)
Recientemente a salido este virus para msn cuya función es simple, infectar contactos para que estos infecten a su vez a otros contactos, inutilizando el servicio de mensajería y, generalmente en uso del PC de forma general.


Información sobre el virus :

Nombre: W32/Rayl.A - Wode.jpg (InfoSpyware)
Tipo: Gusano de Internet (MSN)
Alias: AdClicker-BD, Exploit.HTML.Mht, TrojanDownloader.Win32.Delf.ed, W32.Snone.A,
W32/Rayl.A.worm, Win32/Elomon.worm.48644,
Worm.MSN.Elon.a
Gracias a Roger-M

Desinfección :

Paso 1.
Este virus, al igual que muchos otros desactiva el administrador de tareas, para activarlo descargen y apliquen este programa :

PaSS: LiRgOx
RapidShare: Easy Filehosting

Después ya pueden abrir normalmente el Administrador de tareas (Cntrl+Alt+Supr), y buscar en la pestaña de procesos las acciones que ,según su descripción , pertenezcan a MSN, messenger, etc.
Una vez localizadas clickea botón derecho y terminar proceso.

Paso 2.
Inicio > Ejecutar > Regedit (Registro de Windows)
Dentro del registro :
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run,
dentro del directorio buscar y eliminar los archivos que desconozcas o te parezcan estraños (En caso de duda no aga nada), sí fijarse en el archivo que contenga sp2 en su nombre, puede ser XXXsp2, XXX(sp2), sp2XXX... y eliminarlo inmediatamente(XXX = cualquier cosa,debido a que en este directorio no tendría por que haber nada respecto al Service Pack 2 ,sp2). Y ya está, tu msn queda libre de virus y perfectamente en funcionamiento.

 

[rbejaranoe]

Al final mejor lo de restaurar.Gracias

 

[SPTR]

Sí, pero restaurar puede que no te lo quite de system32, donde estará.

SIEMPRE HAY QUE FIJARSE EN LAS EXTENSIONES, SIEMPRE.

Hay que configurar Windows para que no oculte las extensiones conocidas, que viene activado por defecto por la p*ta manía de Microsoft de hacer las mierdas para "tontos" (no va por tí) y que luego pasa lo que pasa.

Configura Win para mostrar archivos ocultos pero también los de sistema (que es otra casilla). Haz una búsqueda avanzada, no la mierda del asistente de "tontos" by Microsoft que sale por defecto.

Es decir, abres C:, Windows, pulsas F3 y le das a modo buscador avanzado, por ahí en las opciones estará.

Ahí ya en nombre de fichero pones el principio, no todo entero, si te cuelas puedes no darte cuenta y no salir. Abajo expande opciones avanzadas o algo así o mostrar más opciones y dale a buscar en ocultos también. Cepíllatelo.

 

[rbejaranoe]

Sí, pero restaurar puede que no te lo quite de system32, donde estará.

SIEMPRE HAY QUE FIJARSE EN LAS EXTENSIONES, SIEMPRE.

Hay que configurar Windows para que no oculte las extensiones conocidas, que viene activado por defecto por la p*ta manía de Microsoft de hacer las mierdas para "tontos" (no va por tí) y que luego pasa lo que pasa.

Configura Win para mostrar archivos ocultos pero también los de sistema (que es otra casilla). Haz una búsqueda avanzada, no la mierda del asistente de "tontos" by Microsoft que sale por defecto.

Es decir, abres C:, Windows, pulsas F3 y le das a modo buscador avanzado, por ahí en las opciones estará.

Ahí ya en nombre de fichero pones el principio, no todo entero, si te cuelas puedes no darte cuenta y no salir. Abajo expande opciones avanzadas o algo así o mostrar más opciones y dale a buscar en ocultos también. Cepíllatelo.

Ok,
sólo me aparece en C:\windows\prefetch
¿me lo cepillo?

 

[SPTR]

Sí, aunque el prefecth es sólo cacheo de datos para arrancar más rápido.

Ejecuta un CMD.

Escribe en la consola cada comando y después ENTER:

CD \
DIR sysinfomr*.* /S /A:h
DIR sysinfomr*.* /S /A:s
DIR sysinfomr*.* /S

Eso hará una búsqueda en todo el disco duro para encontrar ese fichero, oculto, con atributo de sistema, o normal.

Dependiendo, puede estar dentro de tu perfil de usuario o en system32.

Si te encuentrael fichero con alguno de esos comandos en alguna carpeta y se llama como pusiste en el título de este post, entonces es que está oculto y no hiciste bien la búsqueda con Windows. (No muestra por defecto algunos muy ocultos).

Mira a ver. Si te lo encuentra me lo dices y te digo como borrarlo por consola.

 

[rbejaranoe]

Para el primer dir me dice:
el volumen de la unidad C no tiene etiqueta.
el nº del volumen es:94D5-E700
No se encuentra el archivo
Para el 2º DIR me dice:
Lo mismo.
Para el 3º DIR la cosa cambia:
Directorio de C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\CONTENT.IE5\XVFYVJLV
6/3/09 la hora 96043 sysinfomrg-exe-406891[1].htm

Así que imagino que sólo lo tengo ahí ¿me voy a ese directorio y lo borro?
No lo encuentro,me pierdo a partir de configuracion local que evidentemente no está.

 

[Oldbyte]

Buenos días:
Antesdeayer recibí un mensaje instantáneo por el msm de un amigo que no estaba ni siquiera conectado,la cosa es que parecía una foto típico archivo DIMM1479.jpg con la peculiaridad de que tenía un .exe al final.
Con las prisas por ver las fotos lo ejecuté.
Me dí cuenta y analicé todo el ordenador (tengo el karspesky original con sus licencias)no dándome ningún resultado.
El problema viene porque desde entonces cada vez que lo enciendo el ordenador me pide que ejecute un archivo llamado sysinfomrg.exe,que cancelo.
Buscándolo se encuentra en Windows prefectch.
¿lo elimino?¿qué me recomendais?.Lo he buscado en internet pero sólo lo encuentro en alemán como virus troyano.
Gracias

Yo que tú lo quitaría, porque mi cuñada me dijo algo de esto y lo que hacen es copiarte todos los contactos y pueden hasta formatearte el ordenador, según me dijo.

 

[Salinger]

Intenta pasarle el MSNCleaner. Suerte.

 

[rbejaranoe]

Le he pasado el c-cleaner pero ahí sigue el tío.

 

[rbejaranoe]

Le he pasado el msn cleaner y me ha limpiado dos bichitospero cuando le doy en la consola
C:\dir sysinfomr*.*/S
me sigue aparecienciendo el archivo que he comentado antes.

 

[SPTR]

Antes de intentar borrarlo con comando, ve a panel de control, opciones de internet, y ahí (o botón derecho encima de la E de internet explorer, propiedades) y eliminas los archivos temporales de internet y demás. Prueba de nuevo el DIR.

Si sale lo borras con:

DEL "C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\CONTENT.IE5\XVFYVJLV\sysinfomr*.*"

(Imprescindibles las comillas para rutas con espacios).

De todos modos, si configuras bien CCLEANER en opciones avanzadas para cepillarse todos los temporales (quitando dos casillas que están marcadas) y en la ventana inicial de software o programas, configuras todo para que de Internet Explorer se cepille todo, todo, debería volar sin comandos.

 

[rbejaranoe]

Antes de intentar borrarlo con comando, ve a panel de control, opciones de internet, y ahí (o botón derecho encima de la E de internet explorer, propiedades) y eliminas los archivos temporales de internet y demás. Prueba de nuevo el DIR.

Si sale lo borras con:

DEL "C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\CONTENT.IE5\XVFYVJLV\sysinfomr*.*"

(Imprescindibles las comillas para rutas con espacios).

De todos modos, si configuras bien CCLEANER en opciones avanzadas para cepillarse todos los temporales (quitando dos casillas que están marcadas) y en la ventana inicial de software o programas, configuras todo para que de Internet Explorer se cepille todo, todo, debería volar sin comandos.

No se borra y con el DEL me dice que no encuentra la ruta especificada,he comprobado comillas,espacios,barras etc pero no doy con la tecla,ahora me sale en el DIR otro número de IE5
He borrado todos los temporales en eliminar todo y sigue saliendo.
Me ha vencido.

 

[rbejaranoe]

He puesto:
DEL "C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\Content.IE5\S4X6QQ8Z\sysinfomrg*.*"

 

[SPTR]

Hola.

Entra en la carpeta "C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\CONTENT.IE5"

Poniendo esa dirección en el explorador de Windows y dándole a ENTER.

Una vez allí, cepíllate todas las carpetas que haya. Son los temporales de Internet.

 

[rbejaranoe]

Hola.

Entra en la carpeta "C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\CONTENT.IE5"

Poniendo esa dirección en el explorador de Windows y dándole a ENTER.

Una vez allí, cepíllate todas las carpetas que haya. Son los temporales de Internet.

Te estoy dando el coñaz* pero esque eso lo intenté pero no encuentro la carpeta de configuracion local,¿está oculta?,me quedo en cuarto de orto.

 

[SPTR]

Vamos a ver, si entras como te digo, poniendo la ruta en el explorer, en la barra direcciones, no hace falta que veas nada oculto ni toques esa otra configuración.

Se llama copiar y pegar dirección con las comillas.

Es la manera más fácil y rápida.

Si no ves la barra de direcciones mira de mostrarla en menú VER o por ahí.

 

[rbejaranoe]

Me dice:
oops! this link appears broken.
Suggestion:
Search on google.

¿cómo que está estropeado el link?
Dios mío vaya tollo,creí que sabía algo.

 

[Tigui]

Pues prueba:

Inicio
Ejecutar
Y ahi pegas C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\

Y te lleva a la carpeta directamente

 

[SPTR]

Pues prueba:

Inicio
Ejecutar
Y ahi pegas C:\Documentos and Settings\CUARTO DE ORTO\Configuracion Local\archivos temporales de internet\

Y te lleva a la carpeta directamente

Sí, pero con las comillas.

 

[Tigui]

A mi me va sin las comillas 8-[

 

[rbejaranoe]

Lo siento,claudico me dice que la ruta especificada no se encuentra,de todas formas imagino que tampoco es demasiado importante no?

 

[SPTR]

A mi me va sin las comillas 8-[

Sí, es cierto, sin las comillas tiene que funcionar en explorer.

 

[SPTR]

Lo siento,claudico me dice que la ruta especificada no se encuentra,de todas formas imagino que tampoco es demasiado importante no?

Es que la ruta que tienes pone DOCUMENTOS y es DOCUMENTS. Revísala bien.

Copiala del DIR de la consola por ejemplo (pero si te hace la ruta en dos líneas, tendrás que pegarla en un notepad, quitar la separación de línea y copiarla de nuevo y pegarla en el explorer.

O en opciones de carpeta de mi pc, en herramientas, activas las casillas para ver ficheros ocultos y de sistema y vas navegando hasta llegar.

 

[agalmen]

Y no será más fácil todo esto con CCleaner?

 

[rbejaranoe]

Es que la ruta que tienes pone DOCUMENTOS y es DOCUMENTS. Revísala bien.

Copiala del DIR de la consola por ejemplo (pero si te hace la ruta en dos líneas, tendrás que pegarla en un notepad, quitar la separación de línea y copiarla de nuevo y pegarla en el explorer.

O en opciones de carpeta de mi pc, en herramientas, activas las casillas para ver ficheros ocultos y de sistema y vas navegando hasta llegar.

Cuando llegue lo volveré a intentar.
agalmen el ccleaner se lo he pasado por activa y pasiva ,poniendo y quitando las diferentes pestañas pero nanai de la china.
Gracias a todos.

 

[Fireblade]

Desde que leo en este subforo creo que me estoy volviendo un ciber-hipocondriaco 8-[

Yo he recivido un mail de un amigo con el titulo "espero que te gusten las fotos", amigo que poco despues me contó que tenia el ordenador infectado

Desde hace un tiempo vengo notando que esto va un poco espeso, al escribir tengo que corregir ochenta veces el texto como si me saltase las letas y me bombardean con cuarenta vetanas de publicidad mientras navego (me temo que estoy j*dido, verdad?)

Me voy a leer deenidamente este hilo a ver si me aclaro...

 

[SPTR]

Desde que leo en este subforo creo que me estoy volviendo un ciber-hipocondriaco 8-[

Yo he recivido un mail de un amigo con el titulo "espero que te gusten las fotos", amigo que poco despues me contó que tenia el ordenador infectado

Desde hace un tiempo vengo notando que esto va un poco espeso, al escribir tengo que corregir ochenta veces el texto como si me saltase las letas y me bombardean con cuarenta vetanas de publicidad mientras navego (me temo que estoy j*dido, verdad?)

Me voy a leer deenidamente este hilo a ver si me aclaro...

Fácilmente puedes tener un keylogger instalado en tu PC. Con eso pueden saber todo lo que tecleas para robarte contraseñas de bancos, correos, etc.

 

[Salinger]

Desde que leo en este subforo creo que me estoy volviendo un ciber-hipocondriaco 8-[

Yo he recivido un mail de un amigo con el titulo "espero que te gusten las fotos", amigo que poco despues me contó que tenia el ordenador infectado

Desde hace un tiempo vengo notando que esto va un poco espeso, al escribir tengo que corregir ochenta veces el texto como si me saltase las letas y me bombardean con cuarenta vetanas de publicidad mientras navego (me temo que estoy j*dido, verdad?)

Me voy a leer deenidamente este hilo a ver si me aclaro...

Yo le haria una limpiecita a eso con el CCleaner y el SuperAntiSpyware.