jodidísimo con un virus Win32/Nuqel.E (resuelto)

eldraku · Enero 29, 2011, 03:58:05 PM

resulta que me entró este virus (puto avast de mierda, nunca me detecta nada) aquí hablan de él:
http://www.fasterpccleanclean.com/remove-win32-nuqel-e

pero resulta que el cabrón del virus
-no me deja ejecutar ningún antimalware de los que tengo instalados
-ni me deja instalar nuevos antimalwares
-ni tampoco me deja abrir el cmd
-ni usar ctrl+alt+supr
-incluso tampoco me deja arrancar el PC en modo seguro

total, que no me deja hacer nada el hijoputa, ¿alguien tiene alguna idea?

[CptRenko] · Enero 29, 2011, 04:04:41 PM

Yo me pegue un virus que actuaba bastante semejante (El famoso virus Bagle no recuerdo cual variante especificamente, pero era bastante cabron y me bloqueo completamente al NOD32, modo seguro, etc..), sin embargo, la clave es poder acceder al modo seguro y para eso hay un parche para arreglarlo :

http://forum.hijackthis.de/attachment.php?attachmentid=2272&d=1187631899

Descarga eso, ejecuta el .reg y ya podras volver a ejecutar modo seguro, el virus cambia algunas variables del modo seguro, que evita la ejecucion de este, el .reg lo que hace es poner esos valores por default, eso si, seguramente con cada ejecucion de windows, el virus "cambia" estos valores, asi que si reinicias el pc y no logras ejecutar modo seguro, ejecuta el .reg de nuevo y reinicia.

Una vez que estes en modo seguro, vas a poder instalar antivirus, antimalwares y todo eso, en particualr yo siempre instalo kaspersky y que me revise todo, siempre me ha salvado xD.

Otra cosa, es que yo ejecute msconfig y puse que cargara inicio con diagnostico, eso me permitio iniciar windows "normalmente", para eliminar algunas cosas, y poder ejecutar programas que no me permitia correr en modo seguro (Ya que pasado unas horas, el virus NO me permitio cargar windows).

Tambien, vacia los archivos temporales!, que yo no sabia donde coño se "regeneraba" el virus, una vez que lo borraba, y lo "principal" que hacia que se regeneraba, se encontraba en esa puta carpeta.

Salu2!

eldraku · Enero 29, 2011, 04:48:47 PM

muchísimas gracias!

aunque.el puto virus no me deja arrancar el .reg

[CptRenko] · Enero 29, 2011, 04:49:50 PM

De nada

.

¿Puedes entrar al msconfig?, si es asi podrias intentar poner inicio con diagnostico, y ver si puedes ejecutar el .reg.

Otra cosa, ¿Que sale cuando intentas ejecutar el .reg?, si te sale el bloc de notas, asocialo con regedit.exe, o abrelo con regedit.exe

Salu2!

eldraku · Enero 29, 2011, 05:33:25 PM

por cada cosa que intento ejecutar me aparece una ventatnita como esta, que evidentemente es de un antivirus falso:

es por ello por lo que no me deja ejecutar el regedit... sólo me deja navegar por internet,, y supongo que me deja para que le pueda pagar dinero por un antivirus falso que me ofrece...

creo que mañana o pasado reinstalaré windows (espero que el muy cabrón me deje arrancar desde CD)

[CptRenko] · Enero 29, 2011, 05:49:07 PM

http://www.myantispyware.com/2010/05/29/remove-application-cannot-be-executed-security-warning/

Me he encontrado con eso, asi deberias poder eliminar el falso aviso.

Basicamente engañar al virus, bajar el hijackthis.exe y guardarlo como iexplore.exe, luego una vez ejecutado el hijackthis, buscas las lineas que salen ahi (si no sale, podrias pegar el log del hijackthis aqui y se vera donde esta lo malo), y deberia desaparecer ese mensaje, asi que ahi se podria activar el modo seguro y hacer el resto de eliminar esa mierda de malware xD.

CitarDoubleclick on the iexplore.exe to run HijackThis. HijackThis main menu opens. Click "Do a system scan only" button. Look for lines that looks like:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
O4 – HKLM\..\Run: [sjwerkje] C:\Documents and Settings\user\Local Settings\Application Data\esdasd\pweqwetssd.exe
O4 – HKCU\..\Run: [blweklqw] C:\Documents and Settings\user\Local Settings\Application Data\rweqwe\bdasdastssd.exe

Note: list of infected items may be different, but all of them have "sysguard.exe" or "ftav.exe" or "tssd.exe"string in a right side and "O4″ in a left side.

Place a checkmark against each of them. Once you have selected all entries, close all running programs then click once on the "fix checked" button. Close HijackThis.

Salu2!

PD : El hijackthis lo bajas de aca: http://www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe

VTM · Enero 29, 2011, 06:43:30 PM

lo unico que encontre es esto:

http://www.enciclopediavirus.com/virus/vervirus.php?id=4231

entre los aliases se llama nuqel.r no encontre la variante E, sin embargo capaz haga lo mismo que el que tienes y quizas de una pista de como solucionar el problema.

NIGHTMARE! · Enero 30, 2011, 02:44:55 PM

Lo único que encontré fueron la paginas que ya pusieron los muchachos anteriormente.

Pero ingresando a Symantec encontré alguna información que te puede servir.

Basicamente es casi los mismo que la pagina que pones el Draku, pero Actualizada: January 23, 2010 1:13:48 AM, y con recomendaciones de algunas pequeñas aplicaciones, y con pasos para borrarlo del backup del registro..(te recomiendo que leas la informacion de todos los links que aparecen en la seccion remover)

Informacion tecnica: http://www.symantec.com/security_response/writeup.jsp?docid=2009-012310-1626-99&tabid=2

Remover: http://www.symantec.com/security_response/writeup.jsp?docid=2009-012310-1626-99&tabid=3

Espero te sirva, ya que aparte de lo que se posteo antes no he logrado encontrar nada mas.

Saludos

eldraku · Enero 30, 2011, 04:47:15 PM

¡muchísimas gracias a los tres!

al final pude arreglarlo, no supe usar el hijack, pero el truco de renombrar a iexplorer.exe me sirvió para poder ejecutar programas como Tune up para limpiar el registro y Antimalware y spybot para eliminar virus. Ahora no queda ni rastro del maldito troyano

¡os debo una!

[CptRenko] · Enero 30, 2011, 05:10:25 PM

De nada, que bueno que hayas podido borrar el dichoso virus demierda

Salu2!