Tengo Virus!!ayuda Please!!!

HE PASAO EL PANDA TITANIUM Y DETECTA EL W95/CIH EN UNOS 200 ARCHIVOS!!DICE KE LOS DESINFECTA PERO NADA!!Y CON EL ANALISIS ONLINE DE PANDA TAMPOCO!!SABEIS CUAL LO KITA BIEN?NO KIERO PERDER COSAS KE TENGO EN EL DISCO DURO, Y LOS PROGRAMAS DE GRABACION ESTAN AFECTADOS,OSEA KE NO LO PUEDO SACAR.MUCHAS GRACIAS.
Nombre: W95/CIH
Tipo: Infector de ejecutables Win32
Alias: PE_CIH, CIH, Chernobyl, Win95.CIH, Win32.CIH, W95.CIH V1.2, W95.CIH V1.3, W95.CIH V1.4
Nombre comúnes: CIH, Spacefiller, Chernobyl, Tsernobyl, Tshernobyl
Fecha: 2/jun/98
Origen: Taiwan

Una de las peores características del CIH, es que ataca la BIOS de la computadora infectada, en el momento que el reloj de ésta coincide con el 26 de abril de cualquier año. Pero existen otras versiones, que actúan en otros momentos. Sin embargo, la que se activa el 26 de abril, es la que más daño a causado desde su descubrimiento.

El virus se propaga en entornos Windows 95, 98 y ME, y no afecta a Windows NT o 2000, aunque si puede propagarse en estos sistemas.

El CIH, infecta sólo archivos .EXE (PE, Portable Executable de Win32), buscando espacios vacíos en el cuerpo del archivo. Si encuentra un hueco de un tamaño suficiente, escribirá en él su código completo. Estos huecos son normales en la estructura de los archivos PE. En caso de no encontrar el espacio necesario, el virus es capaz de dividirse en varias partes, usando diferentes agujeros en el archivo, hasta completar todo el código.

Luego, modificará el cabezal del archivo, para ubicar un código de unos 184 bytes, el que incluye su rutina de arranque, la que apuntará al código principal del virus. A su vez, cambia la dirección de comienzo del archivo, para que apunte a dicha rutina.

Cuando se ejecuta un archivo o programa infectado, el virus se ejecuta primero y luego pasa el control al programa original. Cuando el virus tiene el control, lo aprovecha para replicarse en otro archivo, y así sucesivamente. Para infectar otros ejecutables, utiliza las funciones IFS (Installable File System) y API (Application Program Interface), para interceptar la apertura de los archivos.

El virus puede saltar del ring3 (la capa de software por la que se ejecutan los programas, incluidos los propios antivirus), al ring0, el nivel más cercano al procesador, y donde se ejecuta el Kernel, el corazón de Windows. Desde allí intercepta todas las llamadas al sistema para el acceso a los archivos, realizando sus propias llamadas a los puertos del Flash BIOS y para el acceso al disco, evitando así el control de Windows.

El virus intercepta solo la apertura de archivos. Cuando un .EXE es abierto por el sistema, el virus lo infecta, siempre que contenga huecos suficientes y en seguida verifica la fecha del sistema para decidir si debe activar sus rutinas destructivas.

El tamaño del código del virus, es apenas mayor a 1 Kb, y como sobrescribe su código en el cuerpo de los archivos infectados, no aumenta el tamaño de estos.

Cuando el archivo infectado se ejecuta, el virus se instala en memoria y se propaga a todos los demás programas.

El virus posee algunos errores de programación que en ocasiones, causan bloqueos de la computadora cuando se ejecutan los programas infectados.

La rutina destructiva utilizada para borrar el disco duro, sobrescribe una parte importante del disco con ceros, haciendo muy difícil su recuperación.

La memoria Flash Bios es sobrescrita con código basura, lo que impide el inicio de la computadora.

Daño causado por el virus

Sobreescribe, rellenando con ceros, los datos guardados en el disco duro. Utiliza para ello rutinas de acceso directo. La única alternativa para recuperar la información, puede ser a través de respaldos anteriores, si se disponen de estos.

Destruye tanto los datos (archivos), como el MBR (Master Boot Record) y el sector de arranque (BOOT) del sistema operativo. Prácticamente todas las variantes de este virus son capaces de borrar los primeros 2048 sectores del disco duro, lo que equivale a un mega aproximadamente. El resultado es casi similar a un formateo, y lo realiza eludiendo las protecciones antivirus del BIOS, y evitando el inicio del sistema. Como consecuencia de esto, al intentar reiniciar un sistema afectado, se despliega este mensaje:
DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER

Note que el mensaje aparece solo si la siguiente acción destructiva (sobre el BIOS), no se cumplió aún.

También intenta sobrescribir el BIOS (Basic Input/Output System) de la máquina con basura. Aunque esto ocurre solo si es un BIOS del tipo Flash (regrabable), actualmente todos los motherboards poseen este tipo de chip. Aunque algunos mothers poseen un jumper para evitar su grabación, la mayoría lo traen habilitado por defecto, y los usuarios suelen desconocer su ubicación. Si el CIH logra su objetivo, la computadora no se iniciará, hasta que se cambie la placa madre o se vuelva a programar el Flash BIOS.

Cómo el BIOS controla todo el hardware, una vez dañado no hay forma que el usuario por sus medios pueda restaurarlo, ya que no funcionará ni el teclado, ni el video, ni la disquetera.

La solución es enviar la motherboard al fabricante o a un servicio técnico especializado en la programación de EEPROMs, lo que significa costos de mano de obra y fletes que, sumados, generalmente resultan superiores al costo de una nueva placa.

Además, ya no se fabrican placas para procesadores Pentium MMX o anteriores, lo que significa el cambio de otros elementos (procesador, y memoria en muchos casos), para seguir usando la misma computadora.

El reemplazo físico del chip del BIOS tampoco es una solución que se pueda aplicar fácilmente, además de que estos chips no se consiguen en el mercado.

El KILL_CIH

La herramienta KILL_CIH de Symantec es gratuita, y está diseñada para descubrir y eliminar en forma segura todas las versiones conocidas del virus W95.CIH de la memoria, bajo Windows 95 o Windows 98. Si esta herramienta se ejecuta ANTES de que el virus haya infectado el sistema, también inoculará la memoria de su computadora previniendo que el virus W95.CIH pueda infectar su sistema, hasta el próximo reinicio del mismo.

Si usted ya se ha infectado con el virus W95.CIH, debe ejecutar el KILL_CIH, *ANTES* de intentar poner al día sus definiciones de anti-virus o de escanear su sistema con cualquier antivirus. Si usted intenta escanear con cualquier anti-virus, antes de ejecutar esta herramienta, correrá el riesgo de causar que la infección se extienda, debido a las características del W95.CIH.

KILL_CIH no descubre o quita el W95.CIH virus de los archivos, para ello deberá usar cualquier antivirus actualizado (podrá encontrar y bajar versiones de evaluación de la mayoría de ellos desde http://www.videosoft.net.uy, incluido el KILL_CIH); KILL_CIH solo desactiva el virus en memoria para que un programa anti-virus pueda desinfectar su computadora sin que inadvertidamente el virus pueda extenderse al realizar esta acción.

Consideraciones finales

Si no lo hizo, baje el KILL_CIH (Norton) y córralo en su PC. Luego ejecute al menos dos antivirus actualizados para revisar todo su PC (AVP, Dr. Web, F-Prot, etc.). Si el KILL_CIH no encontró activo el virus, esto puede descubrirlo en algún archivo. Y si lo hizo, cualquiera de estos antivirus lo eliminará de su sistema. Pero como además podría estar oculto (no haberse ejecutado aún), es buena idea aproveche para revisar todos sus discos duros, CDs, disquetes, etc. Y por supuesto, no ejecute ni instale nada nuevo sin revisarlo antes.

Y si a pesar de todo, su PC se ve atacada por el CIH, y su mother se ha salvado, tal vez su disco duro no haya corrido la misma suerte. Para intentar recuperar la información allí guardada, le recomendamos herramientas como FIX-CIH (Release #6.1 del 31/may/99), que recupera el MBR y los datos de discos afectados por el CIH en FAT32. Esta utilidad es capaz de recuperar múltiples particiones dañadas por el virus. Corra FIX-CIH desde un disquete de inicio. Recuerde luego pasar un antivirus DESDE el disquete de arranque, ya que al recuperar el disco duro, volverá al estado anterior (infectado con CIH). FIX-CIH no cura ni borra el virus CIH. FIX-CIH solo recupera discos duros borrados por el CIH. Puede bajarlo, junto con el KILL_CIH de nuestro sitio http://www.videosoft.net.uy del área "Otro software".

Más información:

El W95/CIH y el 26 de abril, ¿fecha fatídica para su PC?
El W95.CIH a fondo


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com


Mas cosas aqui:

http://www.alerta-antivirus.es/detalles/virus.php?cod_virus=345

http://search.freefind.com/find.html?query=W95%2FCIH&t=s&lang=es&mode=all&pid=r&id=8696148

Suerte

saludos
Debes hacerte con un diskette de arranque bajo MSDOS que lleve el antivirus de dicho virus, seguramente en alguna pagina de AVP, McAfee o Panda, tienen antivirus especificos para ese virus. Solo vas a poder eliminar el virus bajo msdos, no creo que halla otra forma. De cualquier forma si no consigues eliminarlo no tendras mas remedio que perder datos, ya que tendras que formatear sino quieres que se cargue algo mas aparte del disco duro...

Salu2.
Pues vaya con el bichejo, es fastidiado, tienes suerte de que aun no te haya jodido nda importante.

A mi me entro el sircam 32 pero es mas facil.

Si alguien tiene informacion del sircam, me lo podeis decir?? porque lleva como medio año dandome la lata en los 2 pcs, aunque me parece que la semana pasada me lo cargue definitivamente [ginyo]
Virus: W32/SirCam@MM
Alias
W32.Sircam.Worm@mm
W32/Sircam
W32/Sircam-A
Sircam
Backdoor.SirCam
TROJ_SIRCAM.A
SCAM.A
TROJ_SCAM.A
Win32.SirCam.137216
I-Worm.Sircam
I-Worm.Sircam.A
Worm/Sircam
Backdoor.SirCam.188
W32/SirCam.bat
W32/SirCam.dat
W32/SirCam.gen@MM
W32/SirCam@MM
W32.Sircam
I-Worm.Sircam.c
W95/Sircam.worm@mm
WORM_SIRCAM
WORM_SIRCAM.A

Características Peligrosidad: 5 - Extrema

Gusano de Internet que se envía junto a documentos hallados en la máquina infectada a todas la direcciones que encuentre en la agenda de Windows del usuario, así como a las encontradas en ficheros temporales.
Detalles

Virus escrito en Borland Delphi, con características de gusano y troyano, el cual usa técnicas parecidas al Magistr para propagarse, capaz de enviarse junto a documentos u otros archivos de la máquina infectada, a todas las direcciones de la libreta de contactos de Windows así como a otras direcciones que encuentre en ficheros temporales de Internet.

Para propagarse por medio del correo electrónico, usa sus propias rutinas SMTP y las extensiones MIME, pudiendo formatear el mensaje de forma que simule que ha sido enviado por Outlook Express5.5, aunque ni tan siquiera se tenga instalado en el sistema.

La dirección SMTP la obtiene de la máquina infectada que envió el mensaje o usando alguna de las siguientes hasta que tenga una contestación:

doubleclick.com.mx
enlace.net
goeke.net

Puede llegar en un mensaje tanto en castellano como en inglés, según sea el idioma del sistema operativo usado en la máquina que propaga al virus.

El formato de los mensajes es como sigue a continuación:

Asunto: [ Coincidente con el nombre del fichero adjunto pero sin extensión. ]
Cuerpo del mensaje: [ Es variable pero siempre contiene una de las dos líneas detalladas (en español o inglés), como principio o final del mismo:]

Español:
Principio: Hola como estas ?
Final: Nos vemos pronto, gracias.

Inglés:
Principio: Hi! How are you?
Final: See you later. Thanks

Los siguientes textos pueden ser encontrados entre ambas líneas:

Español:
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste

Inglés:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

Adjunto: [ Nombre del fichero adjunto con doble extensión. ]

La primera extensión del fichero adjunto es alguna de las siguientes:

.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PDF
.PIF
.PNG
.PS
.ZIP
.XLS

La segunda extensión, no visible según la configuración por defecto de Windows, puede ser alguna de estas:

.BAT
.COM
.EXE
.PIF
.LNK

También puede propagarse a través de una red local. Si encuentra algún recurso compartido en red, intentará copiarse en el directorio Windows, de ese recurso compartido, con el nombre RUNDLL32.EXE, siendo renombrado el fichero original a RUN32.EXE.

Si esto último se consigue realizar con éxito, el gusano modificará el archivo AUTOEXEC.BAT con la siguiente linea, de manera que se ejecute en el próximo inicio de la máquina:

@win \recycled\sirc32.exe

Si el usuario ejecuta el archivo adjunto a un mensaje infectado, el virus muestra el documento o archivo verdadero, ejecutando la aplicación asociada (Word o WordPad para .DOC, etc.) al mismo tiempo que se copia en la carpeta protegida de Windows llamada "Papelera de reciclaje", una con el nombre del adjunto (sin extensión), y otra como SirC32.exe:

C:\RECYCLED\SirC32.exe
C:\RECYCLED\[ nombre del adjunto recibido ]

Permanecerán invisibles a menos que se active la opción, del explorador, "Ver archivos ocultos o del sistema".

Luego, modifica el registro para poder ejecutarse cada vez que se llame a un archivo .EXE:

HKCR\exefile\shell\open\command
(Predeterminado) = C:\recycled\SirC32.exe "%1" %*

También se copia a si mismo al directorio SYSTEM de Windows, con el nombre de SCam32.exe:
C:\Windows\System\SCam32.exe

Crea también el siguiente valor en el registro, para poder cargarse en memoria cada vez que Windows se inicia: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe

Agrega además esta entrada en el registro, donde guarda información que utiliza para su funcionamiento (datos para el envío de los mensajes):

HKLM\Software\SirCam


FB1B (nombres de los archivos guardados en C:\Recycled)
FB1BA (dirección IP del SMTP)
FB1BB (dirección e-mail del emisor)
FC0 (cantidad de veces que se ha ejecutado)
FC1 (versión del gusano)
FD1 (nombre del archivo ejecutado, sin la extensión)

Luego, busca todos los archivos con las siguientes extensiones, que se encuentren en la carpeta "Mis Documentos" de la computadora infectada (generalmente C:\Mis Documentos), y en el escritorio (C:\WINDOWS\Escritorio):

.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PDF
.PIF
.PNG
.PS
.ZIP
.XLS

La ubicación de estas carpetas la toma de las claves "Personal" y "Desktop" del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.

Graba la lista de estos nombres en el archivo SCD.DLL, creado en el directorio SYSTEM:
C:\Windows\System\SCD.DLL

Las direcciones de correo obtenidas en la libreta de direcciones (*.wab) y en los archivos temporales de Internet (sho*., get*., hot*. y *.htm), son grabadas en una lista similar, pero con el nombre SCD1.DLL:


C:\Windows\System\SCD1.DLL

El gusano se agrega al principio de los archivos listados en SCD.DLL, y se envía de este modo adjunto a un mensaje de correo electrónico, pero con la doble extensión indicada al principio.

Los archivos SCD.DLL y SCD1.DLL pueden variar aleatoriamente su nombre:

SC<1 caracter aleatorio>.DLL
SC<2 caracteres aleatorios>.DLL

Tambien puede realizar más acciones, según determinadas condiciones:

Una vez, de cada 33 ejecuciones, puede copiarse desde C:\recycled\sirc32.exe a C:\Windows\scmx32.exe.
También puede copiarse como "Microsoft Internet Office.exe" en la carpeta indicada en esta clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup


Que corresponde a C:\WINDOWS\Menú Inicio\Programas\Inicio

Esto hará que se ejecute al inicio del sistema.

Una vez, de cada 50 ejecuciones, crea el siguiente archivo: C:\RECYCLED\sircam.sys
Luego, agrega repetidamente uno de los siguientes textos a dicho archivo, hasta acabar con el espacio en el disco duro:

[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Una vez, de cada 20 veces, o el 16 de octubre de cualquier año, el gusano puede borrar todos los archivos y carpetas de la unidad C:. Esto funciona solo en las máquinas con el formato DIA/MES/AÑO, o sea, la clásica configuración bajo un sistema en español.

Finalmente, cada 8000 ejecuciones, el virus deja de funcionar.

Eliminación manual:

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al virus, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

command /c rename c:\windows\regedit.exe regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

Para acceder al registro debemos ejecutar el comando REGEDIT .

Del registro:


HKEY_LOCAL_MACHINE
SOFTWARE
Classes
exefile
shell
open
command

borrar el siguiente valor:

C:\recycled\SirC32.exe

y dejar solo esto (no debe quedar ningún espacio adelante de la primer comilla, la que debe incluirse exactamente como se expone a continuación):

"%1" %*

Del registro:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

borrar el valor:

Driver32

Y del registro:

HKEY_LOCAL_MACHINE
Software
SirCam

Seleccionar la carpeta SirCam y borrarla.

Reiniciar y después de ello, desde Inicio|Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

command /c rename c:\windows\regedit.com regedit.exe

Asegúrese poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto".

Busque y elimine los siguientes archivos del disco duro:

sirc32.exe
scam32.exe
sircam.sys
scmx32.exe
"microsoft internet office.exe"
scd.dll
scd1.dll

Vacíe la papelera de reciclaje.

Ejecute uno (o más) antivirus actualizados para revisar y limpiar el sistema.

Si el sistema infectó el archivo RUNDLL32.EXE, deberá borrarlo, y renombrar el archivo RUN32.EXE como RUNDLL32.EXE (ambos en C:\Windows).
Borre también la línea "@win \recycled\sirc32.exe" de C:\AUTOEXEC.BAT.

NOTA: Si se está usando Windows Me, y una copia del virus se detecta en la carpeta "_Restore", es posible, que el programa antivirus que se esté usando, no sea capaz de eliminarlo de esa ubicación, ya que la protege el propio sistema operativo. Para ello hay que deshabilitar esa protección, eliminar el virus y volver a activarla.

La característica Restaurar sistema está habilitada de manera predeterminada. Para deshabilitarla:

Haga clic con el botón secundario del ratón en "Mi PC" y, a continuación, haga clic en "Propiedades".
En la ficha "Rendimiento", haga clic en "Sistema de archivos" o bien presione ALT+F.
En la ficha "Solución de problemas", haga clic en la casilla de verificación "Deshabilitar Restaurar sistema" para activarla.
Haga clic en "Aceptar" dos veces y, a continuación, en "Sí" cuando se le pregunte si desea reiniciar el equipo.
Ahora se podrá eliminar de esa carpeta el fichero deseado
Para volver a habilitar Restaurar sistema, siga los pasos 1 a 3, pero en el paso 3, haga clic en la casilla de verificación "Deshabilitar Restaurar sistema" para desactivarla.

Solución
Rastrear el equipo infectado con un antivirus actualizado y eliminar todos los archivos detectados por este como cualquiera de los nombres atribuídos al virus en cuestión.

Asimismo es necesario restaurar la información del registro del sistema (ver Detalles).

Por otra parte, casi todas las firmas de Software Antivirus tienen disponibles herramientas específicas para eliminar el patógeno de forma automática


Soluciones especificas:

[url]http://webs.ono.com/usr016/Agika/botiquin1.htm#Herramientas%20específicas[/url]

http://www.bitdefender-es.com/html/tools_gratis.php

http://www.pandasoftware.es/enciclopedia/pqremove_sp.htm

Y hay muchas mas, suerte

Salu2
TRanquilo amigo yo le pase el analisis de panda y me encontro una veintena de archivos infectados. Sin embargo, es una falsa alarma, pasa cualquier otro antivirus que no sea online, y ya veras como no lo detecta. ESo apsa porque el panda pilal pedazos de codigo de ejecutables como malignos cuando no lo son.
Prueba lo que te he dicho y trankilo
5 respuestas