wind.exe (virus)

Ivanzinho

Ivanzinho

Lanero Reconocido
28 Sep 2004
1,656
Buenas para todos.

Les comento que desde ayer se esta presentando una amenaza con un virus que se llama wind.exe (lo vi por procexp) y pues no hay antivirus que lo detecte :S

Ya probé con Bitdefender 2008 y NOD32 ver 3, ¿alguien tiene alguna sugerencia para eliminar este virus?

Gracias a todos caballeros.
 
Ya habia oido hablar de ese virus, le comento que aun andan en pruebas, es otro virus transmitido por usb, aca le estan siguiendo el paso, hay una posible solucion, pero tienen sus contras, lease esto, especificamente el post #14.
 
Hola parce. Mira, nada mas por colaborar con el orden de LANeros... esto no es una aplicacion para windows, y aun teniendo que ver con ese Sistema Operativo, existe una seccion que se llama SEGURIDAD y dentro esta este tema: http://www.laneros.com/showthread.php?t=50303

Hay que buscar y no poner temas por poner... :cansado:
 
Solución virus Wind.exe

Después de tanto buscar una solución toda la mañana y tarde, alguien me compartió la siguiente solución que me funcionó, sigue los siguientes pasos:

Cuando sale el mensaje que no tenie el ntldr, inicia con el cd de windows y dale recuperar por consola. Una vez aparece el prompt (C:\Windows), ejecuta lo siguiente:
1.fixmbr
2. bootcfg /rebuild
3. copy D:\i386\ntldr C:\
4. copy D:\i386\ntdetect.com C:\
5. Luego arranca windows y entra al regedit y busca todas las entradas con wind.exe y borrarlas
6. borrar tambien las entradas en msconfig
7. Buscar en todo el disco archivos wind* y eliminalos
8. ctl + alt + del y eliminar posibles procesos medellin.exe chicas.exe wind.exe
9. borrar carpetas c:\hola c:\como c:\estas c:\pailas c:\medellin

Me funcionó y no volvió a reanudarse el virus
 
makuto2k dijo:
Después de tanto buscar una solución toda la mañana y tarde, alguien me compartió la siguiente solución que me funcionó, sigue los siguientes pasos:

Cuando sale el mensaje que no tenie el ntldr, inicia con el cd de windows y dale recuperar por consola. Una vez aparece el prompt (C:\Windows), ejecuta lo siguiente:
1.fixmbr
2. bootcfg /rebuild
3. copy D:\i386\ntldr C:\
4. copy D:\i386\ntdetect.com C:\
5. Luego arranca windows y entra al regedit y busca todas las entradas con wind.exe y borrarlas
6. borrar tambien las entradas en msconfig
7. Buscar en todo el disco archivos wind* y eliminalos
8. ctl + alt + del y eliminar posibles procesos medellin.exe chicas.exe wind.exe
9. borrar carpetas c:\hola c:\como c:\estas c:\pailas c:\medellin

Me funcionó y no volvió a reanudarse el virus
Haz clic para expandir...
Se ve que la gente no lee, eso que coloco es simplemente un copy paste del post #14 del link que puse arriba, el cual es lo mismo que le dije a Ivanzinho que revisara.
 
Pues les cuento que el "Malwarebytes' Anti-Malware" coje este virus cuando un equipo esta infectado, pero el vius sigue en las demas particiones del disco duro y ahi no lo puedo quitar, ¿alguna sugerencia?

Tengo Windows XP con Service Pack 2 y en Ingles, a mi no me ha dañado nada este virus, supongo que es a los que tienen WIndows XP en español, pero igual el virus si esta ahi y se propaga, ¿como hago para borrarlo de las particiones sin formatear??

gracias por su colaboracion señores.
 
BUUEEEEEnoooo, investigando un poquito, encontré esto:
http://www.whoismadhur.com/2008/01/26/how-to-remove-virus-from-usb-drives/

y con el Flash_Disinfector.exe volví a dejar las unidades accesibles desde "Mi PC" porque desde el explorador de Windows siempre son accessibles bien, aun no cerremos el foro porque no se si se siga presentando problemas, pero bueno, con esto ya se me solucionó el inconveniente.

lo que hice fue lo siguiente:

por una consola de comandos, me metí a cada unidad infectada, y en la raiz escribí "dir /a" para que me muestre todos los archivos ocultos, como ahi esta mi amigo "wind.exe" lo que hice fue escribir "del /a wind.exe" y listos!!!, jejejeje, pero me tocaba hacerlo en todas las unidades, y en especial en C:\windows\system32 tambien esta ubicado el archivito que tambien hay que eliminarlo.

mucho ojo que con "procexp" tenemos que verificar que el programa no este en ejecucion porque o si no la misma nos da.


Bueeeeno señores, ya esta, con el comando "attrib -h wind.exe" que quiere decir que le quite las propiedades de archivo oculto al "wind.exe" ya lo puedo ver, y ahora lo subo para ustedes en formato 7z, no zip, es para poderlo subir, jejeje, por si alguien se lo quiere enviar a los señores de NOD32 o Bitdefender o como quieran. jejeje, los duros son LANeros :p
 

Archivos adjuntos

  • wind.7z.zip
    11.8 KB · Visitas: 518
Excelente noticia, esperar a ver el NOD32 que tanto confiaba y el Bitdefender.

igual se puede remover como les dije, entonces no problem por ahora.

Acabo de actualizar el NOD32 y ya coje el virus, creo que el tema se cierra porque ya esta solucionado, jejeje. gracias a todos!!!!
 
pues se demoraron bastante porque ese virus no salio el 5 de septiembre sino hace como 3 meses, en la uis anda rondando desde hace muchiiiiisimo rato
 
Bueno les cuento que Kapersky 2009 elimina el virus, si quieren istalen la version de prueba Scanean todo el PC, y listo luego lo desinstalan. Saludos y espero les sirva un poco
 
biohazard dijo:
pues se demoraron bastante porque ese virus no salio el 5 de septiembre sino hace como 3 meses, en la uis anda rondando desde hace muchiiiiisimo rato
Haz clic para expandir...

Pues me intetaron infectar con ese animalito, tengo el Norton Internet Security 2008 y me dio por investigar este especimen y lleva su tiempo andando ahi les dejo la pagina de seguridad de Symantec para que la miren:

http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-011714-4020-99&tabid=1
 
Bueno a mi en realidad el Antivir, se demoro solo dos días despues de la infección masiva de santander, detectarlo y darme la opción de borrar.

POR ESO RECOMIENDO ALTAMENTE EL AVIRA-ANTIVIR
 
hay una nueva amenaza que hasta ahora solo he visto que detecta el Kaspersky se llama office.exe y también pesa como 64kb, se pasa por las usb y deshabilita el administrador de tareas, el editor del registro y quiensabe Dios que más daños hace al equipo, ayer me infectaron con ese bicho pero ya logre eliminarlo, lo adjunto por si alquien quiere "jugar" con él
 

Archivos adjuntos

  • office.zip
    15.7 KB · Visitas: 243
el office.exe es el mismo medellin, si revisas el archivo tiene el mismo codigo fuente que el medellin pero este te crea los archivos office.exe y el exploren.exe ademas de modificar un par de claves en el registro para desabilitar el administrador de procesos, el editor de registro y las propiedades de carpetas, ademas de ocultar los archivos "ocultos" (valgase la redundancia) y los archivos protegisdos por el sistema operativo, aunque eso se puede arreglar muy facil
 
si pues la verdad no es nada del otro mundo repararlo, pero a mi por ejemplo el antivir me detectaba el wind.exe pero esta nueva versión no me la detecto, el que me la detectó de una fue el kaspersky; aunque lo bueno del antivir es que ayer se lo envié y hoy ya me respondieron y con la actualización de hoy el antivirus ya lo reconoce, hablo del antivir ya que es gratuito y me ha parecido muy bueno y con esto de responder tan rápido me lo confirman, el kaspersky es excelente pero no tengo para pagar la licencia jeje...
 
ahora ya paso el problema con ese virus pero me llegó uno nuevo y creo que está en la llamada hora cero ya que kaspersky online no lo detecta, lo he tratado de borrar y no he podido, el codigo es el siguiente:
*\AC:\DOCUME~1\CIERVO~1\MISDOC~1\Abaddon\3\Abaddon4.vbp
C:\WINDOWS
cmd.exe /c Start \
Scripting.FileSystemObject
GetSpecialFolder
.exe
\Smss.exe
FileExists
copyfile
C:\Recyclaje
C:\WINDOWS\Smss.exe
C:\Recyclaje\Abaddon.exe
Abaddon
WScript.Shell
run
C:\WINDOWS\system32\taskmgr.exe
GetFile
OpenAsTextStream
Infectado por abaddon.exe
WriteLine
Close
C:\detecte.COM
C:\NTDETECT.COM
C:\ntldr
Saca el disco duro, y ponlo como esclavo en otro pc.
C:\Autorun.inf
C:\Recyclaje\Desktop.Ini
shutdown -s -t 17
cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /t REG_DWORD /d 1 /f
cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2 /f
TASKKILL /IM cmd.exe /F
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wscript.exe
shell\open\Command=Recyclaje\Abaddon.exe -OpenCurDir
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Servicio del Sistema
RegWrite
CreateTextFile
[autorun]
open=
shell\open=Explorar...
shell\open\Default=1
shell\explore=Abrir...
shell\explore\Command=Recyclaje\Abaddon.exe -ExploreCurDir
Smss.exe
:\Recyclaje
:\AutoRun.inf
Drives
DriveType
DriveLetter
Attributes
copyfolder
GetFolder
C:\WINDOWS\WINDOWS_.DLL
C:\Autorun.exe
C:\WINDOWS\OKI.Ini
C:\Autorun.Inf
C:\Recyclaje\Okki.txt
C:\WINDOWS\Recyclaje.Ini
C:\Recyclaje\Desktop.ini
C:\Gusano_Metalero
C:\Gusano_Metalero\Abaddon.exe
shell\open\Command=Gusano_Metalero\Abaddon.exe -OpenCurDir
shell\explore\Command=Gusano_Metalero\Abaddon.exe -ExploreCurDir
C:\WINDOWS\Gusano_Metalero.Ini
C:\Gusano_Metalero\Okki.txt
:\Gusano_Metalero
!This program cannot be run in DOS mode.
.text
`.data
.idata
@.rsrc
@.reloc
MSVBVM50.DLL
Abaddon
Form2
Form1
VB5ES.DLL
Abaddon
Abaddon
Abaddon
Abaddon
Form2
Form3
Form
E:\Visual basic\Ejecutable\VB5.OLB
Form_Initialize
Form_Load
WInC
VBA5.DLL
FL+{N
pWpH
ysrH
Text5
Label1
Text6
Text7
Text8
Text9
Timer1
Text1
Text2
Text3
Text4
Timer1_Timer
SASq
)zwG
AVH
q7cv
WH]D
a}FH
Oqi
JEr
lIX{G
Form3
Form3
Text2
gusano_metalero@hotmail.com
Text1
Infectado por Abaddon.exe-------Infect by Abaddon.exe
Timer1
tJc
toh
MSVBVM50.DLL
MethCallEngine
EVENT_SINK_AddRef
EVENT_SINK_Release
EVENT_SINK_QueryInterface
__vbaExceptHandler
0 0&0,02080>0D0J0P0V0\0b0h0m0T1
3 3$3(3,3034383<3@3D3H3L3P3T3X3\3`3d3h3l3p3t3x3|3
7 7(70787D7H7T7X7\7`7d7h7l7p7t7x7|7
8,848D8T8\8l8|8
8P9T9X9\9`9
9^:c:r:w:
141H1P1T1X1t1

Lo saqué con el process explorer...
 
el avadon es viejito tambien pero ese si es un poquito mas complicado de sacar, hasta ahora ho he visto que sea detectado por lo antivirus aunque casi siempre lo he sacado a mano
pd: aqui dejo un .bat para sacar el medellin que hice para la gente de la uis, solo hay que cambiarle la extension
 

Archivos adjuntos

  • antimetrallo.txt
    4.1 KB · Visitas: 253
pues ese virus no lo conocía, me toco borrarlo de manera manual, pero lo raro es que sea viejo y muy pocos antivirus lo detecten, hubo una página donde uno sube un archivo y lo revisan varios antivirus y hubo como cuatro que lo pillaron, creo que avast, avira pero premium que tiene analisis heuristico y otros que no recuerdo, pero pasó por el resto de antivirus como si nada...
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás