**Cuidado con este Nuevo Virus….**

Un Saludo Cordial a Todos los Amigos Foreros..
Antes que Nada, Aclaro que este Post es Informativo sin el afan de Asustar o de promocionar algun Antivirus.. ya que despues de todo es con el Fin de Alertar y de que tengan la mejor proteccion en su Pc, asi como el Cuidado del Mismo.., hace algunos Meses Su Servidor Alerto de un Virus que solo se podia eliminar con en programa llamado Dr.Web.. en este caso es Diferente, ya que el Virus es Muy Peligroso, Dañino y Perjudicial para Nuestra Pc.. Lo Digo Por Experiencia..

Cuidado con este Nuevo Virus….
Nombre: W32.EFECTO.A y W32.EFECTO.B
El virus es detectado en Algunos Antivirus con el nombre de: MONTAGUE.
Se Ejecuta como: Win2x.exe y save.exe

W32.EFECTO.A y W32.EFECTO.B es un ejecutable de tan solo 122,880 bytes compilado con Microsoft Visual Basic 6.0.
Al Ejecutarse, W32.EFECTO.A y W32.EFECTO.B; se copia en: Windows\System\Win2x.exe y Windows\System\save.exe

Las Acciones que realiza este Virus en Nuestra Pc..

-Crea entradas en el registro para ejecutar Win2x.exe al inicio del sistema y save.exe durante la ejecución de cualquier tarea de impresión.
-Inhabilita el acceso al Editor de Registro de Windows y al Administrador de Tareas.
-Impide la ejecución de cajas de diálogo en MSDOS.
-Inhabilita el acceso al comando CMD(Comandos).
-Crea un Nuevo Administrados de Sistema y nosotros pasamos a ser Invitados de una cuenta.
-Oculta las carpetas de la raíz del disco C y cambia sus atributos a Solo Lectura y Ocultos.
-Crea una gran cantidad de copias del troyano en la raíz del disco C con íconos de carpeta y nombres similares a los de las carpetas existentes para confundir al usuario y proporcionar la re infección del sistema utilizando al propio usuario.
-Intercepta el servicio de impresión tal que sustituye al mismo con el archivo del troyano.

El virus MONTAGUE, Infecta los siguientes archivos:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\tlink\AU-600 Agent.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\OV530EM.exe
C:\WINDOWS\system32\ccPrxy.exe
C:\WINDOWS\system32\SP00LSV.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Firewall Client 2004\FwcMgmt.exe
C:\Program Files\Microsoft Firewall Client 2004\FwcAgent.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\command.com
C:\WINDOWS\system32\svchost.exe
c:\windows\explorer.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\Program Files\Security Task Manager\TaskMan.exe
C:\DOCUME~1\juanjose.NTV\LOCALS~1\Temp\Rar$EX00.209\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TLinkAgent] C:\Program Files\tlink\AU-600 Agent.exe
O4 - HKLM\..\Run: [Winsys] C:\WINDOWS\winsys.exe
O4 - HKLM\..\Run: [Ovt Wia] C:\WINDOWS\OV530EM.exe
O4 - HKLM\..\Run: [Win2x] C:\WINDOWS\system32\Win2x.exe
O4 - HKLM\..\Run: [ccPrxy.exe] ccPrxy.exe
O4 - HKLM\..\Run: [SP00LSV.EXE] SP00LSV.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ntv.icrt.cu
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ntv.icrt.cu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ntv.icrt.cu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ntv.icrt.cu
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Number of any portable media. - Unknown owner - C:\WINDOWS\system32\command.com
O23 - Service: Print Spooler (Spooler) - Unknown owner - C:\WINDOWS\system32\save.exe
O23 - Service: Windows Security Manager - Unknown owner - C:\Program Files\Outlook Express\msinm.exe


El Virus: W32.EFECTO.A y W32.EFECTO.B: MONTAGUE,
Elimina y deshabilita los siguientes programas y procesos:
Norton en Todas sus versions.
Norton Antivirus
Norton AntiVirus Porfessional
Mcafee en Todas sus versions.
Anti-Virus
NOD32 en Todas sus versiones.
NOD32 Antivirus Program - [My Profile]
NOD32 Control Center
AntiViral Toolkit Pro
Kaspersky en Todas sus versions.
Kaspersky Anti-Virus Scanner
Kaspersky Anti-Virus personal
Kaspersky Anti-Virus Monitor
AVG En Todas sus versions.
AVG E-Mail Server Edition - Advanced Interface
AVG E-mail Server Edition - Basic Interface
AVG E-mail Server Edition - Control Centerr
Pop3trap
Ad-Aware SE Personal
eTrust Antivirus - Local Scanner
F-Secure Anti-Virus
AVP Monitor
Sygate Personal Firewall Pro
BitDefender
My Computer
Registry Monitor
HijackThis
BlackICE
Process Explorer - Sysinternals:

Código:

www.sysinternals.com

Registry Monitor - Sysinternals:

Código:

www.sysinternals.com 

Windows Security Center
Windows Firewall
Control Panel
Run"Turn Off Computer
Log off Windows
Command Prompt
Spybot - Search & Destroy
Sophos Anti-Virus - SWEEP
Anti-Trojan - Infection Monitor
Registry Editor
Windows Task Manager
System Configuration Utility
Services
Ad-aware 6.0 Personal
System Restore
WinPatrol

Detección y Limpieza del Virus:
Si El Virus Infecta al Equipo, No hay modo de poder limpiar o desifectar el sistema, la unica solucion es el formateo del mismo, en algunos Foros mencionan que con el Antivirus Nod32 se elimina, es Falso, Tambien se dan ciertas modificaciones en el registro para eliminar el virus, pero como modificar el registro cuando no tenemos acceso al mismo. Esto es cuando el Virus ya esta Infectando al sistema.

El Virus llega por: Correo, Paginas XXX, Cybercafes, Edonkey, Emule, Kazaa, Pando, Torrent, y en archivos como por ejemplo: Mp3, imagenes, comprimidos, Word, documento de texto.
Pero teniendo la terminacion .exe
Es decir si reciben una imagen, un mp3 etc.. pero con terminacion.exe:
EJEMPLO:
Beyonce - Crazy.exe(pero con el Icono de un Mp3)..
Wallpaper.exe(con el icono JPeg)
Comprimido.exe(con el icono de Winrar o WinZip)..
Documentos de Word o excel.exe(Con los iconos Correspondientes a Word o Excel..

Para Evitar esto, Solo es detectado por Mcafee y Avast Porfessional.
-Mcafee solo lo detecta pero al ponerlo en cuarentena o tratarlo de limpiar el virus deshabilita y elimina los archivos de Mcafee.

-El Antivirus Avast Professional, Es el único, capaz de detectar y limpiar este gusano dañino, antes de que se ejecute..

Se recomienda la Actualización del Antivirus antes de que pase lo peor…
Su servidor Utilizo el Nod32, Kasperky, Norton, Mcafee sin Resultado para eliminar este Virus, ya que como mencione, ni siquiera lo detectaba, solo Mcafee con sus respectivas consecuencias.....
hasta que Instale el Avast en el Equipo Infectado y Pude Detectar y Eliminar este Virus..
Lo digo Por Experiencia......... By JOBKI77