virus romeo

Buscando un poco de información sobre el virus romeo me di cuenta que este se propagaba por usb y como digo siempre hoy en día la gran mayoría de los virus vienen por usb, así que este virus romeo no estaba ajeno a esto.Mucha gente se ha infectado con este tal romeo y aunque no es un virus tan peligroso causa algunas molestias y debemos quitarlo si es que, nos hemos infectado.A esta altura tendríamos que tener un antivirus en el usb si es que sabemos el peligro de la propagacion de virus por este medio para no tener que andar haciendo todo esto,tomenlo como un consejo! pero aquí les dejo este programa .si tienes el virus romeo que mas decir El programa a descargar es el Vius Guard v 1.28     Virus Guard v1.8.zip


Nombre completo: Trojan.W32/Romeo.C
 Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Tamaño (bytes): 98304

Alias:Trj/Romeo.C (Panda Security)

Detalles

Efectos


Trojan.W32/Romeo.C realiza las siguientes acciones:

Muestra el mensaje Su PC esta infectada por un virus de ultima generación cada vez que se reinicia el ordenador.

Puede cerrar aplicaciones que estén en ejecución o cerrar sesión sin previo aviso.

Además, realiza numerosas modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:

Deshabilita los siguientes elementos:

Editor del Registro de Windows.

Administrador de Tareas,y esto impide al usuario visualizar los procesos que están en ejecución.

Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.

Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.

consola de comandos.


Este troyano llega al ordenador en un archivo con el icono que tiene por defecto una carpeta.

este bicho no puede propagarse por si solo sino que precisa la ayuda de un usuario malintencionado(usuario atacante) para su propagacion.existen varios medios utilisados entre ellos esta CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.


Otros Detalles


Trojan.W32/Romeo.C está escrito en el lenguaje de programación Visual Basic.

Este troyano tiene un tamaño de 98304 Bytes.


Al descomprimir este e inicien el programa, veran que se pondra en la barra de tarreas donde se muestra el reloj de windows y luego hagan los siguientes pasos:


1. le dan click izquierdo o derecho (saldran las mismas opciones)

2. click en boton "Options" y luego se despegaran 2 botones

darle al boton "Remove Virus" y luego dar Aceptar

(este se encargara de limpiar los problemas que ocaciona el virus)

y luego darle al boton "Fix ReguistrY"

(este limpia los reguistros y habilita todo lo que el dichoso virus ROMEO

te desabilito Ej. (Administrador de Tareas, Regedit.. etc etc


despues de hacer todo esto estara habilitado el Administrador de tarea pulsa CTRL + ALT + SUPR para terminar el proceso Win2x y asi poder iniciar con el siguiente paso de neutralizacion del virus.....


antes de llagar a la solucion total debemos de eliminar los archivos que estan ejecutando a este tedioso virus .....


nos dirigimos al Disco C: y luego vemos que las carpetas estan con los atributos en oculto lo importante es ir a la carpeta WINDOWS y luego a la carpeta "win32" buscamos el archivo SAVE.EXE y lo eliminamos es el que genera que las carpetas del disco C: se vuelvan en extencion .EXE....


al haber eliminado el archivo SAVE.EXE debemos hacer lo siguiente


ir a C: luego Document and Setting, despues ir a la carpeta del usuario, luego ir a configuracion locar y luego en la carpeta TEMP borrar los archivos que estan ahi (ahi se encuentra los archivos temp del virus)



sigue:
__________________________________________________ ______________




   1. Restaure el contenido del archivo 'BOOT.INI'.

      El cambio a realizar es el siguiente: Contenido: multi(0)disk(0)rdisk(0)partition(1) \Romeo="Su PC está infestada por un virus de ultima generacion"cambielo por: default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

   2. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

      Elimine el valor indicado de la siguiente clave del registro de Windows, para evitar que el troyano sea ejecutado automáticamente cada vez que el sistema sea reiniciado: Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunValor: Win2x = %sysdir%\Win2x.exe (donde %sysdir% es el directorio de sistema)

      Elimine las siguientes claves del registro de Windows: Claves: HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ Win2x HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Win2xPara facilitar la detección del troyano, realice los cambios indicados a continuación: Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\AdvancedValores: Hidden = 01, 00, 00, 00 cambia por -> Hidden = 00, 00, 00, 00 HideFileExt = 01, 00, 00, 00 cambia por -> HideFileExt = 00, 00, 00, 00Ponga a '0' los valores indicados a continuación, para habilitar nuevamente las opciones mencionadas:

   3. Para habilitar el Editor del Registro de Windows. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ SystemValor: DisableRegistryTools = 00, 00, 00, 00

   4. Para habilitar el Administrador de Tareas. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ SystemValor: DisableTaskMgr = 00, 00, 00, 00

   5. Para habilitar la consola de comandos. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ SystemValor: DisableCMD = 00, 00, 00, 00

   6. Para habilitar la opción de restauración del sistema. Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestoreValor: Disable SR = 0

   7. Para restaurar la opción Apagar del menu Inicio y que aparezca de nuevo la ejecución del comando 'shutdown' a través de la consola de comandos. (CMD.EXE) Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\ExplorerValor: NoClose = 0

   8. Para mostrar la opción de Cerrar sesión en el menú Inicio. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\ExplorerValor: StartMenuLogOff = 0

   9. Para mostrar la opción Buscar del menú Inicio. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\ExplorerValor: NoFind = 0

  10. Para habilitar la función Ejecutar del Explorador de Windows. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\ExplorerValor: NoRun = 0

  11. Para mostrar la opción Opciones de Carpeta en el Explorador de Windows. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\ExplorerValor: NoFolderOptions = 0

  12. Para mostrar el reloj de Windows. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\ExplorerValor: HideClock = 0

  13. Para habilitar la posibilidad de restringir las aplicaciones que puede ser ejecutadas por los usuarios. Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ExplorerValor: RestrictRun = 0

  14. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.