Virus Mlourdeshreloaded

hola y saludos:
tengo un problema: formatee una maquina que no sabia que tenia virus. ahora despues de instalar el SO Windows XP todos mis archivos tinene 1 KB y no los puedo abrir pues sale un mensaje de que es netamente mexiacano y todo eso. el virus se llama: MLOURDESHRELOADED
que em sugieren que hague o que antivrus es lo suficientemente bueno para restaurar mis archivos????
grachie.
Att.
Taurus

Antes que más nada, elimina el virus
Luego un recuperador de archivos perdidos puede ayudarte....

pues bien ese virus se transmite atraves de disquetes asi k tira todos los k tengas xD,se crea estoc/windows/lsass.exe ytanbien en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winlogon asi k este reside en memoria ojo no borres el ARCHIvo k lsass.exe k se encuentra en windows/system32 ese es bueno asi k ojo..... luego borre lo siguiente HKEY_LOCAL_MACHINE\SOFTWARe\Microsoft\Windows\Curr entVersion\Run pinche en run y borre Winlogon = c:\windows\lsass.exe y por ultimo reinicie lka maquina y luego haz lo siguiente dele abusqueda a todos los archivos o carpetas en c: y escriva esto GeDzaC.mlh; MLHR_Corporation_GeDzAc.htm y borrelos y por ultimo canbie el formato .doc modificadsos por el virus por .exe y venga suerte haber si se arregla

nada no pasa nada.
he formateado otra vez toda la unidad C, mis archivos siguen infectados en la unidad D.
no hya manera de recuperarlo???

realmente no es posible recuperar los arshivos ke an sido infektados @.@!... ia ke el virus abre los arshivos eliminando su contenido y remplazandolo por las lineas de "Virus MlourdesHReloaded................................. " tendras ke eliminar esos arshivos...........

Virus MlourdesHReloaded --- Estupido virus.. EliWinDA es una aplicacion k encontre x internet, me imagino k solo funciona cuando no te ha convertido tus archivos a .exe asi k buskenla http://www.zonavirus.com/descargas/EliWinDA.exe
segun te borra el virus y todos los archivos del registro ...suerte =)...
a mi me borro 80 Gb de informacion.. mas de 7000 mp3... trabajos... fotos y recuerdos de 5 años..

virus estupido !!! si conocen al k lo creo.. matenlo por favor !!

Si.... llegué a atender un total de 15 ó 20 equipos con ese mal.
De ese total, sólo en 2 pude evitar el desastre antes de que aconteciera.


Estos son datos de la primera versión:

Nombre: Troj/HideDoc
Tipo: Caballo de Troya
Alias: Win32.HideDoc, Win32/HideDoc.Trojan
Fecha: 10/mar/03
Plataforma: Windows 32-bit


HideDoc es un troyano con características destructivas. No se propaga por si solo (como un gusano). El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.

Cuando es ejecutado por el usuario en forma directa, el troyano se copia a si mismo en el directorio de Windows y se modifica el registro para autoejecutarse en los siguientes reinicios de Windows.

El troyano puede tener cualquier nombre, y la clave del registro corresponde a ese nombre, sin extensión.

Por ejemplo, si el troyano llega con el nombre de JUEGO.EXE, se copiará en la carpeta de Windows con ese nombre, y luego se modificará la clave en el registro del siguiente modo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Juego = C:\Windows\Juego.exe

El troyano crea también dos archivos de datos: STDOLE.DLL y STPRINT.OCL, los que copia en la carpeta Windows. STDOLE.DLL mantiene el camino al archivo de Windows, Winword.exe, mientras que STPRINT.OCL es un contador. Este contador aumenta cada 5 minutos, cuando la hora actual tiene '0' o '5' como último dígito (12.10, 12.15, 12.20, etc.).

Cada vez que el contador aumenta (o sea cada 5 minutos, el troyano busca un disquete en la unidad A: y dentro de éste, archivos con extensión .DOC. Si los encuentra, el troyano hace una copia de si mismo con el nombre del documento, pero con extensión .EXE. El archivo .DOC original es marcado con los atributos de oculto (+H)

Por ejemplo, si existe un documento CARTA.DOC, el troyano le cambia los atributos y luego se copia a si mismo con el nombre de CARTA.EXE.

En la copia se mantiene el icono de un documento, por lo que el usuario fácilmente puede hacer doble clic sobre él pensando que realmente es un .DOC, cuando en realidad estaría activando al troyano.

Es importante mostrar las extensiones verdaderas de los archivos para no caer en esa trampa.

Cuando el contador llega a 276, el troyano procede a sobrescribir todos los archivos del sistema con el siguiente contenido (solo texto):

"Virus LourdesHRA atacó esta computadora, Feliz 2003
y Disculpen las molestias que este ocaciona"
"Maldito Xp pero me vengaré, desastre al 100% menos Xp"

El ejecutable del troyano contiene la siguiente descripción, que no es mostrada en condiciones normales:

Es para felicitar a todos los infectados aunque no creo
que les guste. LHRA corporation se deslinda del mal uso
que se le de a este programa y lo que pueda hacer, no se
hace responsable de este, ni por los deztrozos ca.

Copiright 2003 felitz Año Nwebo k' Prodrama tien portento
Metzikno putos, ah y tambien feliz navidad


Reparación manual

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

Enlace

Se supone que la segunda versión del virus ya afecta al 100% en XP, Y LO PEOR DE TODO, ES QUE NI SIQUIERA CON ESE "TAN SUPUESTO" SEGURÍSIMO SISTEMA DE ARCHIVOS NTFS PROTEGE TUS DOCUMENTOS CONTRA EL VIRUS.

Y PARA EMPERORAR EL ASUNTO MÁS, CUANDO YA SE HIZO EL DESASTRE, YA NADA PUEDES HACER PARA RECUPERAR INFORMACIÓN. HAY QUE VOLVER A FORMATEAR Y REINSTALAR POR COMPLETO.

Hace ya rato, Pistemas posteó éste problema, pero hasta la fecha no sé si pudo hacer algo al respecto, y yo tampoco tenía datos más exactos para darle fundamentos. Aún así, espero les sirva el tip.

Bye...