Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Elet. Se copia como "Ptsnoop.exe" y borra archivos
 
VSantivirus No. 819 - Año 6 - Viernes 4 de octubre 2002

W32/Elet. Se copia como "Ptsnoop.exe" y borra archivos
http://www.vsantivirus.com/elet.htm

Nombre: W32/Elet
Tipo: Gusano de Internet
Alias: W32.Elet
Fecha: 2/oct/02
Tamaño: 16,384 bytes
Plataforma: Windows 32-bits

Este virus se copia sí mismo con el nombre de PTSNOOP.EXE en el directorio C:\Windows y en forma aleatoria borra archivos de extensión .EXE del mismo directorio y del subdirectorio C:\Windows\System, en forma reiterativa.

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

PTSNOOP.EXE, normalmente es un driver que instalan los módems PCTel, HSP, y otros. Extrañamente, no es necesario que PTSNOOP esté instalado para que estos módems funcionen, pudiendo ser borrado, como veremos más adelante. También existe un troyano (Troj/Ptsnoop, http://www.vsantivirus.com/trojan-ptsnoop.htm) que habilita una puerta trasera en la computadora infectada, y que tiene el mismo nombre que el driver mencionado al principio.

El virus W32/Elet, cuando se ejecuta, también se copia con ese nombre:

C:\Windows\Ptsnoop.exe

Si este PTSNOOP.EXE es ejecutado, en forma aleatoria borra un archivo de extensión .EXE de C:\Windows, y otro de C:\Windows\System, y luego se copia allí a si mismo con los mismos nombres de los archivos borrados.

Al finalizar estas acciones, detiene momentáneamente su actividad, repitiendo luego el procedimiento con la selección de dos nuevos archivos.


Sobre el verdadero PTSNOOP.EXE


La función de este archivo es estar pendiente de que algún programa solicite el uso de determinado puerto usado por el módem, para poder asignarle los recursos del sistema necesarios al establecerse una conexión, y si fuera necesario, para decidir instalar los drivers del módem (estos módems, del tipo Winmodem, crean un puerto por software, no físico, utilizando los recursos del procesador para funcionar).

Técnicamente, se trata de un "virtual port snoop", un archivo que monitorea el puerto comúnmente llamado "AMR port" o Audio Modem Riser, usados por ejemplo por los típicos módems integrados a las placas.

Como curiosidad, Ptsnoop puede provocar en ocasiones un error muy común al intentarse el uso del módem: la aparición del mensaje "el puerto ya está abierto" o similar, y la imposibilidad de conectarse. Casi siempre, ello se debe a que PTSNOOP no ha liberado el puerto para el uso del módem.

Físicamente, se trata de un TSR (un programa de DOS que queda residente en memoria), ocupando casi un mega.

Algunos antivirus (McAfee y Norton), solían confundirlo en algunas de sus versiones, con un troyano, por su tipo de actividad, ya que actúa cuando se intenta establecer una llamada vía módem para conectarse.

Por otra parte, PTSNOOP puede ser eliminado sin que el módem tenga problemas (al menos en la mayoría de los casos).

Para borrarlo, busque y borre todos los archivos PTSNOOP.EXE que aparezcan en su PC.

Edite el archivo C:\WINDOWS\WIN.INI con el bloc de notas o con SYSEDIT (o teclee WIN.INI desde Inicio, Ejecutar), y borre las referencias a este archivo en LOAD= o RUN=, de modo que la entrada quede así:

[Windows]
Load=

Ejecute el REGEDIT desde Inicio, Ejecutar, y busque esta rama:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Si aparece PTSNOOP en la ventana de la derecha, borre dicha entrada.

Note que esta entrada la agrega el verdadero PTSNOOP, no el virus W32/Elet. Pero como PTSNOOP puede ser eliminado sin problemas, es que indicamos la manera de hacerlo.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS