Troj/W32.KillProc. Elimina procesos activos de Windows

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 698 - Año 6 - Miércoles 5 de junio de 2002

Troj/W32.KillProc. Elimina procesos activos de Windows
http://www.vsantivirus.com/killproc.htm

Nombre: Troj/W32.KillProc
Tipo: Caballo de Troya
Tamaño: 76,288 bytes
Fuente: Panda

Troj/W32.KillProc puede tomar cualquier nombre de ejecutable ya que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.

Su principal acción es finalizar ciertos procesos de Windows. Cuando el usuario lo ejecuta, el troyano muestra un mensaje de error en pantalla con el siguiente texto:

Error
Runtime error 201 at 00007883
[ Aceptar ]

Esto puede hacer pensar que el archivo ejecutado no funciona, y un usuario común no se preocuparía más del tema. Sin embargo, cuando ese mensaje aparece, el troyano ya se ha ejecutado en nuestro PC.

En ese caso, estas son sus principales acciones:

Intentará finalizar los siguientes procesos activos en memoria de Windows:

ALERTSVC.EXE
NAVLU32.EXE
NAVW32.EXE
NPSSVC.EXE
LUALL.EXE
SWNETSUP.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
NWTOOL16.EXE
NTVDM.EXE

Algunos corresponden a conocidos antivirus.

Luego, el troyano creará estos archivos:

C:\Windows\System\Tapisvc.sys

Es una copia del troyano. Se copia en el directorio de System de Windows (en el ejemplo se muestra C:\Windows\System, pero ello depende de la versión y ubicación de Windows).

C:\Windows\Olefiles\win32Svcs.exe

El directorio "Olefiles" es creado en la carpeta Windows (C:\Windows en el ejemplo).

Si el usuario descubriera y borrara el archivo "win32Svcs.exe", el troyano se copia en el directorio de inicio de Windows, ejecutándose cada vez que Windows es reiniciado. Esta acción la realiza por medio del archivo "Winstart.bat", archivo que crea Windows en C:\Windows y que ejecuta en cada inicio del sistema, generando el siguiente archivo:

C:\Windows\Menú Inicio\Programas\Inicio\win32svcs.exe

El archivo original del troyano, es borrado del directorio desde donde fue ejecutado.

Eliminación manual del troyano

Para quitar el troyano de su sistema, ejecute un antivirus al día, y borre todos los archivos identificados como el troyano.

Adicionalmente siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee lo siguiente y pulse ENTER

win32svcs.exe, tapisvc.sys

3. Borre WIN32SVCS.EXE y TAPISVC.SYS si aparecen

4. Pulse el botón Inicio y luego Ejecutar

5. Escriba lo siguiente y pulse OK.

edit Winstart.bat

Se abrirá el editor de MS-DOS con el contenido de Winstart.bat

6. Si existen, borre las siguientes líneas:

:s
@if exist "C:\Windows\olefiles\win32svcs.exe" goto f
@copy "C:\Windows\system\tapisvc.sys" "c:\Windows\Menú [sigue]
f:

7. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.

Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente un virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com