Tema: Solucionar: El juego del miedo.

Hola que tal? La consulta es respecto al juego posteado ayer por un flaco del foro: El juego del miedo argentino (te hace mierda la maquina si perdes) , la cuestion es que instale el juego, lo termine, despues la pc se congelo, se reinicia y al iniciar WinXP solo quedo el fondo de pantalla mientras que el resto no funciona de nada de nada de nada. Intente ingresar en MODO SEGURO y tampoco llega a iniciar WinXp.

La solucion segun algunos seria formatear, pero yo lo que hice actualmente es colocar otro disco rigido como maestro y el disco donde no inicia sesion como slave. La pregunta seria como puedo hacer o que archivo puedo eliminar del disco que tiene el problema para que todo vuelva a la normalidad?

Saludos y desde ya gracias al que me pueda ayudar.

PD: Quisiera encontrar una solucion para no formatear ya que mi disco tiene 320 gb casi en su 90 porciento ocupado y no esta particionado, o sea si lo formateo se borra todos los archivos.

Que tal 3ic,

Mira dices que ni en modo seguro te deja entrar, pues necesitaríamos analizar tu ordenador en busca de falta de archivos, y la otra en realizar una búsqueda avanzada en heurística para que detecte los archivos programados que estén provocando esto (si es que los hay).

Haz lo que hiciste, meter el disco duro como segundo, y realizar lo siguiente:

**Texto eliminado, ya encontré una posible solución**

¿Que hace el juego?

El archivo JuegoD-M.exe es el juego, al abrirlo nos pide confirmación para jugar y todo eso, bueno, al abrir el archivo este descomprime dos archivos en la carpeta temporal de Windows que son:

• X:\Documents and Settings\Jim\Local Settings\Temp\3.tmp
• X:\Documents and Settings\Jim\Local Settings\Temp\3.tmp\123.bat

Estos son temporales, se eliminan automáticamente al pasar el juego o al perder, ya que son los desempaquetares. Al perder el juego, elimina los siguientes archivos:

• %Windir%\explorer.exe
• %System%\notepad.exe
• %System%\taskmgr.exe

La carpeta Windows y System varían dependiendo de la versión del sistema operativo.

Posteriormente crea el directorio sitem en la carpeta de Windows, oculta el fichero explorer.exe y modifica el servicio IMAPI CD-Burning COM Service de ImapiService. Luego crea las siguientes mutex: NTShell Taskman Startup Mutex y ExplorerIsShellMutex

¿Cómo soluciono este virus o problema?

Teóricamente saque mis conclusiones, por lo que aun no he probado esta solución, pero quizás arregle gran parte del problema.

1.- Arrancar el disco duro infectado como esclavo de otro disco duro trabajando como primario / maestro.
2.- Ya estando en el otro disco duro (obviamente con sesión activa), hacer lo siguiente:

3.- Descargate OTM.exe y lo guardas en el Escritorio.

Haz un doble clic sobre OTM.exe para ejecutarlo.
Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto bajo el area de OTMoveIt nombrado . Atención, la "X" es tu unidad de disco duro, debes cambiarla por la letra de tu unidad (que sería tu segundo disco duro esclavo)

Código:

:files
X:\autorun.inf
X:\juego.bat
X:\Windows\sitem\explorer.exe
X:\Windows\sitem\notepad.exe
X:\Windows\sitem\taskmgr.exe 
X:\Windows\sitem\

Haz clic en MoveIt! para lanzar la supresión.
Cuando el resultado aparece en el marco Results, hace clic en Exit.
Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTM\MovedFiles\***_***.log

4.- Ahora debes descargar los siguientes archivos (que fueron borrados por el virus) y colocarlos en tus carpetas de tu disco duro (son 3 archivos de una versión modificada que tengo en mi Windows XP, pero de algo les servirá)

• Descargar:
• Archivos borrados by ForoBeta.rar (megaupload)
  Mirrors
• Enlace 1 (filefactory)
• Enlace 2 (depositfiles)
• Enlace 3 (badongo)

Estos deben colocarlos en sus respectivas carpetas; y al terminar todos los pasos, pegas el reporte y pruebas si ya arranca...

**Texto eliminado, ya analice el archivo**

Salu2

Iniciado por lalo_a_link

Que tal 3ic,

Mira dices que ni en modo seguro te deja entrar, pues necesitaríamos analizar tu ordenador en busca de falta de archivos, y la otra en realizar una búsqueda avanzada en heurística para que detecte los archivos programados que estén provocando esto (si es que los hay).

Haz lo que hiciste, meter el disco duro como segundo, y realizar lo siguiente:

Por favor clic aquí para descargar AVP Tool by Kaspersky.

• Guarda el archivo a tu escritorio.
• Double clic en el setup del archivo para ejecutarlo.
• Clic en el botón Next para continuar.
• Seleccionamos el destino la ubicación donde queremos que se instale el programa. Por ejemplo, lo más común es que elija el Escritorio para localizarlo fácilmente. Pulsamos sobre Next.
• Seguidamente, una ventana de advertencia nos muestra que es recomendable utilizar la herramienta AVP-Tool en Modo Seguro.
• Nos aseguramos de seleccionar las particiones a escanear, que son:
  
• System Memory
• Startup Objects
• Disk Boot Sectors.
• Mi PC
• Disco Local (en tu caso la unidad "infectada")
• Y unidades que usted quiera escanear
• Pulsamos sobre el botón Scan.
• Una vez presionado Scan, comenzará el escaneo de las áreas seleccionadas, mostrándonos el progreso de éste, y las infecciones en caso de haberlas.
• En caso de ser detectada alguna infección, se abre una ventana de advertencia, en la que haremos clic sobre la opción Delete, y para que haga lo mismo con todo lo detectado, simplemente hay que marcar la opción Apply to All.
• Después de haber eliminado todo lo detectado, veremos las eliminaciones marcadas en verde. Esto significa que han sido neutralizadas todas las amenazas detectadas.
• Presionamos en el botón centrado de la ventana principal que dice Reports... y guardamos el log como KAS
• Pegar este log en tu próximo posteo.

Esta versión tiene una heurística muy avanzada, que de momento no hay AV portable que lo iguale, esta utilidad puedes usarla en el disco duro primario y analizando tu unidad de disco duro sin necesidad de desinstalar el antivirus que ya tenga por defecto.

Otra, cuando este en el disco duro primario, cuando ya tengas el tuyo (el segundo disco duro) entra a tu unidad de Windows osea a X:\Windows y verifica que existan los archivos explorer.exe, regedit.exe, y luego localiza la existencia de la carpeta X:\Windows\System32, regresas acá y nos avisas de todo.

Offtopic: Te pediría algo de paciencia ya que me encuentro analizando el archivo, veo que esta encriptado por lo que are lo posible por decirte que es lo que hace, que crea, que destruye, que abre, entre otros detalles, al igual como eliminarlo...

Salu2

Si es cierto ese ejecutable esta encriptado con Yoda Cripter y comprimido con UPX, ya lo había mencionado por aquí (El juego del miedo argentino (te hace mierda la maquina si perdes)) tendrías que buscarte la herramienta que desencripta eso pero no lo recuerdo hace mucho que no uso Windows y ya no tengo esos programas

Perdona por los problemas ocacionados amigo pero no era mi intencion hacerte eso, yo solo publique el juego y bueno, el que queria jugaba, aparte yo lo gane y no me paso nada :S eso es lo raro.

Saludos y Suerte!!!

Actualice mi respuesta con la posible solución. Abusado con esos juegitos GonZa, que ya vez que nunca falta el curioso que le gusta hacerse el valiente jeje (broma)

Salu2

Espero que les funcione esa solucion que dejo Lalo!!

Saludos y Suerte!

Iniciado por lalo_a_link

Actualice mi respuesta con la posible solución. Abusado con esos juegitos GonZa, que ya vez que nunca falta el curioso que le gusta hacerse el valiente jeje (broma)

Salu2

- Gracias ahora voy a probar esa posible solución....

PD. segun creo que elimina los archivos de la carpeta "system" de windows , no estoy muy seguro, aa y se propaga por USB y unidades fisicas.

Bastante jodido el juego jaja para ustedes que lo desafiaban jaja

Saludos!