Hola, mira tuve el virus w32 lechuck pero creo que lo logre eliminar pasandole varios antivirus online (ya que me habia bloqueado al mio) pero me quedaron varias secuelas de este virus:

- No puedo abrir NINGUN archivo .exe incluyendo regedit, msconfig (me aparece en todos los casos el "abrir con") ni tampoco el restaurar sistema

- No puedo entrar al administrador de tareas ni editar el registro con archivos .reg xq me dice q ha sido deshabilitado por el administrador.

- Dentro del panel de control no puedo abrir ninguno de los controles xq en todos me aparece que no se ha encontrado rundll32.exe en C:/WINDOWS/SYSTEM32

-osea lo unico que puedo usar creo es internet explorer y word y eso me anda

Gracias y haber si tengo suerte y lo puedo arreglar ya que le va a servir a mucha gente que tiene el mismo problema con el lechuck ese.

Hola.

-El Rundll32.exe es el proceso que corre las DLLs y pone sus bibliotecas en memoria, para que puedan ser utilizada más eficientemente por las aplicaciones. Rundll32.exe, permite invocar una función exportada de una DLL de 16 o de 32 bits. que se encuentra en la carpeta C:\Window\System32\ , es posible que exista algun tipo de malware que estuvo en tu computadora que te lo halla estropeado, busca tu disco de instalacion localiza el rundll32.ex_ vete a Inicio\Ejecutar, escribe cmd luego escribe en DOS el comando "expand X:\i386\rundll32.ex_ c:\windows\rundll32.exe" (Sin las comillas) donde X es la letra de tu unidad de disco y deberia reparártelo.

-Descarga el RegUnlocker , ejecutalo en modo seguro y reinicias ...ok

Me cuentas si funciono.
salu2!

Gracias por la respuesesta,

al final lo del rundll32 no tenia mucho que ver con todo el lio que tenia, pude arreglarlo todo (creo) ya que ahora me anda todo bien lo unico que me falta es sacar al pirata ese del msn cuando inicio sesion.

Para desbloquear el regedit:

ir a ejecutar y poner: gpedit.msc y dale al ENTER


ir a

configuracion de usuario | plantillas administrativas | Sistema

doble click en "impedir el acceso a herramientas de edicion del registro"
y deshabilitarlo

Para desbloquear el administrador de tareas hacer lo mismo pero cuando estas dentro de sistema abrir la carpeta "opciones de ctrl+alt+supr" y deshabilitar el "quitar el administrador de tareas"

Para que no te aparesca mas lo de abrir con y los problemas con los archivos .exe bajar este .reg y abrirlo luego de haber podido entrar en el registro:

http://www.kellys-korner-xp.com/regs_edits/exefix.reg

ojala que sirva y cualquier otra consulta a las ordenes

El virus W32 LeChuck se transmite la mayoría de las veces por el MSN Messenger pero también puede ocurrir que se transfiera con un Dispositivo de Almacenamiento Masivo (como por ejemplo un pendrive o un reproductor de mp3)(como me paso a mi).
Manda a tus contactos conectados algo como: “jaja mira lo que te escribieron”
y el siguiente link “http://www.gratisweb.com/mcomentarios/1.bat?ja.doc”
Eso fue así en el caso que yo conozco pero también me contaron y leí que hay otros que dicen “este es mi álbum de fotos” o si no otros que están en portugués.
Noten que el archivo termina en .bat. pero esta escondido por ese final “?ja.doc” para que los que se cuidan de los .bat no se den cuenta…
En mi caso particular también funciona en el Net Meeting ya que tengo la PC conectada en red con la de mi vecino y desde el momento que contraje el virus le mandaba eso de “jaja mira lo que te escribieron” y el link.

Lo que le hace a nuestra PC es lo siguiente:
*Bloquea el administrador de tareas: lo q hace imposible poder cerrar el proceso desde ahí.
*Bloquea el regedit: q es una función para editar el registro de Windows desde Inicio\Ejecutar\regedit\
*Borra los ejecutables de todos los antivirus, antispyware, etc. cuando intentamos ejecutarlos.
*Crea archivos comprimidos (.zip, todos de 96 kb de tamaño) en las carpetas del Ares y eMule. Buscar en “C:\Documents and Settings\Walker Texas Ranger\Configuración local\Datos de programa\Ares\My Shared Folder\My Torrents” y en “C:\Archivos de programa\eMule\Incoming”


Esto es con el objetivo de que las PC's infectadas compartan estos archivos con otros usuarios ya que los nombres de los archivos son de programas de uso y descarga muy habitual.
*Cierra automáticamente "Mis Documentos" a los 5 segundos aproximadamente de haber sido ejecutado (esta acción puede reemplazarse ya que abriendo "Mis Documentos" desde mi PC no tenemos este problema)
*No permite la búsqueda en Internet de palabras tales como: virus, antivirus, W32 LeChuck, etc.
*Cierra archivos con nombre como "virus" comportándose de la misma forma que con "Mis Documentos".
*Cierra las ventanas de instalación de antivirus.
*Se mete en el archivo "Autorun.inf" de los Dispositivos de Almacenamiento Masivo haciendo que se propague en todas las PC's en la que este dispositivo es insertado.

Lo primero que hay que hacer es bajarse el programa HiJackThis y hacerle un scan a la PC.

Mi Log me dio esto:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:09:08 p.m., on 05/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wins.exe
C:\WINDOWS\system32\LeChucK.exe
C:\Documents and Settings\Walker Texas Ranger\Escritorio\HiJackThis\HijackThis.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2496 bytes

En los Running Process salto uno que se llama LeChuck.exe y esta ubicado en C:\WINDOWS\system32. Aquí encontré además de LeChuck.exe, un archivo llamado LeChuck.hta(este no puede ser eliminado ya que reaparece).

(Tiene la fecha actual ya que al tratar de eliminarlo se creó solo nuevamente).
Obviamente es el ejecutable del virus. Lo que hice yo fue poner Click Derecho "Propiedades\abrir con...\Block de notas. Esto me mostro un monton de simbolos raros pero al final de todo una linea que decia esto:


V S _ V E R S I O N _ I N F O ½ ïþ ü S t r i n g F i l e I n f o Ø 0 4 0 9 0 4 E 4 2 C o m p a n y N a m e I n f o - Z I P N F i l e D e s c r i p t i o n I n f o - Z I P ' s Z i p d l l ( F i l e V e r s i o n 2 . 2 , I n t e r n a l N a m e Z i p 3 2 @ L e g a l C o p y r i g h t I n f o - Z I P 1 9 9 7 < O r i g i n a l F i l e n a m e Z I P 3 2 . D L L > P r o d u c t N a m e I n f o - Z I P ' s W i Z , P r o d u c t V e r s i o n 2 . 2 D V a r F i l e I n f o $ T r a n s l a t i o n ä KERNEL32.DLL ADVAPI32.dll USER32.dll LoadLibraryA GetProcAddress OpenProcessToken wvsprintfA ZIP32.dll ZpArchive ZpGetOptions ZpInit ZpSetOptions ZpVersion


No se si notaron pero una parte del párrafo anterior dice "O r i g i n a l F i l e n a m e Z I P 3 2 . D L L" y esto nos esta dando el "Nombre Original Del Archivo" y es "ZIP32.DLL". Entonces lo que hice fue buscar en Inicio\Buscar... el archivo para saber su ubicación.
Me dio la ubicación C:\WINDOWS\system32\ZIP32.DLL, eso quiere decir que estaba en la misma carpeta que el .exe y el .hta.

Al final de la lista estaba ese archivo. Dude mucho en eliminarlo ya que al no saber mucho de computadoras no quería dañar algún archivo y por lo que aparentaba era de primordial uso para todas las carpetas comprimidas (.zip). Ya que en la descripción decía Info-Zip’s Zip dll.

Lo que me hizo decidir finalmente eliminar este archivo fue que al dejarle el cursor arriba apareció la fecha de creación y era "12/09/07". Todos los demás archivos de mi sistema tienen mas tiempo (no mucho) pero este fue creado el mismo día en el que se infecto mi PC con el W32 LeChuck y por eso lo elimine.

Tambien noten que después de los Running Process empieza la lista de lo que encontró y en la primera linea dice:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Ese DisableRegedit=1 quiere decir que el Regedit no esta habilitado. Normalmente deberia estar en O ya que las PC’s trabajan con binarios y O en este caso haría que este habilitado el Regedit y el 1 hace que este deshabilitado.

Luego de haber eliminado ese archivo la computadora empezó a tener fallas en cuanto a los archivos .exe. No abría ningún archivo .exe. Nada, ni el paint, ni el Word, Ni abría los discos poniendo algo como "Windows no encuentra la ruta de acceso o no tiene permiso para..."

Lo que hice fue buscar en Internet (cyber) y decía que lo que había pasado fue que se daño el archivo RUNDLL32.exe que es el proceso que corre las DLLs y pone sus bibliotecas en memoria, para que puedan ser utilizada más eficientemente por las aplicaciones. Rundll32.exe, permite invocar una función exportada de una DLL de 16 o de 32 bits. Que se encuentra en la carpeta C:\Window\System32\, es posible que exista algún tipo de malware que lo haya estropeado, busca tu disco de instalación localiza el rundll32.ex_ vete a Inicio\Ejecutar, escribe cmd luego escribe en DOS el comando “expand X:\i386\rundll32.ex_ c:\windows\rundll32.exe” (copié y pegué esto de un foro porque ahí lo explica bien) Aqui X es la unidad de disco donde esta el cd de instalación.

Si no, otra opción seria pedirle a algún conocido el archivo rundll32.ex_ ,entonces es el mismo procedimiento solo que al tener el archivo lo pegamos en el C:\ y en vez de “X” ponemos “C” y sacamos la parte de \i386. Entonces quedaría asi “expand C:\rundll32.ex_ c:\windows\rundll32.exe”(sin las comillas). Si el DOS nos dice:
“Expandiendo C:\rundll32.ex_ a c:\windows\rundll32.exe
C:\rundll32.ex_: 11891 bytes expandidos a 33280 bytes, 179% de aumento.”. quiere decir q hizo bien el proceso de expansión, si dice no se encontró el archivo o algo así fíjense de haber escrito bien todo.
Si no les anda el cmd en ejecutar pueden buscar el DOS en: Inicio\Todos los programas\Accesorios\Simbolo de sistema (o por lo menos así está en mi computadora).

Luego pueden bajar el exefix.reg que hace que se guarde en el registro todo lo que hicieron en el DOS (creo).
Hay otro archivo del W32 LeChuck esta en C:\WINDOWS\Prefetch borrenlo también y borren todos los .zip que les dije que estaban en la carpetas del Ares (en My Torrent también hay) y del eMule.
Y si les sale el problema de que les pregunta con que abrir alguno de los discos yo no se bien como es pero le pongo Abrir con Internet Explorer y es lo mismo que si abriera normalmente.

Después de todo esto pásenle algún antivirus, yo recomiendo el AVG Free y si tienen Internet, actualícenlo. Pueden pasarle algún AntiSpyware, yo pase el SUPERAntiSpyware.

Le pase tantas cosas que ni me acuerdo porque estaba emocionado porque saque el virus y no tuve que formatearla como me recomendaron todos mis amigos!!

PD: Para desbloquear el regedit (por si alguno se anima a tocar el registro de Windows) es:
Ir a Inicio\Ejecutar y poner: gpedit.msc y Aceptar

Ir a

Configuración de usuario | plantillas administrativas | Sistema

Doble click en "impedir el acceso a herramientas de edición del registro" y deshabilitarlo

Para desbloquear el administrador de tareas hacer lo mismo pero cuando estas dentro de sistema abrir la carpeta "opciones de ctrl+alt+supr" y deshabilitar el "quitar el administrador de tareas"


Espero que les haya servido mi aporte. Lo hice porque si no nos ayudamos entre nosotros y además yo también me ayude con las preguntas de otros usuarios.

Curiosidad:

Cuando le ponen al LeChuck.hta, Click Derecho\Propiedades\Abrir con…Block de Notas. Si lo ejecutan les va a aparecer lo siguiente (noten lo que dice en la segunda linea masomenos):

<HTML><body bgcolor=black text=red><center><b><font size=4><font face=verdana><br><p><br><p><font size=5>"Ya no mas guerras, ya no mas asesinos..."<br><p><br><p><br><p><br><p><br><p><fo nt size=14>W32 LeChucK.a<font size=6><br><p><br><p><br><p><br><p><br><p><font size=5><font face=arial>By MOWPaX<br></body></HTML>

Y asi es como le gané al W32 LeChuck…

Dedicado a Seba y Facu. Jaja

Gracias a Rodri…