Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos ...soy nuevo en este foro y espero no molestarlos si este tema ya se habia comentado....


Mi problema es que al iniciar mi ordenador sale un letrero de error que dice que :

IAMAPP.EXE no se puede ejecutar

y cuando intento entrar a internet no me deja.

Primero baje el Norton Removal Tool ...pero este me decia que antes de usarlo tenia que desinstalar el Norton Internet Security directamente en

Inicio>Configuracion>PaneldeControl>Agregar y Quitar programas

cuando intento desisntalarlo ahi me dice que necesito ser el administrador de cuenta de mi ordenador y no me deja desinstarlo ...

Intente usando el Tech Support de Symantec y ahi me dijeron que hiciera lo siguiente :

1. Se inicia Explorador de Windows. Para ello, haga clic con el botón secundario en Inicio y a continuación, haga clic en Explorar.
2. Vaya a la ubicación siguiente de carpeta donde es C: la unidad en la que está instalado Windows:
\Documentos C: y Inicio\programas\Inicio Users\Menú usuarios\Datos
3. En el menú Archivo, seleccione Nuevo y a continuación, haga clic en Acceso directo.
4. En el cuadro de diálogo Crear acceso directo, haga clic en Examinar y a continuación, vaya en el archivo siguiente:
\IAMAPP.EXE Norton Personal Firewall \Program Files\ C:
Nota Según tiene no Norton Personal Firewall o Norton Internet Security instalado, también puede haber Norton Personal Firewall Norton Internet Security Family Edition u otra versión de Norton Internet Security.
5. Haga clic en Aceptar y a continuación, haga clic en Siguiente.
6. Escriba un nombre descriptivo para el acceso directo y a continuación, haga clic en Finalizar.
7. Salga del Explorador de Windows.
8. Haga clic en Inicio, haga clic en Ejecutar, escriba msconfig en el cuadro Abrir y a continuación, haga clic en Aceptar.
9. Haga clic en la ficha Inicio, haga clic de desactivar la casilla de verificación IAMAPP bajo Startup Item, hacer clic en Aplicar y a continuación, hacer clic en Cerrar.
10. Haga clic en Reiniciar para reiniciar el equipo.

Ya lo hice pero sigue sin dejarme desinstalar el Norton Internet Security y no resolvio el problema con el IAMAPP.EXE

Buscando en la red encontre Hijack This , lo baje pero no tengo idea de como usarlo y tal vez sea una solucion a mi problema ...

si alguien puede ayudarme con este problema de IAMAPP estaria muy agradecido ...

Creo que tienes un gusano.

Su nombre es BUGBEAR o W32/BugbearMM, W32/TanatosMM, I.worm.Bugbearmm. A pesar de la atención mostrada durante la última semana, este virus se conoce desde el 30 de Septiembre de 2002. BUGBEAR infecta masivamente vía correo, redes LAN, crea troyanos, deshabilita antivirus y Firewalls. Tiene un tamaño de 50 KB.

Virus
Su propagación es tan alta que infecta con tan solo visualizar el mensaje, ya que no tiene contenido distribuyéndose con un archivo adjunto de nombres aleatorios con doble extensión .scr, .pif, .exe. Para ello aprovecha la vulnerabilidad MIME (Multipurpose Internet Mail Extensions) de algunas versiones de Microsoft Outlook, Outlook Express e Internet Explorer que permiten que el archivo anexado sea ejecutado automáticamente, sin necesidad de que el usuario receptor del mensaje lo active.

El parche de seguridad para esta vulnerabilidad puede ser descargado del siguiente URL de Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

La característica de infectar con tan solo visualizar el mensaje lo convierten en gusano muy peligroso. También se difunde en las estaciones de trabajo de red LAN con carpetas compartidas.

Funcionamiento Este gusano captura los buzones de correo de la Libreta de Direcciones de Windows (WAB) y se auto-envía utilizando comando SMTP (Simple Mail Transfer Protocol) del sistema infectado.

Este gusano también es un Troyano que permitiría a un hacker tomar un absoluto control de los sistemas infectados. Este gusano afecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Tanto los asuntos como los archivos adjuntos son elegidos de forma aleatoria entre los nombres o frases contenidas dentro del código del gusano y el remitente puede ser cualquier dirección de correo capturada del sistema infectado. El asunto es elegido aleatoriamente de estas frases:

· Found
· 150 FREE Bonus!
· 25 merchants and rising
· Announcement
· bad news
· CALL FOR INFORMATION!
· click on this!
· Correction of errors
· Cows
· Daily Email Reminder
· empty account
· fantastic
· free shipping!
· Get 8 FREE issues - no risk!
· Get a FREE gift!
· Greets!
· Hello!
· history screen
· hotmail.
· I need help about script
· Interesting
· Introduction
· its easy
· Just a reminder
· Lost
· Market Update Report
· Membership Confirmation
· My eBay ads
· New bonus in your cash account
· New Contests
· new reading
· News
· Payment notices
· Please Help
· Report
· SCAM alert
· Sponsors needed
· Stats
· Today Only
· Tools For Your Online Business
· update
· various
· Warning!
· Your Gift
· Your News Alert

Y ahora, el "osito" ha añadido también mensajes tan cariñosos como "Hola", "Para recordarte" y demás mensajes empalagosos.

Al ejecutar el archivo infectado, el gusano se auto-copia en el directorio C:%system% como un archivo aleatorio de 4 letras, de la forma "FNNN.EXE" (el valor NNN es un carácter aleatorio)

Para poder activarse la próxima vez que se inicie, el sistema creará la siguiente llave en el registro (ejemplo):

[HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunOnce]
(nombre aleatorio) = C:%System%(nombre aleatorio FHIF.exe)

%system% es una variable del Sistema de Windows y que por defecto es C:WindowsSystem para Windows 95/98/Me, C:WinntSystem32 para NT/2000 o C:WindowsSystem32 para Windows XP.

Asimismo copia a las siguientes carpetas, los siguientes troyanos/backdoor:

· C:%Windir%OKKQSA.DAT
· C:%Windir%USSIWA.DAT
· C:%Windir%SystemICCYOA.DLL
· C:%Windir%SystemLGGUAGAA.DLL
· C:%Windir%SystemROOMUSA.DLL

Luego deshabilitará los siguientes antivirus, Firewalls o sistemas de Seguridad:

· ZONEALARM.EXE
· WFINDV32.EXE
· WEBSCANX.EXE
· VSSTAT.EXE
· VSHWIN32.EXE
· VSECOMR.EXE
· VSCAN40.EXE
· VETTRAY.EXE
· VET95.EXE
· TDS2-NT.EXE
· TDS2-98.EXE
· TCA.EXE
· TBSCAN.EXE
· SWEEP95.EXE
· SPHINX.EXE
· SMC.EXE
· SERV95.EXE
· SCRSCAN.EXE
· SCANPM.EXE
· SCAN95.EXE
· SCAN32.EXE
· SAFEWEB.EXE
· RESCUE.EXE
· RAV7WIN.EXE
· RAV7.EXE
· PERSFW.EXE
· PCFWALLICON.EXE
· PCCWIN98.EXE
· PAVW.EXE
· PAVSCHED.EXE
· PAVCL.EXE
· PADMIN.EXE
· OUTPOST.EXE
· NVC95.EXE
· NUPGRADE.EXE
· NORMIST.EXE
· NMAIN.EXE
· NISUM.EXE
· NAVWNT.EXE
· NAVW32.EXE
· NAVNT.EXE
· NAVLU32.EXE
· NAVAPW32.EXE
· N32SCANW.EXE
· MPFTRAY.EXE
· MOOLIVE.EXE
· LUALL.EXE
· LOOKOUT.EXE
· LOCKDOWN2000.EXE
· JEDI.EXE
· IOMON98.EXE
· IFACE.EXE
· ICSUPPNT.EXE
· ICSUPP95.EXE
· ICMON.EXE
· ICLOADNT.EXE
· ICLOAD95.EXE
· IBMAVSP.EXE
· IBMASN.EXE
· IAMSERV.EXE
· IAMAPP.EXE
· FRW.EXE
· FPROT.EXE
· FP-WIN.EXE
· FINDVIRU.EXE
· F-STOPW.EXE
· F-PROT95.EXE
· F-PROT.EXE
· F-AGNT95.EXE
· ESPWATCH.EXE
· ESAFE.EXE
· ECENGINE.EXE
· DVP95_0.EXE
· DVP95.EXE
· CLEANER3.EXE
· CLEANER.EXE
· CLAW95CF.EXE
· CLAW95.EXE
· CFINET32.EXE
· CFINET.EXE
· CFIAUDIT.EXE
· CFIADMIN.EXE
· BLACKICE.EXE
· BLACKD.EXE
· AVWUPD32.EXE
· AVWIN95.EXE
· AVSCHED32.EXE
· AVPUPD.EXE
· AVPTC32.EXE
· AVPM.EXE
· AVPDOS32.EXE
· AVPCC.EXE
· AVP32.EXE
· AVP.EXE
· AVNT.EXE
· AVKSERV.EXE
· AVGCTRL.EXE
· AVE32.EXE
· AVCONSOL.EXE
· AUTODOWN.EXE
· APVXDWIN.EXE
· ANTI-TROJAN.EXE
· ACKWIN32.EXE
· _AVPM.EXE
· _AVPCC.EXE
· _AVP32.EXE

Finalmente abre el puerto 36794, con lo cual los sistemas infectados podrán ser controlados remotamente. Total, una ruina.

Doctor, dígame la verdad, ¿estoy infectado? Si no estamos seguros de estar infectados o no, un consejo útil es examinar el menú de Inicio (Inicio, Programas, Inicio). Si el gusano se ha ejecutado en su computadora, se encontrará allí un archivo .EXE de tres letras elegidas al azar.

De cualquier modo, se recomienda revisar toda su computadora con un antivirus actualizado para estar seguro. Por las características del gusano, se recomienda ejecutar un antivirus en modo a prueba de fallos o iniciando desde un disquete.

Cuidado con el dinero

Cuidado con el PC que puede pasar una desgracia
Por si no bastaban las razones para odiar a este "osito", ahora damos una definitiva: Bugbear te puede vaciar el bolsillo. El simpático osito libera un archivo .DLL que contiene un caballo de Troya capaz de capturar lo tecleado por la víctima. Si el pobre pardillo se conecta a Internet usando una conexión telefónica, el gusano envía esta información a una dirección electrónica remota y encriptada. Así, que antes de dar el número de tarjeta hay que asegurarse de estar limpito y si ya es tarde para eso, pregunte en su banco.


Y encima de malo e infeccioso, molesto... Aunque Bugbear no infecta otros archivos, intenta copiarse a si mismo a todos los recursos compartidos, incluyendo las impresoras. Por supuesto, las impresoras no pueden infectarse, pero el resultado es que comenzarán a imprimir el propio código del gusano (caracteres sin sentido para nosotros), gastando una gran cantidad de papel

Si no quiere que su impresora siga gastando papel y tinta inútilmente pruebe el método clásico que casi nunca falla: apagar y encender. Si continúa imprimiendo, vuelva a apagarla. Si puede ver la cola de trabajos pendientes, intente eliminarlos. Si esto no funciona, rece, perdón, llame al técnico.


Doctor, ¿cuánto tiempo me queda? Pues, como es evidente, se infectará si ejecuta el archivo adjunto. Recuerde que si no tiene actualizada su versión de IE 5, 5.01 o 5.5, en algunos casos el gusano se ejecutará sin que usted deba abrir expresamente el adjunto, con solo visualizar el mensaje o verlo en la vista previa.

Así que, como decían en Hill Street: "Tengan mucho cuidado ahí fuera"

Hola antes que nada gracias por la pronta respuesta

Bueno ahora intente bajar ese patch de la pagina de microsoft pero al parecer ya no se encuentra en su base de datos ...

Encontre algunas alternativas como por ejemplo una de symantec q se llama:

"FixBugb.exe" (159 Kb)

No se si sea buena opcion pero bueno la voy a bajar y les cuento como me fue y si este resolvio mi problema ...

Ok amigo si no se resuelve empesamos a darle medicina a tu pc jejeje suerte.

Bueno ya resolvi mi problema ...les cuento como

la heramienta de Symantec no encontro ningun worm ...

Pero me recomendaron que tratara de reiniciar mi computadora en modo a prueba de fallos y que borrara todas las carpetas del Norton y lo hice

despues le pase el Norton Removal Tool por lo poco ortodoxo del procedimiento ...y esta vez me dejo desinstalar el Norton Internet Security sin ningun problema

ahora mi pc ya no muestra ningun mensaje de error IAMAPP.EXE no se pudo ejecutar al iniciarla y ya puedo conectarme a internet

pero a todo esto quisiera preguntarles ...

¿Porque pasó esto?

pudiera ser q mi norton estaba infectado por otro virus o worm q no era el BUGBEAR o W32/BugbearMM, W32/TanatosMM, I.worm.Bugbearmm y al borrar su carpeta este desaparecio ?

Quizas habia un error en esa carpeta o algun conflicto o un virus y eliminando todo eso limpiastes el pc y bueno me alegra que todo este bien resuelto cualquier cosa a futuro aqui estamos.

Suerte podemos dar el tema por terminado.