Virus "nircmd"

Hola a todos!

Necesito ayuda para saber como eliminar el siguiente archivo latoso. Se llama "nircmd" y supongo es un virus.
Tengo en mi compu Kaspersky Internet security 7.0 y no lo detecta y si lo llegó a detectar no lo borró.
Mi sistema es Windows XP 2002.
Cada que conecto una usb o peor, el telefono celular, aparece este virus y por mas que lo borro, vuelve a parecer. Lo peor es que no puedo conectar otro dispositivo por que "dispositivo que conecto, dispositivo que se infecta con ese archivo".

He intentado escanear los dispositivos (Usb y celular) con el Kapersky y lee todo y resulta que no tiene amenza. Pero el archivito ese, ahi sigue!!!!
Agradezco su ayuda!!!
Muchas gracias!!!!

Hola , bienvenido al forospyware....

hace lo siguiente:
Apagar el "Restaurar Sistema"

- Descargué, Instale y/o actualice estos programas: (pero no los ejecute aun).

* Flash_Disinfector.exe (al final del post)
* SUPERAntiSpyware
* CCleaner


.- Reiniciar e iniciar en "Modo a prueba de fallos" (modo seguro)

.- Ejecutar Flash_Disinfector.exe en el PC y luego Colocar el Pendrive en el puerto USB y ejecutarlo nuevamente.

Cita:

Flash_Disinfector creará una carpeta oculta llamado "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudara a proteger sus dispositivos USB de futuras infecciones.

Al terminar haga un escaneo general del sistema con SUPERAntiSpware.

- Ejecute CCleaner usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Realice un escaneo completo con Kaspersky Antivirus Online.

Reinicia y comprobar el sistema.

espero tu reporte..no olvides pasarte

saludos

Hola pues, veras, tengo este problema en 2 computadoras. En la de mi casa y en la de la oficina.

Ambas son Windows XP 2002.
El de la oficina tiene Avast 2008 de prueba. En mi casa el Kaspersky internetr security 7.0.
El proceso que me dijiste lo hize en la compu de la oficina.
Arranque al final Kapersky on line y si detecto algunos troyanos que tenia, pero el mismo avast los elimino. Pero el problema con las usb y celulares siguen igual.
El archivo nircmd sigue apareciendo. Incluso el Kaspersky lo analiza como si fuera cualquier otro archivo y no hace nada.

Todo sucedio en la compu de la oficina. Una compañera conecto su celular y éste tenia el archivo "maldito".
Tenia yo conectada mi usb normal "Kingstone"
Luego resulta que llego a casa, prendo MI COMPU y conecto mi memoria y veo que el archivo que tenia el celular de esta chava estaba ahi en mi memoria y dije: EN LA TORRE!!!!!
Eliminé el archivo pero a los 5 segundos volvia a salir.
La formatee y quedo en blanco. Y al otro dia en mi compu tambien, al conectar mi celular para ponerle canciones veo que tambien les aparecia (a la memoria del telefono y a la memory) este archivo NIRCMD.

Ya me desesperó. Por un lado la memoria USB no importa, pero si las del celular y que pueda afectarles.
No se que caracteristicas tenga este virus o que daño hagan, pero por mientras, no puedo conectarle ningun dispositivo ni a la de la oficina ni a la de mi casa. NECESITO AYUDA!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Las instrucciones antes expuestas, sirvieron para optimizar la compu, pero el archivo sigue en los dispositivos extraibles.

GRACIAS

hola, te hago esta pregunta, para corroborar, ejecutaste el flash desinfector con tu pendrive conectado a la pc??

es muy importante que lo ejecutes, primero en cada pendrive o celular que tengas infectado, luego lo sacas y lo ejecutas en la pc, sin el pendrive puesto...lo hiciste de esa forma??' si NO lo has hecho, hacelo.

si lo has hecho, me avisas, para tomar otras medidas

saludos, espero tu respuesta.

Hice el proceso de desinfeccion para los dispositivos.
Y funciono, no aparece ya ese archivito con icono de "simbolo de sistema" Como si fuera una aplicacion. Ya no aparece.

Cuando corri el desinfectador cierra todo el explorer y luego al finalizar vuelve aparecer todo el escritorio y una ventanita dice Proceso terminado y FIN. Le doy clik en Fin y ya.
Retiro la memoria y listo.A

Ahora........

Respecto a mi Compu:
En la computadora de mi casa donde tengo el kaspersky ya no aparece en los dispositivos "nircmd", pero luego al analizarla con este antivirus veo que lo lee, por lo que entonces me doy cuenta de que sigue ahi, pero solo que invisible.
Me di cuenta tambien que este archivo estaba en la carpeta TEMP dentro de "Configuración Local" Lo malo es que el antivirus no lo detecta como amenaza. Entonces lo borre de ahí y creo que ya no volvio aparecer.
Hice lo mismo en la compu de la oficina que tambien estaba en esa carpeta.

Respecto a la Compu de la oficina:
Este tiene el Avast 2008 (Demo) y he hecho el mismo proceso.
Aqui tambien escanee con Kaspersky pero On Line (descative el Avast para hacerlo).
El archivo "nircmd" no aparece en los dispositivos pero cada que conecto una memoria usb (aqui ni loco conecto mi celular), cada que conecto una usb el avast detecta el virus, le doy eliminar en el mensaje de alerta y parece que todo esta bien, pero me aparece la alerta de nuevo y asi cada 5 segundos luego de eliminarlo, como si al eliminarlo a los pocos segundos volviera aparecer, cosa que me imagino ESO HACE!!!

Ambas compus quedaron optimizadas y un poco mas rapidas despues de este proceso que gracias a ti pude hacer.
En mi casa el Kaspersky no hace lo que el Avast en la compu de la oficina, que cuando conecto el dispositivo me empieza a detecar que a cada momento "Tienes un virus" El Kaspersky ni siquiera.
AAhh el Kaspersky Internet 7.0 que tengo en mi compu es original.

Pienso que es el sistema el que esta infectado o no entiendo bien que podrá ser. Me habia topado hace tiempo con virus de este tipo, pero se han erradicado con antivirus tan simples como Panda o el Norton, pero ahora si que no sé que hacer.


TE AGRADEZCO MUCHO y ojala haya alguna otra opcion!!!!

Hola!!!

Pues el problema es este archivo, que lo elimino y vuelve aparecer.
En mi casa tengo Kaspersky internet security 7.0 instalado y no me marca el "nircmd.exe" como virus, pero antes mis dispositivos (Celular y USB) no lo tenian y ahora no los puedo quitar.

En la computadora de la oficina no me deja trabajar cuando se conecta un dispositivo. En esta compu tengo Avast 2008 y acada momento me detecta que hay virus, en la alerta le doy "eliminar" y a los pocos segundos Vuelve aparecer y en este informe (alerta) me dice que es este "nircmd.exe", al escanearlo lo hace como si este fuera una carpeta con archivos dentro y ahi aparacen (en el informde de esacaneo) winmer o algo asi y y me dice que es un troyano.
En un rato mas les pondre mas detallado el informe de kaspersky y de todo.

Gracias por la ayuda, estare pendiente.
Pero pienso que no se trata de algo tan simple como dejarselo ahi a mis dispositivos, sobre todo que cuando conecto alguno nuevo, le aparece este archivo, cosa que no se me hace normal si antes no lo hacia.

GRACIAS

--------------------------------------------------------------------------------

Aqui esta el REPORTE del kaspersky OnLine!

He descubierto que el archivo nircmd en mi computadora esta tambien en la carpeta de System32 dentro de Windows. Lo eliminé, corrí el antivirus y parece que ya no ha vuelto a salir, pero donde siempre aparce aunque lo elimine es dentro de la carpeta TEMP en Configuaración Local.
Y lo de los dispositivos pues las accioné con el "desinfector" pero aun asi sigue infectada pues al escanear el antivirus ahi aparece ese archivo.
Le he instalado a mi computadora el cual tiene Kaspersky 7.0, el AVAST que tengo en la oficina y me detectó virus que el Kaspersky no habia hecho. (el Avast lo he instalado temporalmente en lo que soluciono el problema).
Al parecer el celular se encuentra limpio, bueno fue el resultado que me dio Avast ayer y alrato que llegue veré si todo esta bien. Solo me queda el problema que "nircmd" aparece todavia en la carpeta TEMP antes mencionada. No es normal que elimines un archivo y vuelva aparecer. No se como eliminarlo por completo. (donde ya no ha aparecido es en la carpeta System32)



Hoy llegando a la computadora de la oficina donde estoy ahorita (bueno son las 10 de la mañana) y ya revise la carpeta System32, aqui no esta el "nircmd" por lo que supongo se borro con el antivirus, pero donde si aparece es en TEMP de configuración local. Lo borro y luego, al volver a entrar a la carpeta aparece de nuevo. Igual que en mi compu.

Pasando a otro lado, les informo que en efecto en los dipositivos ya no aparece este archivo, pero al conectar la usb me detecta virus (troyano es el tipo de infeccion que detecta Avast), lo elimina y vuelve aparecer la alerta y asi cada segundo y de plano tengo que desconectarlo. (En mi casa tambien sucedio despues de instalarlo)
Ya intente formatear los dispositivos (menos el celular ) Luego de esto la vacuno con el Desinfector, y aun asi sigue apareciendome la alerta de que el dispositivo esta infectado.
Donde se aplaco un poco es en mi casa con la memoria del celular, que parece que no ha habido problema hasta ayer en la noche, pero ANTES de conectar el celular, al conectar las USB me daban la misma lata de que encontraba el virus y lo eliminaba, lo detecta y lo elimina, no se que hacer.

Si necesitan mas informacion me dicen!!!!
Hay alguna aplicacion que elimine este virus?


Aqui esta el analisis completo:
GRACIAS:

jueves, 17 de abril de 2008 11:11:40
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 17/04/2008
Registros en la base antivirus: 638086


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
F:\

Estadísticas
Número de objeros analizados 54062
Virus encontrados 0
Objetos infectados 0 / 0
Objetos sospechosos 0
Duración del análisis 01:03:37

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado

C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\LightningSand.CFD Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___02 habanera.mp3 Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___20 madame hyde.mp3 Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___sailor moon r - especial (dvd+vhs dual by xete y jem).avi Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___saint seiya - ost - complete soundtrack [1986-2004].rar Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Ares\My Shared Folder\___ARESTRA___sarah brightman_ madame hyde.mp3 Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Messenger\supervisor_phantom@ho tmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Messenger\supervisor_phantom@ho tmail.com\SharingMetadata\pending.dat Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Messenger\supervisor_phantom@ho tmail.com\SharingMetadata\Working\database_7630_8F 29_308E_EF83\dfsr.db Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Messenger\supervisor_phantom@ho tmail.com\SharingMetadata\Working\database_7630_8F 29_308E_EF83\fsr.log Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Messenger\supervisor_phantom@ho tmail.com\SharingMetadata\Working\database_7630_8F 29_308E_EF83\fsrtmp.log Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Messenger\supervisor_phantom@ho tmail.com\SharingMetadata\Working\database_7630_8F 29_308E_EF83\tmp.edb Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\[email protected]\real\membe rs.stg Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\[email protected]\shadow\mem bers.stg Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Historial\History.IE5\MSHist0120080417200804 18\index.dat Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Temp\~DF1023.tmp Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Temp\~DF1631.tmp Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Temp\~DF16CC.tmp Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Temp\~DF5D0B.tmp Object is locked saltado

C:\Documents and Settings\yo\Configuración local\Temp\~DFFFF.tmp Object is locked saltado

C:\Documents and Settings\yo\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\yo\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\App Logs\SUPERANTISPYWARE-4-17-2008( 9-15-8 ).LOG Object is locked saltado

C:\Documents and Settings\yo\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\yo\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Zona 17\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Zona 17\NtUser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{12935782-12F2-414E-9B07-814A479ACF61}\RP1\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{538A4E 49-3084-4A90-9D59-86AB792D6FE9}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_488.dat Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

E:\System Volume Information\_restore{12935782-12F2-414E-9B07-814A479ACF61}\RP1\change.log Object is locked saltado

Análisis completado.