De vez encuando el W. vista aun me da alguna que otra alegria, ahora os explico el porque.
Antes de ayer no se de donde ni como, pero se instalo en mi portatil un virus llamado " herss.exe " con la firma en el registro de " cdoosoft ". este virus se propaga por medio de dispositibos de almacenamiento, tipo pendrivers, disco duros externos, mp3s, tarjetas de memoria, etc... y lo que hace es instalar unos archivos ocultos y un autorun, tambien esconde unos archivos temportales en una carpeta de usuario oculta, en el windows xp desabilita la opcion de permitir ver archivos ocultos y del sistema, por eso resulta tan dificil de eliminar, en cambio en el vista eso no sucede y por eso me resulto mas sencillo de eliminar. De momento no encontre demasiada informacion sobre este virus, ya que buscando e google y no e encontrado alguna solución fiable al 100%. (puede ser que no me esmerase mucho en buscarla)
Aqui os dejo algunos enlaces con información:
http://www.virusremovalguru.com/?p=3203
http://www.prevx.com/filenames/236964803510041306-X1/HERSS.EXE.html
http://www.forospyware.com/t264369.html
Si alguien tiene mas información puede agregarla en un comentario y modificaremos esta entrada con la información facilitada.
Un saludo, Xigui
p.d.: de momento ni el avast, ni el panda online, son capaces de dectectar el virus.
hola!
ResponderEliminaryo tambien tengo el herss.exe en mi pc y al parecer algunos de ellos se propagaron x la red de mi trabajo. Si es dificil de detectar!!
Ni el Nod32 lo ha detectado!! :(
ResponderEliminarse aparece en el inicio de Windows y por mas que uno lo desabilite, sigue apareciendo.
si alguien tiene la respuesta contacteme si?
explosion_de_arte@hotmail.es
Que tal!
ResponderEliminarYo hice lo siguiente y hasta el momento ya no me ha molestado:
1) Inicio, Ejecutar, escribimos "msconfig". En la pestaña de Inicio desmarcamos herss.exe...
2) Inicio, Ejecutar, escribimos "regedit". Buscamos la opción Buscar e ingresamos "cdoosoft" y eliminamos todos los registros, incluso la carpeta..
Saludos
kaspersky lo neutraliza no se si lo elimina pero no lo deja trabajar mas osea lo bloquea porque me lo agarre hoy
ResponderEliminarYo fui un afectado mas de este bicho :'( intenté quitarlo del registro y no me lo permitió, generaba un error al guardar el registro (en msconfig).
ResponderEliminarPara variar era la compu del trabajo :S por lo que no podia utilizar otro antivirus que el symantec antivirus(sin palabras) hasta el momento me resulto lo siguiente:
En DOS:
Ir hasta la carpeta donde esta el ejecutable del virus(esta ruta si la podemos ver con el msconfig) y ejecutar esta instrución:
attrib -s -h -r -a *.*
para estar seguros que el virus se encuentra aquí digitamos:
dir herss.exe
y luego la estocada final:
del herss.exe
Espero les sirva :D
gecocr@hotmail.com
Hola a todos!.
ResponderEliminarLes comento que yo también he tenido este tipo de virus en mi computador; la solución fue tan sencilla como eficiente (aunque apenas hace unos pocos días le he encontrado).
De momento Panda Antivirus 2009, detecta y elimina este tipo de virus que casualmente descubrí que se encuentra acompañado de otros (todos estos de tipo Malware según panda). Para eliminarlo, simplemente instalé Panda Antivirus 2009 e inicié de inmediato la actualización de este (sin necesidad de pagar); una vez finalizada, anialcé mi computador y listo. Problema solucionado.
Según he podido percatarme, su función es causarle daño a nuestro PC de diversas formas; además este siempre viene acompañado de otros archivos que este mismo copia (entre ellos un Worm o virus gusano). Esta es la info. que he podido recabar. Saludos y muy bueno el blog.
Por dudas ZERO-FDS@hotmail.com
me di cuenta de algo tengo el malwarebytes este me detecto este virus y esta acompañado de un .dll se llama cvasds0.dll este virus por lo q me he dado cuenta se guarda en la suguiente direccion C:\Documents and Settings\fenixx\Configuración local\Temp Como se infecta? LO TIENEN LAS MEMORIAS EXTERNAS COMO CELULARES O CUALKIER DISPOSITIVO EXTRAIBLE, ESTE SE INFECTA ABRIENDO LA UNIDAD DIRECTAMMENTE OSEA HACIENDOLE CLICK, AL = ME DI CUENTA QUE LOS ANTIVIRUS NO LO DETECTA HASTA Q ESTE HACE SU PROCESO Y AUN ASI AUNQUE ESTE EN PROCESO NO LO DETECTA PERO AQUI DICEN Q EL KARPESKY SI KIENSABE NO LO SE, PARA EVITAR ESTO HAY UNA SOLUCION ABRAN SUS DISPOSITIVOS EXTRAIBLES POR MEDIO DE: CLICK SECUNDARIO>BUSCAR Y ASI NO LO EJECUTAN DIRECTAMENTE
ResponderEliminarCOMO AFECTA ESTE VIRUS: POR LO Q HE VISTO: DESACTIVA LA VISTA DE ARCHIVOS OCULTOS, LA COMPUYADORA SE E AFECTADA EN LA VELOCIDAD DE BANDA ANCHA HASTA VECES DE UN BUEN TIEMPO SI ESTAS EN UN GRUPO DE TRABAJO LAS OTRAS COMPUTDORAS NO TIENEN INTERNET SEÑAL MUY BAJA.
TRATE DE BUSCAR EL VIRUS EN MI CELULAR Y NADA LO DETECTA YESO Q TENGO INSTALADO 4 PROTECCIONES EN MI COMPUTADORA: EL AVAST 4.8, EL MALAWARE, EL SPYBOT, EL WINDOWS DEFENDER.
YO PENSE Q EL VIRUS ASI NO IVA A ENTRAR Y SI ENTRO.Q POCA....
IMPORTANTE: NINGUN ANTIIRUS LO DETECTA HASTA Q TU MISMO LO EJECUTAS SIN Q TE DES CUENTA, OSEA SIEMPRE VA A PERMANECER EN TU DISCO EXTRAIBLE A SOLO Q LO FORMATIES. ES TODO LO Q SE, VOY A TRATAR DE ELIMINARLO CON SUS INFORMACIONES Y CON EL UNLOKER SI ES Q NO ME DEJA ELIMINARLO MANULAMENTE. ATENTAMENTE EL FENIX
Hola encontre a un amigo que escribio una solucion para este virus, saludos
ResponderEliminarhttp://www.taringa.net/posts/apuntes-y-monografias/2335189/Como-Eliminar-el-virus-_Equot;olhrwef_exe_Equot;.html
A mí me lo detectó el Windows Defender (actualizar y revisar configuración) y el WinPatrol al intentar crear/modificar claves del registro y, obviamente, no permitírselo.
ResponderEliminarPosteriormente revisé el dispositivo USB sospechoso y encontré 2 archivos ocultos (autorun.inf y o8tf6l.exe) responsables de la propagación y que inmediatamente eliminé.
AVISO: he visto comentarios sobre variaciones del nombre del ejecutable.
Atentamente.
##### archivos relacionados virus:#######
ResponderEliminarc:\ucivd6xi.bat (archivo oculto) 115804
c:\autorun.inf (archivo oculto)
c:\Documents and Settings\Administrador\Configuración local\Temp\
Cvasds0.dll 76004 --- troyano residente y restarador Este archivo no lo borra winrar yo use killbox 2.0
ginstall.dll 56320
Herss.exe 115804
eliminacion (herramientas)
1.- Hijackthis 2.02
2.- process explorer desde http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
atravez de el ejecutamos winrar.
2.- disponer de winrar (atravez de winrar podemos ver las carpetas ocultas que el explorer de windows no nos permite ver, asimismo tambien atravez de winrar podemos eliminar algunos archivos.
3.- killbox 2.0 atravez de process explorer lo ejecutamos y eliminamos
C:\Documents and Settings\Administrador\Configuración local\Temp\cvasds0.dll
espero que sirva
tengo el nod 32, una cagada este virus, lo elimine del regedit, lo destilde del inicio msconfig...y sigue sin dejarme ver los archivos ocultos...help que hago
ResponderEliminarA mi tambien me aparecio este virus yo lo detecte de casualidad tratando de borrar archivos sospechos que no podia eliminar de mi pc, como ya dicen:
ResponderEliminar1.- El Nod32 no lo detecta
2.- Este virus se propaga mediante los dispositivos usb que traen un archivo autorun.ini que esta asociado a otro archivo *.exe o un *.bat. (archivos ocultos), una vez que tu PC lee el dispositivo usb activa el autorun que a su vez ejecuta el archivo asociado ejecutable, este proceso deshabilita la lectura de los archivos ocultos (por eso no los podemos detectar); crea el archivo herss.exe en el inicio del windows y tambien una copia del autorun y el ejecutable en las demas particiones del disco, es por eso que sigue funcionado en las pcs que tienen particion del sistema con hielo.
3.- para eliminar estos bichos hacer los siguiente:
- arranca el windows en modo seguro utilizando la tecla F8, asi deshabilitas cualquier proceso no deseado que esta en el sistema.
- Ejecuta el regedit busca y elimina todos los registros herss. exe y Cvasds0.dll
- Ejecuta el winrar y utilizalo como explorador, elimina todos los archivos autorun.ini y todos los archivos exe sospechosos
de todas las particiones de tu disco duro y de tus memorias usb.
- para restaurar la lectura de tus archivos ocultos ejecuta la siguiente rutina
reg add "hkey_local_machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\showall" /v checkedvalue /t REG_DWORD /d "00000001" /f
4.- LES RECOMIENDO UTILIZAR COTIDIANAMENTE EL WINRAR COMO EXPLORADOR DE ARCHIVOS, YA QUE PODRAN VER ARCHIVOS OCULTOS SOSPECHOSOS Y ELIMINARLOS, (CUANDO TU PC ESTA INFECTADA ES POSIBLE QUE SE DESABILITE LA FUNCION DE VER ARCHIVOS OCULTOS)
5.-CUANDO UTILICEN MEMORIAS USB GUARDEN SUS ARCHIVOS DENTRO CARPETAS, PARA QUE PUEDAN DETECTAR EN LA RAIZ CUALQUIER ARCHIVO SOSPECHO Y ELIMINARLO FACILMENTE.(EN SU MAYORIA LOS VIRUS SON ARCHIVOS OCULTOS CON EXTENSIONES .EXE, .INF, .BAT Y CARPETAS CON EL NOMBRE DE "CONFIG" "drive" "RECYCLED", ASI QUE SI LOS DETECTAS EN TU USB BORRALOS)
6.- PARA EVITAR QUE SE PEGE ARCHIVOS AUTORUN.INF EN TU MEMORIA USB UTLILIZA LA APLICACION USBVaccine.exe ES GRATUITA LO PUEDES DESCARGAR DESDE GOOGLE CON ESE NOMBRE, ESTA APLICACION TE CREA UN ARCHIVO AUTORUN.INF INOFENSIVO ASI EVITA QUE SE SOBREESCRIBA OTRO ARCHIVO AUTORUN QUE PUEDA ACTIVAR VIRUS, POR LO SI TU MEMORIA SE INFECTA NO PODRA PROPAGAR VIRUS A OTRAS PCS, ESTA APLICACION NO EVITA QUE SE PUEDAN COPIAR ARCHIVOS EJECUTABLES ASOCIADOS, ESOS LOS PODRAS ELIMINAR MANUALMENTE CON EL WINRAR
ESPERO QUE LES SIRVA LA SOLUCION
ATTE
morrisluna20@hotmail.com
Muchas gracias morrisluna, me funciono al menos esta mas estable, siempre tuve esa forma de buscarlos, pero me ahorraste tiempo y se agradece tu ayuda.
ResponderEliminarHola a todos, les comparto estos pasos para componer los problemas que causa este virus.
ResponderEliminar1.Deshabilitar Restaurar Sistema
2.Iniciar la PC en modo seguro
3.Correr alguna herramienta para limpiar temporales como el CCleaner
4.Correr el Malwarebyte's Antimalware
5.Bajar el rar contenido en este link:
www.mediafire.com/download.php?mxy50kgxkmo
Ahi encontraràn varios scripts para limpiar virus como el Recycler, pero el que deben correr es el mata_virus_amvo que sirve para restaurar los archivos ocultos.
Espero les funcione como me funciono a mi.
o8tf6l.exe Me atacó los discos locales (tengo partición). Avast hasta hace unos días no podía con él. Ahora con las nuevas definiciones parece que sí. Lo quité con ad award, también funciona malware bytes. Pero el primero me rompió los accesos directos a las unidades c y d. ahora la única forma de abrirlas es a través del explorador.
ResponderEliminarbueno ese virus es el mismo diablo pero yo hice algo ke me funcionó y fue ke fuí a msconfig por ejecutar y lo desactivé desabilité restaurar sistema y ya pero aun no puedo borrar el exe
ResponderEliminarHola... tambien me atacó y aunque se quita con Malwarebytes Antimalware, vuelve porque se crea un archivo autorun en el disco duro. El programa Flash Disinfector (www.precisesecurity.com/tools-resources/adware-tools/flash-disinfector/ ) le permite ver todos los archivos de nuevo. Despues hay que abrir(editar) el autorun.inf para ver cual es el exec (mio era 0fkk02x.exe) hay que borrar con el autorun.
ResponderEliminarhola amigos no lei mucho pero yo tambn lo tengo y esta acompañado de su amigo el cvasds1.dll es otro virus similar ningun antivirus lo detecto antes prove con avg nod32 eset avast panda entre muchisimos otros mas y ninguno lo detectaba obviamente yo sabia q era virus ...
ResponderEliminarentonces decidi provar con la version trial de la leyenda rusa osea el "KASPERSKY" el cual me detecto ese y otro 4 virus q ninguno me habia detectado este considero el mejor antivirus del mundo depsues de provar tantos antivirus y ojo solo lo hice por detectar esos 2 virus y ninguno me resulto util excepto este asi que amigos si kieren librarse de esos y otros virus les recomiendo es KAV o el KIS
By: jegaxp3000@hotmail.com
a mi me paso igual... lo que hice fue: en ininio escribi msconfig y dentro de este aparece la ruta donde està herss.exe ....simplemente fui a la ruta y lo elimine, despues elimine el autorun.inf ke aparecia en disco local C y por utlimo borrè las entradas de este programa en el registro.........."rayos este virus me sacò canas" per solo asì lo pude eliminar.
ResponderEliminarby: serio wc
a mi me paso igual... lo que hice fue: en inicio escribi msconfig y dentro de este aparece la ruta donde està herss.exe ....simplemente fui a la ruta y lo elimine, despues elimine el autorun.inf ke aparecia en disco local C y por utlimo borrè las entradas de este programa en el registro.........."rayos este virus me sacò canas" per solo asì lo pude eliminar.
ResponderEliminarby: serio wc --- ito -----
Por Favor, dejen de hablar como el panda como si fuera un buen antivirus, este antivirus realmente es un virus, por que no hace mas que haver mas lenta la máquina.
ResponderEliminarEstan todos escribiendo lo mismo sin leer lo que ponen los anteriores.
1)Hay que tener en cuenta que si uno ya está infectado, este virus se protege a si mismo, por lo que para muchos antivirus se oculta(esto se ve, en que quizas con el mismo antivirus, si lo hubieramos tenído actualizado y colgabamos un disco como esclavo con este virus, lo detectaría, pero no todos los antivirus son tan eficientes.
Concejos:
Si tienes el panda, Eliminalo.
Lo que tienes que hacer es primero que todo poder ver el archivo para poder eliminarlo, y que mejor un programa que te permita ver el virus y eliminarlo al mismo tiempo, esto lo podes encontrar en la pagina TARINGA.COM
Muy buena logre desinstalarlo facilmente con el MSN VIRUS REMOVAL
ResponderEliminarYo he conseguido eliminar el virus de manera sencillla, pasos a seguir:
ResponderEliminar1)Pasale el spybot
2)Pasale el malwarebytes
3)Luego limpias cookies, y registro con el Ccleaner.
4(Por ùltimo le programas el avast para la proxima vez que arrancas, lo dejas que lo pase y listo.
Suerte.
El programa -Your Uninstaller- ! elimina ese virus, entre muchos mas, de manera eficaz & segura. Lo recomiendo como una excelente alternativa. En las propias listas del programa, apareceran los virus & archivos en mal estado. Descargar en google. con el nombre.
ResponderEliminarAnónimo del 9 de octubre se expresa correctamente, postean un comen sin leer los anteriores, puedo decir que los he leido todos y son buenas soluciones, pero de fondo, para eliminar este bicho, es necesario vaciar carpeta temporales, con ccleaner en modo seguro, y deshabilitada la función de restaura sistema. pasar un antivirus te hace ver como tonto, pocos lo detectan, ninguno lo elimina, solo haciendolo manualmente lo logras, borrando el contenido de temporales, editando el registro y pasar otra vez el ccleaner en modo seguro, para borrar cualquier rastro del virus y usar el usbVaccine.
ResponderEliminarsaludos.
Frantavares
PD El uso de antivirus: Kaspersky, panda, avg, nod32, te hacen lenta la compu, si pero te ayudan a detectar cuando menos los bichos que entran por las usb, pendrive, o flashMemory. la lentitud no la puedes evitar. A los bichos si los puedes evitar. Lastima que Windows sea tan vulnerable.Es un desastre como SO....
yo use el destroza virus USB 1.6 ahi me detecto todos los virus de la memoria usb que estaban en recicler por eso no los elimina los otros antivirus con la opcion fuerza bruta. y con ese tambien lo pase un escaneo a domentos y setting que es donde se aloja el dicho virus con el destroza virus libere la accion de ocultar documentos y lo encontre mas facil asi.
ResponderEliminartambien hay otros antivirus solo para usbs pero ultimamente estan proliferendo unos muy nuevos
ATENCION A TODOS LOS USUARIOS... EL AVG 2010 LO BORRA DE TODOS LOS DISCOS PARA QUE NO APAREZCA DENUEVO. DESCARGUENLO http://free.avg.com/es-es/download-file-ins-afg-free
ResponderEliminaryo tambien fui victima d este bicho insoportable, alentaba mi makina e inclusive aveces la reiniciaba. en fin, el consejo q me sirvio bastante es el q dejo el anonimo del 6 de agosto 8:55. gracias
ResponderEliminarMuchas gracias, yo también tube el virus, y simplemente me lo detectó el widows defender, a pesar de que tengo el avast...
ResponderEliminarSeguí los pasos indicados de prohibir el permiso de iniciarse al inicio y borrarlo del registro, además de liberar espacio en el disco duro , puesto se borran archivos temporales.
Parece que va bien...
Gracias
Tambien lo elimina y detecta al conectar las memorias el Norton Internet Security 2009, me funciono mejor que el AVG
ResponderEliminarHOLA BUENAS NOCHES.... YO TAMBIEN TENGO ESE VIRUS MI COMPU TIENE WINDOWS VISTA Y TRATO DE HACER TODO LO QUE USTEDES HAN REALIZADO Y NADA QUE SE ELIMINA.... MI ANTIVIRUS ES AVAST....
ResponderEliminarEl avast es el peor antivirus del mundo despues del norton antivirus y panda
ResponderEliminarMUCHACHOS, SI DE VERDAD QUIEREN ELIMINAR ALGUN VIRUS, OLVIDENSE DE LAS SIGUIENTES BASURAS:
ResponderEliminarNORTON SECURITY, AVAST, PANDA, AVG, ESTAS PORQUERIAS NO HACEN MAS QUE HACER DETECCIONES ERRADAS Y AL VERDADERO VIRUS LO DEJA CIRCULANDO POR EL SISTEMA COMO SI NADA
HOLA GENTE, ME LLAMO DANIEL REDBULL, LES COMENTO... YO TENÍA ESTE VIRUS Y LO PUDE ELIMINAR MUY FACILMENTE TAN SOLO CON UN ARCHIVO EJECUTABLE QUE ENCONTRE EN LA PAGINA TARINGA.NET. SOLO COMO OPINION, SI TENGO QUE OPTAR POR UN BUEN ANTIVIRUS, ESE SERÍA EL NOD32. ESPERO QUE LES FUNCIONE, YO YA LO ELIMINE, Y LO MEJOR QUE NO TUVE QUE DAR QUICHISIENTAS VUELTAS POR EL REGISTRO NI NADA POR EL ESTILO. SUERTE
ResponderEliminarR3dBu77
yo lo elimine con el tuneup 2009 q lo detecto
ResponderEliminarUsen esto y se les ayudara mucho http://fansitexd.co.cc/showthread.php?tid=39
ResponderEliminarluego vayan ala carpeta tmp de window borren todo pasenle el ccleaner al registro y al sistema borren absolutamente todo tmb borren cualquiera archivos no cotidiano y con nombre raros q sean ejecutables y esten en sus discos !! no se preocupen este programa esta programado en visual basic por unos amigos yo le agregue algunas cosas me funciona de maravilla es una herramiente util para casos dificiles.
http://fansitexd.co.cc/showthread.php?tid=39
Hasta hace pocos días, me he topado con un virus llamado " cdoosoft ", que por cierto, su técnica es que se hace llamar [herss.exe], como ustedes dicen, su habilidad es desactivar la función de "ocultar archivos y carpetas" de las Opciones de carpeta. Pero, te aclaro que ningún antivirus comerciales y de pruebas, incluso antivirus scan on-line no pueden eliminar completamente, porque simplemente es un virus que no han "encontrado la vacuna", es por eso, se debe eliminar manualmente con cualquier distribución linux, agrego que además se debe eliminar la carpeta oculta de "Systems Volumen Information", dicha carpeta es como un respaldo o el histórico de los programas que se usan, incluso los temporales.
ResponderEliminarFinalmente, las utilidades que me ha dado muy buenos resultados para descubrir virus-troyanos y aplicaciones sospechosas son las siguientes:
a-squared HiJackFree, asquared Free, SuperAntiSpyware Free Edition (el de pago hace todo e incluso elimina completamente) y otros que no recuerdo.
http://www.emsisoft.com/en/software/download/
Es importante que investiguen con paciencia con la ayuda de Google, pues, aún en el presente día, estoy buscando información acerca del virus moco, ese virus es parecido al anterior, pero, es más dificil de encontrar en todos lados, aunque deja rastro como una carpeta llamada ice y dentro de ella está ese molesto virus, si elimina con facilidad, pero, en el corazón del sistema operativo Windows se encuentra un script que hace que reproduzca ese dichoso virus para contaminar medios de almacenamientos y red.
Eso es todo, creo que he escrito de más, pero, necesario para el conocimiento de todos los que hacemos vida en el mundo de la Tecnología de la Información.
A todos gracias...
en windows 7 he consegido borrar la entrada de registro i no tiene nada en especial se encuentra en:
ResponderEliminarInicio>ejecutar>regedit>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\solo hace falta borrarlo, he mirado i se guarda en los archivos temporales el .exe pero no lo he encontrado
Yo acabo de quitarlo de un windows xp, primero hay que borrar del registro, como lo indican en el comentario anterior, después entrando con el símbolo del sistema utilizamso el comando attrib para ver los atributos de los archivos y veremos en el directorio raiz los archivos o8tf6l.exe y autorun.inf con atributos SHR habilitados, los deshabilitamos con el comando attrib y los borramos, luego en la carpeta Temp está e, archivo herss.exe también con los mimos atributos, hay que hacer lo mismo que con los 2 anteriores, borrarlos utilizando la ventana de comandos.
ResponderEliminar