Sres:
Tengo el virus worm/autorun.vb.eg la cual al pasar el Scaner no logra eliminarlo pues sale un mensaje : "Bad File" y lo elimina aparentemente peroi luego se reinstala...agradeceria saber que se puede hacer contra esto...Saludos
Eduardo.
Escanea tu PC completamente un par de veces con el antivirus perfectamente actualizado.
yo tengo el mismo problema pero con otro virus el cual no ha sido identificado al parecer por ningun antivirus ha sido creado el 4 de julio segun el archivo aki le dejo el link a ldcmx para que lo analizen por favor. este virus crea un autorun.inf y cuando es eliminado lo vuelve a crear automaticamente ademas guarda una copia de respaldo en la carpeta temporal pero con otro nombre y hace que se ejecute cada vez que se inicia el sistema.
http://www.4shared.com/file/119733070/9dfd825f/86l2qw.html
Gracias.
Hola,
Cual es el password del archivo??
EDIT: Lo adiviné, es 1 jeje.
Kaspersky lo detecta como Trojan-GameThief.Win32.Magania.bldb
Saludos.
jejeje se me olvido decir el password :P jejeje ya solucione el problema con el USBDoctor, Ccleaner y EliStarA, lo subi xq no me acuerdo de donde lo baje :p, http://www.4shared.com/file/119836890/cbe5bc8e/EliStarA.html
no tiene pass.
Instale el USBDoctor en el disco C, D, F y E para que dejara de crear autorun.inf luego borre el virus creando uno en blanco con el block de notas limpie la pc con el Ccleaner y por ultimo le pase el EliStarA dandole si a todo lo que aparecia y analizando todos los discos.
Saludos.
@ shun:
disculpa shun cuando se infecto tu computadora al iniciar windows te salia la comprobacion del disco duro por que creo que que se me pegó a mi tambien alquererlo en viar al lab me ehcharias una mano porfa
ayuda!!!!! red mx, deegu! y fitoschido
necesito que me ayuden a eliminar el mismo virus que shun tenia y es el mismo ya que queria mandarlo al lab cuando se me infecto la computadora
aquiesta el link de donde habla shun:
http://ldcmx.info/foro/index.php/topic,1745.msg8795/topicseen.html#msg8795
porfa ayudenme ya estoy utilizando el kaspersky virus removal tool pero no puedo iniciarlo en modo aprueba de errores porque me dice erro en volcado de memoria o algo asi la idea es que la pantalla se pone azul con codigos, ya antes me habia pasado en otra compudadora pero con virus diferentes y si me dejaban en modo aprueba de errores.
ademas el kaspersky no pasa del 1% y so que casi no hay programas instalados en la compu
el dr.web version 5 y si por que ademas de que tiene muchisimas firmas no logro identificarlo
mmm haber vamos a hacerlo manualmente.
Baja este programa
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Sigue la instrucciones de este manual.
http://ldcmx.info/foro/index.php/topic,715.0.html
Y pega tu log en este post.
mmm oye ya he analizado con el kasper y como lo dije arriba estaba al 1% porque?
a qui esta:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:54:25 p.m., on 22/07/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Users\yoe\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DrWeb\spideragent.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\spiderui.exe
C:\Program Files\Mx One\mogtr.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\yoe\Desktop\tool_en\ClamWinPortable.exe
C:\Users\yoe\Desktop\tool_en\App\clamwin\bin\ClamWin.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskmgr.exe
C:\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.mx.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.mx.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVGLS\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Windows\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Program Files\Mx One\mogtr.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Startup: is-83IVR.lnk = C:\Users\yoe\Desktop\Virus Removal Tool\is-83IVR\startup.exe
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt333MXMX
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/SmileyCentralFWBInitialSetup1.0.1.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
--
End of file - 9058 bytes
mi pc duro infectada solo 4 máximo, ya que los virus me molestan >:( y hasta que no los elimino no me quedo tranquilo.
Cuando la reiniciaba no salia nada de comprobación de disco.
intenta entrar en modo seguro, borra los temporales, y luego pasale el EliStarA (trata de hacer esto en otra cuenta preferiblemente en la de administrador), si te es posible escanea con el mxone y luego el antivirus residente.
tienes que ver si estas entradas "C:\Windows\system32\Dwm.exe" "C:\Windows\system32\conime.exe" son algunos programas necesarios en tu pc ya que probablemente puede que sean los virus ya que el virus que yo tenia se multiplicaba con otros nombres y en ejecutables.
Mas sin embargo esta si que pueda ser el virus inicial "C:\Users\yoe\AppData\Local\Temp\RtkBtMnt.exe" ya que esta en la carpeta temporal la cual deberas limpiar.
Y esta la puedes desctivar la entrada ojo no borrar el archivo "C:\Windows\System32\rundll32.exe" ya que no es necesaria para el inicio del sistema ya que se abre por servicios.
te aviso mas despues que estoy revisando el procedimiento que hice para borrar ese bendito virus.
pero me quedo una duda: a mi no se me creo ningun archivo auorun.inf asi que baje el kaspersky ahorita la estoy analizando
ha!!! se me olvidaba tengo 2 rundll32.exe en el administrador y si al principio tambien me salia el chkdsk para la comprobacion
bueno el rundll.exe solo busca nuevos dispositivos aparte de mostrar ciertas ventanas del sistema operativo por eso no es necesario que se ejecuten al inicio de sesion ya que se cargan por servicios si se ejecutan solo es A VECES que algo anda mal.
si no te aparecia el autorun entonces el virus esta jugando contigo de otra forma o es una variante de ese mismo virus.
... ya lo han dicho todo... pero esto tal vez te sirva...
http://www.simplysupersoft.com/download/dl/trjsetup679.exe
es mi amado trojan remover... muy bueno... lastima que solo sea por 30 dias el trial je je je
@ deegu!:
me podrias ayudar
pasale el trojan remover arriba esta el link ;D
@ deegu!:
gracias lo voy a hacer te informare mas adelante y ya estaba desesperado por que no se conectaban de ustedes 3 en la tarde
je je je es que he tenido problemas...y uff en fin de todas formas como siempre aqui estamos poniendole el pecho a las responsabilidades... o irresponsabilidades je je je
portense bien
de paso le das las gracias por mi a fitoschido por el userbar, porque ya se desconecto
hasta pronto bye.........................
Realiza otro scan selecciona lo siguiente y le das en fix check, con eso desactivaras el virus aun que se quede en tu pc no se podra ejecutar.
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVGLS\avgssie.dll (file missing)
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Windows\system32\PRISMSVR.EXE" /APPLY
O4 - Startup: is-83IVR.lnk = C:\Users\yoe\Desktop\Virus Removal Tool\is-83IVR\startup.exe
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/SmileyCentralFWBInitialSetup1.0.1.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
Tienes muchas cosas, parece y seguramente tienes rookits y virus que se injectan en los procesos.
Sinceramente formatea la PC ( si no sabes llevala con un tecnico )
Instala un buen antivirus; avira, kaspersky, nod 32, instalas mx one.
Y listo es suficiente, no descargues nada de sitios warez ** LA MAYORIA TRAE VIRUS ** , si el antivirus te dice que X archivo no tiene virus y desconfias de el archivo no lo ejecutes usa el sentido comun.
a por ultimo parchea tu windows con stop run.
bueno lo hare pero el stop run no se activa die que ocurrio un error alo mejor porque es vista
y otra cosa le tengo que dar otra vez para que haga el log o ya directamente al fix check
directamente.
oye pero con este codigo no hecho a perder la compu por quue fitoschido medio otro hasta en una pagina
http://www.forospyware.com/t208607.html
Hola,
@fitoschido: En general, les doy una recomendación y no es por despreciar tu ayuda fitoschido pero por favor no, por lo que más quieras, NO recomiendes la ejecución de scripts generados para otros usuarios ya que podría causar más daño que ayudar. Cada equipo es distinto y cada variante de virus actua distinto.
@darklive32: Apegate a las instrucciones que te de RedMx.
Saludos.
Tranquilo N03L!!! eso lo vas adquiriendo con el tiempo, experimentando cosas nuevas en tu pc pero con cuidado y leyendo mucho, yo que tengo 21 años tengo mucho que aprender incluso podria decir que red, deegu!, fitoshido, etc piensan igual que tienen mucho que aprender a pesar de lo que saben xq sobre esto siempre hay algo que aprender.
Saludos.
Nunca sabes tanto para decir nunca me equivoco
Siempre aprendes cosas nuevas la vida es un aprendizaje total.
.... se estan saliendo del hilo del post... aunque es cierto aun con 22 años tengo demasiado que aprender... pero las cosas siempre se dan a su debido tiempo je je je
salu2 y volviendo al tema... la verdad aunque con el log se ven varios bichos no me parece que se deba llegar al extremo de formatear... lo que digo limpiarlo bien y pasarle el ccleaner je je je
salu2
NOOOO!!!!!
formatear no es la solucion... pero bueno ya que se le va a hacer...
en cuanto al ccleaner... no es que borrre virus... el ccleaner permite eliminar temporales e impedir la ejecucion de programas o bichos al inicio del sistema asi como limpiar el registro... entre otras cosas
salu2