Tengo un problemilla

Escorpio · 30 de Mayo del 2009

Jesus, he buscado el explorer.exe por todos lados y no me aparece, ni esa carpeta de Nod32, tambien he mirado en System32 y no he encontrado tampoco ningun archivo .exe

hay algo mas ,si instalaste el sp2 con el problema ya, o tenias el virus, es casi seguro que tendras que formatear, porque las recomedaciones de los spacks los dicen

No me digas eso :--( o sea que al final de todo tendre que formatear si o si... :--(

Por cierto me he registrado en ese foro, a ver si con un poco de suerte puedo solucionar esto... y con mucha mas suerte aun... no formatear :--(

Gracias por toda la ayuda que me estais dando chicos, no sabeis cuando os lo agradezco :abrazos:

**BestmanPi** · 30 de Mayo del 2009

http://support.microsoft.com/kb/927392/es

Ya apareció como borrar el MBR para aquellos que tenemos Windows Vista instalado.

EDITO: He probado a hacer lo que dice el link y funciona perfectamente. Ale, otra cosa que aprendí.

J_VonCroix · 30 de Mayo del 2009

De seguro que el virus como tal tiene otros archivos que se encargan de generarlo nuevamente en caso de que lo borren o de no dejarlo borrar, así que habría que buscar que otros archivos están asociados a este virus.

He leído que el virus tiene estos asociados:

C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System\svwhost.exe

C:\WINDOWS\System32\explorer.exe

C:\WINDOWS\System32\sywsvcs.exe

C:\WINDOWS\web\related.htm

Prueba con esto:

Ve al registro.. Windows/Ejecutar/regedit

Luego sigue la ruta: Hkey_local_Machine/software/microsoft/windows nt/current version/winlogon.

Al lado derecho, debería aparecer un Explorer exe y otro con ruta windows\system32\system32.exe

modifica el de la ruta windows/system32 y luego eliminalo. y deja el Explorer.exe

Igual en el regedit, comprueba lo siguiente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution.options

5. Under this key there will be subkeys named explorer.exe and iexplorer.exe. Delete the explorer and iexplorer keys entirely. They should not be listed under the Image File Execution.Options key.

6. Close the Registry Editor.

7. Restart the computer.

Por cierto, una pregunta en Vista pasa el mismo problema con XP de que un virus podría no dejarte ver los archivos ocultos y algunos del sistema?? alguien sabe???

jjesus · 30 de Mayo del 2009

De seguro que el virus como tal tiene otros archivos que se encargan de generarlo nuevamente en caso de que lo borren o de no dejarlo borrar, así que habría que buscar que otros archivos están asociados a este virus.

He leído que el virus tiene estos asociados:

Prueba con esto:

Igual en el regedit, comprueba lo siguiente:

Por cierto, una pregunta en Vista pasa el mismo problema con XP de que un virus podría no dejarte ver los archivos ocultos y algunos del sistema?? alguien sabe???

No eso no pasa con el vista, es una de las mejoras, le cuesta un poco mas a los virus modificar el comportamiento de los archivos.

ahora que has puesto esas asociaciones del virus me parece que en el analisis del hickjack hay algunos de esas rutas. pero sigo con la idea de que al ejecutarse dos aplicaciones al mismo tiempo con la misma funcion congela la pc. es algo obvio

otra cosa son tan enganiosos esos virus que se camuflajean tan bien que se parecen a programas reales.

y eso dificulta poder borrarlos

lo del nod 32 te lo decia por que yo sin antecedentes de haber instalado ese antivirus me aparecio la carpeta de pronto, quiso engañarme el virus haciendome pensar que yo lo habia instalado, pero uno tiene que saber que instala y cuando y eso ayuda mucho para detectar que esta siendo engañado.

en el ultimo de los caso Besmanpi tiene razon si el virus reside en la memoria esta dificil eliminarla. te queda lo que voncroix te ha dicho, ponlo a prueba mientras vere si en algo mas puedo ayudarte.

esto es bueno asi si descubres que fue, sera un buen tema que nos quedara para futuros problemas, ademas se aprende mucho yo he tenido que formatear a veces, pero con el vista me fue mas facil detectar el virus y no fue nesesario, asi que animo.

en el foro que te pase de www.infospyware.com hay dos listas de programas de todo tipo engañosas, a veces solemos caer con eso, uno de los que remotamente me acuerdo es el spyware destroyer, no es mas que un troyano que viene disfrazado de oveja. asi mientras mas ejecutemos el programa haciendonos creer que limpiamos nuestra pc, estamos infectandolo mas.

a ver en que acaba esto animo.

edito. he encontrado esta herramienta algo parecido al hickhack, te genera un reporte mas largo y con el nombre del virus . espero te sirva.http://www.download3k.com/DownloadLink1-MicroWorld-Anti-Virus-Toolkit.html

es de paga por lo que lo que encuentre no lo desinfectara, pero al menos te sirve el reporte para saber que es lo que pasa.se instala en una carpeta temporal por lo que no es nesesario su desinstalacion puesto que no se queda al terminar el analisis se desistala.

**BestmanPi** · 31 de Mayo del 2009

Acabo de estar enredando un poco con el Malwarebytes y he visto que incorpora una herramienta llamada File Assasin que sirve para eliminar archivos que no se dejan borrar. Es una de esas cosas que como no se usan, ni me había fijado que lo tenía, pero que, en esta ocasión, puede venir bien.

Escorpio · 31 de Mayo del 2009

Voy a ver eso del registro, mientras me voy descargando el programa de Jesus y si realmente se trata del explorer.exe de la carpeta System32 (que aun no lo he encontrado, no se si estara oculto o no) probare el File Assasin que lo acabo de ver yo tambien gracias a ti Best o_O jeje

Os mantendre informados

EDIT. Analisis terminado, me ha detectado 16 objetos criticos, pero no tengo ni la ruta ni los puedo eliminar porque no lo he comprado... alguna idea de encontrar la ruta de los archivos?

Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "Parentis Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "WinFixer/ErrorSafe Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "WinFixer/ErrorSafe Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "KillAV.NBD Browser Hijacker" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "CyberSitter Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "CyberSitter Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.

**BestmanPi** · 31 de Mayo del 2009

Para encontrar la ruta de un archivo, nada mejor que utilizar el sistema de búsquedas de archivos.

Inico>Buscar... >Archivos o carpetas

Ahora otro detalle que he visto mirando por ahí y que hace referencia a los procesos Svchost

- Un proceso Svchost, siempre tendrá un nombre de usuario System, Servicio de Red, Servicio local, etc... Nunca será iniciado desde una cuenta de usuario).... si es así, es sospechoso.

- Un proceso Svchost siempre tendrá un consumo de recursos reducido (nunca más del 20% de uso de CPU). Un consumo exagerado de CPU o de memoria, es sospechoso.

... seguiré investigando.

Escorpio · 31 de Mayo del 2009

Pero es que no me dice el nombre del archivo, simplemente me dice que esta infectado por "..." y nada mas...

Sobre los Svchost, los tengo todos correctamente segun dice la informacion que diste.

**BestmanPi** · 31 de Mayo del 2009

http://neosmart.net/dl.php?id=1

Aquí tienes el programa EasyBCD, que entre otras cosas, permite restaurar el MBR del disco duro Para descargarlo usa el botón "Download" de color verde que aparece en la parte inferior. Si hubiese un virus escondido en el MBR, desaparecería. El resto de las cosas, mejor no las toques puesto que podrías estropear el arranque de Windows.

Si no estás seguro de como utilizarlo, pues preguntas.

Escorpio · 31 de Mayo del 2009

Gracias Best, descargando.

jjesus · 31 de Mayo del 2009

pasa un antivirus en linea llamado active scan de Panda, en modo a prueba de fallos y con funciones de red ,con eso eliminas todo el malware y spyware que tienes, la ruta del virus al parecer es este c:\windows\system32\drivers\mchinjd.sys ese es el virus que te debe estar causando problemas si no se deja borrar usa cualquier programa ya dados en los post para eliminarlo. debes tener este virus porque esta asociado con el explorer.exe falso y el malware killav NBD.

http://www.pandasecurity.com/activescan/index/

despues del analisis registrate y te da la opcion de desinfectar solo eso.

acabo de probarla y me saco algunos bichos de la pc.

Saludos.

Escorpio · 1 de Junio del 2009

Lo habia probado pero no en modo a prueba de fallos, enseguida la probare, por cierto Best, ayudame con el programa ese que me h as dado que no lo entiendo nada o_O

Os informare gracias Jjesus!

EDIT. Analizado y sin encontrar nada, en cambio he podido encontrar la causa de la infeccion anterior... son estas claves del registro que aunque las he eliminado manualmente he reiniciado, vuelto a analizar (con el antivirus que dijiste que no era de gratis) y me las ha vuelto a detectar, esta vez de 16 son 11... aqui os la dejo a ver si os pueden dar mas informacion y de como las puedo eliminar definitivamente... luego solo me quedaria comprobar el programa de Best y si todo esto no me soluciona nada... a reformatear... pero tendre que estar un tiempito mas con esto asi, porque ahora de money lo que se dice no es que tenga...

31 may 2009 19:08:52 - ***** Scanning Registry anFile system for Adware/Spyware *****
31 may 2009 19:08:52 - Loading Spyware Signatures from new External Database [Name: C:\Users\PC\AppData\Local\Temp\spydb.avs, Size: 906042]...
31 may 2009 19:08:52 - Indexed Spyware Databases Successfully Created...

31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: No Action Taken.
31 may 2009 19:09:01 - System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: No Action Taken.

jjesus · 1 de Junio del 2009

seguramente aunque borres las claves de registro el programa sigue alli de latente, dices que el active scan no te detecto nada? te dire que tarda un poco, tienes que localizar el programa que te esta cuasando eso. veo que has podido eliminar las infecciones anteriores, el problema es que si el programa se encuentre alli, te genera otra vez las claves. investigare sobre eso del parentis, parece ser un malware.

edito he encontrado estas claves de registro en un foro sobre ese malware, te lo dejo, al parecer se trata de un programa que se ve al principio.

To remove Parentis, please follow the instruction:

Terminate the process in Task Manager:

ccUpdMgr.exe

Click Start > Run. Type REGSVR32 -u <Dll_name>. Then click OK. Replace <Dll_name> with the following:

ssubtmr6.dll

Click Start > Run. Type REGEDIT. Then click OK. Navigate to the subkeys and delete the values:

HKEY_LOCAL_MACHINE\SOFTWARE\Biassoft

HKEY_LOCAL_MACHINE\SOFTWARE\Biassoft\Protect

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\datastore

HKEY_LOCAL_MACHINE\CLSID\{A9C5DF37-FB03-4537-8D5D-77B29A83ED82}

HKEY_LOCAL_MACHINE\CLSID\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67}

HKEY_LOCAL_MACHINE\CLSID\{D2129738-6A78-4BCB-915A-412982CAA23D}

HKEY_LOCAL_MACHINE\CLSID\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD}

HKEY_LOCAL_MACHINE\CLSID\{F94FF2F1-B782-4D0F-8E2E-D78F65B3DCC2}

HKEY_LOCAL_MACHINE\Interface\{010B6316-1EA1-49A0-AE81-3FD3A8E4884F}

HKEY_LOCAL_MACHINE\Interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB}

HKEY_LOCAL_MACHINE\Interface\{20C62CA2-15DA-101B-B9A8-444553540000}

HKEY_LOCAL_MACHINE\Interface\{35B9E545-DA6F-42D1-A069-9356C8A78E1F}

HKEY_LOCAL_MACHINE\Interface\{459A91BC-193F-4A70-959C-BFF69D781142}

HKEY_LOCAL_MACHINE\Interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B}

HKEY_LOCAL_MACHINE\Interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F}

HKEY_LOCAL_MACHINE\Interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621}

HKEY_LOCAL_MACHINE\Interface\{AB49A0B7-D603-46EA-B55B-01C54114B099}

HKEY_LOCAL_MACHINE\Interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2}

HKEY_LOCAL_MACHINE\Interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE}

HKEY_LOCAL_MACHINE\Interface\{F49AC0B0-DF74-11CF-8E74-00A0C90F26F8}

HKEY_LOCAL_MACHINE\CLSID\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB}

Registry management is too hard? Download Registry Mechanic, and you will find it too easy!

Conectar

Tengo un problemilla

Publicaciones recomendadas

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Enlace al comentario

Compartir en otros sitios web

Crear una cuenta o conéctate para comentar

Crear una cuenta

Conectar