Cómo desinstalar el AVG de mi PC (SOLUCIONADO)

Pal0ma · Mensaje por **Pal0ma** » 15 Sep 2007, 04:23

Buenas Noches a todos

Pls, necesito por favor que me asesoren en cómo desinstalar el avg de mi PC. Hace una semana empezaron a aparecer mensajes de que tenía gusanos mi pc e instale el nod32, el cual los eliminó. Luego, apareció el msje de la presencia de un troyano, el cual aparecía cada 3mins el mensjae en la pantalla de la computadora. Al evr que el NOD32 no podía eliminarlo, opté por desinstalarlo e instalar el AVG, luego desinstalé el AVG (creía q estaba desinstalado pero no fué así) e instalé el PANDA 2008 +firewall, el cual me lentejeo demasiado la máquina. Acabo de desinstalar el panda antivirus y veo que el AVG aún sigue en mi pc, fuí a Agregar o Quitar Programas y figura comod esinstalado. Pero aparece aún en C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5 y no puedo eliminar esa carpeta T_T Por favor ayudenme a eliminar el avg de mi ordenador y si pudieran indicarme que antivirus me recomiendan para eliminar troyanos,virus,spyware,gusanos sería genial.

Acabo de instalar el HijackThis y me arrojó esto que espero pueda servirles de algo :S--------Gracias ^^

Logfile of HijackThis v1.99.1

Scan saved at 21:11:17, on 14/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcsdr.exe

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcwap.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Katty\CONFIG~1\Temp\Rar$EX02.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.juegos.com/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: MU Online Toolbar - {B9D1647F-A66A-4695-B249-07901A45FF59} - C:\Archivos de programa\MU Online Toolbar\v3.2.0.0\MU_Online_Toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [EPSON Stylus CX3900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE /FU "C:\WINDOWS\TEMP\E_S86.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Windows Services Registry] C:\WINDOWS\system\services.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\bogppvka.dll",forkonce

O4 - HKLM\..\Run: [WA6PY_Check] "C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcwap.exe"

O4 - HKLM\..\Run: [SDR6Y_Check] "C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcsdr.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O8 - Extra context menu item: &Search -

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?ce4443cb4f994c5289da5fbbe6471c43

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?ce4443cb4f994c5289da5fbbe6471c43

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\upxvtkth.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

Mensaje por **msc hotline sat** » 15 Sep 2007, 07:04

Ante todo vamos a por los troyanos que tiene en su ordenador, envienos muestra para analizar de :

C:\WINDOWS\system32\bogppvka.dll

y pruebe el ELISTARA :

Código:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y si tras ello no le ha eliminado estos ficheros:

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcsdr.exe

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcwap.exe

C:\WINDOWS\system\services.exe

envienoslos tambien para su analisis, pues pueden tratarse de variantes no controladas

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 15-09-2007

Pal0ma · Mensaje por **Pal0ma** » 15 Sep 2007, 07:50

Ante todo Gracias por haber atendido mi solicitud ^^

Ahorita le estoy tratando de remitir adjunta la muestra solicitada del C:\WINDOWS\system32\bogppvka.dll pero no me permite adjuntar archivos .dll

Dígame por favor cómo le hago llegar la muestra que me solicita.

Cordial Saludo,

P.D: Mientras tanto, iré descargado el Elistara mencionado ^^

Mensaje por **msc hotline sat** » 15 Sep 2007, 07:56

Las muestras para analizar deben enviarse por e-mail como se indica en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y lo que sí que deben postearnos, con un copiar y pegar, es el contenido del C:\infosat.txt tras haber probado el ELISTARA:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

saludos

ms, 15-09-2007

Pal0ma · Mensaje por **Pal0ma** » 15 Sep 2007, 08:21

Acabo de pasar el ELISTARA en mi equipo y me salió un mensaje de que no se podía eliminar el troyano CanHook debido a que no detecta la utilidad ELINOTIF.DLL que es necesaria para limpieza, indica que me la descargue de ww.satinfo.es pero al querer descargar la utilidad solicitada me sale una ventana para igresar usuario y contraseña porque no tengo autorización para descaragar. Cómo haría para obtener ese utilitario para que así eliminé todo lo que ha infectado. O no es necesario y bastaría sólo con reiniciar la pc?

A la espera de su respuesta,

gracias!!

Mensaje por **msc hotline sat** » 15 Sep 2007, 08:22

Sí, mira lo que decimos en :

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

saludos

ms, 15-09-2007

Pal0ma · Mensaje por **Pal0ma** » 15 Sep 2007, 09:11

Te remito el contenido de C:\infosat.txt tambien te remití al correo el archivo que figura: C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcwap.exe

Aprovecho la oportunidad para consultarle tambien por qué cree usted que aparece un mensaje que ya se va repitiendo como 4 veces en las últimas 3 horas sobre: "BUFFER OVERRUN DETECTED! PROGRAM: C:\WINDOWS\EXPLORER.EXE con cabezera en el msje: MICROSOFT VISUAL C++ RUNTIME LIBRARY.

Además cada vez que abro una página web se abre otra ventana haciendo referencia al Drive cleaner

Cordial Saludo,

Sat Sep 15 00:35:32 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\RQRONNN] -> C:\WINDOWS\SYSTEM32\rqronnn.dll

Entrada Eliminada [HKLM\...\Run] "SystemOptimizer"="rundll32.exe "C:\WINDOWS\system32\kndrrhuf.dll",forkonce" (Vundo)

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\KNDRRHUF.DLL.Muestra EliStartPage v14.64

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KNDRRHUF.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SDR6Y_Check"=""C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcsdr.exe""

Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3HTML.DLL

Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{733E9132-53CA-4C97-9AC9-145C4502FA20}" -> C:\WINDOWS\system32\rqronnn.dll

Eliminado Servicio, "DomainService"

Eliminado Servicio, "Oddysee"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Sep 15 00:56:33 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\UDCSDR.EXE --> Acceso Denegado, DriveCleaner(dldr)

C:\WINDOWS\system32\FWSHMHEI.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\RQRONNN.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\SQANWBIC.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\SSQOONM.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\TTGWXKGJ.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\USEBGYIJ.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

Sat Sep 15 01:09:07 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat Sep 15 01:26:36 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\RQRONNN] -> C:\WINDOWS\SYSTEM32\rqronnn.dll

Entrada Eliminada [HKLM\...\Run] "SystemOptimizer"="rundll32.exe "C:\WINDOWS\system32\jwacxcpk.dll",forkonce" (Vundo)

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JWACXCPK.DLL.Muestra EliStartPage v14.64

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JWACXCPK.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{733E9132-53CA-4C97-9AC9-145C4502FA20}" -> C:\WINDOWS\SYSTEM32\rqronnn.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Sep 15 01:39:00 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\UDCSDR.EXE.VIR --> Eliminado, DriveCleaner(dldr)

C:\WINDOWS\system32\KJHPJMOS.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\RQRONNN.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\SHXOLVMM.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\WSAAODFG.EXE --> Eliminado, FotoMoto

Sat Sep 15 01:45:30 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\rqronnn.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\RQRONNN"

Desinstalado EliNotif.dll

Mensaje por **lucl** » 15 Sep 2007, 09:45

Debes enviarnos los archivos que tienes en la carpeta muestras, para su analisis, saludos

Por favor, envienos una muestra del fichero

C:\Muestras\KNDRRHUF.DLL.Muestra EliStartPage v14.64

Por favor, envienos una muestra del fichero

C:\Muestras\JWACXCPK.DLL.Muestra EliStartPage v14.64

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 15 Sep 2007, 19:57

Y una vez probado el ELISTARA, haz lo mismo con el ELITRIIP, ya que vemos que este fichero no lo ha detectado, posiblemente no es un troyano, sino una variante de virus SDBOT, que estamos controlando estos ultimos dias:

ELITRIIP:

Descargar EliTrip

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Referente al AVG, solo vemos instalado el antispyware, no el antivirus, y este debes dejarlo conjuntamente con el antivirus que instalaes.

El problema en que no puedas instalrlo ahora creo que es por el virus, y espero que una vez eliminado , sí que puedas

Pero estos ficheros que te hemos pedido que nos envies para analizar, renombra su extension a .VIR y reinicia, para que no esten en marcha, y solo tras todo lo indicado, prueba de instalar el antivirus que quieras.

saludos

ms, 15-09-2007

resumen ficheros solicitados:

por msc:

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcsdr.exe

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcwap.exe

C:\WINDOWS\system\services.exe

por lucl:

Por favor, envienos una muestra del fichero

C:\Muestras\KNDRRHUF.DLL.Muestra EliStartPage v14.64

Por favor, envienos una muestra del fichero

C:\Muestras\JWACXCPK.DLL.Muestra EliStartPage v14.64

Y ojo con el SERVICES.EXE, que el que hay en C:\winodws\system32\ es del sistema y normalmente bueno, el malo es este que está en C:\windows\system\ , no te confundas ! ms.

Pal0ma · Mensaje por **Pal0ma** » 16 Sep 2007, 02:13

Ok Lucl, te acabo de remitir los ficheros solicitados de MUESTRAS al correo zonavirus@satinfo.es

Gracias por la atención prestada.

Saludos,

Pal0ma · Mensaje por **Pal0ma** » 16 Sep 2007, 04:12

Hola msc hotline sat

Te remito el posteo de C:\infosat.txt y te remití adjunto el archivo udwao.exe de la carpta DriveCleaner free.

Dime es bueno ese antispyware de AVG??justo estaba queriendo desinstalarlo para instalar otro, que antivirus me recomiendas instalarle a mi pc?

Por cierto, hoy estaba en mi msn chateando con un amigo y me dijo que yo tenía un virus en mi pc xq le aparecía este mensaje en la ventana de conversación del messenger:

Katty said:

~~[b]~~I am using ILoveIM.com Web Messenger Service - http://www.iloveim.com[/b]

Saludos,

Sat Sep 15 00:35:32 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\RQRONNN] -> C:\WINDOWS\SYSTEM32\rqronnn.dll

Entrada Eliminada [HKLM\...\Run] "SystemOptimizer"="rundll32.exe "C:\WINDOWS\system32\kndrrhuf.dll",forkonce" (Vundo)

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\KNDRRHUF.DLL.Muestra EliStartPage v14.64

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KNDRRHUF.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SDR6Y_Check"=""C:\Archivos de programa\Archivos comunes\DriveCleaner Free\udcsdr.exe""

Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3HTML.DLL

Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{733E9132-53CA-4C97-9AC9-145C4502FA20}" -> C:\WINDOWS\system32\rqronnn.dll

Eliminado Servicio, "DomainService"

Eliminado Servicio, "Oddysee"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Sep 15 00:56:33 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\UDCSDR.EXE --> Acceso Denegado, DriveCleaner(dldr)

C:\WINDOWS\system32\FWSHMHEI.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\RQRONNN.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\SQANWBIC.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\SSQOONM.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\TTGWXKGJ.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\USEBGYIJ.DLL --> Eliminado, Vundo8

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

Sat Sep 15 01:09:07 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat Sep 15 01:26:36 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\RQRONNN] -> C:\WINDOWS\SYSTEM32\rqronnn.dll

Entrada Eliminada [HKLM\...\Run] "SystemOptimizer"="rundll32.exe "C:\WINDOWS\system32\jwacxcpk.dll",forkonce" (Vundo)

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JWACXCPK.DLL.Muestra EliStartPage v14.64

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JWACXCPK.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\RQRONNN.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{733E9132-53CA-4C97-9AC9-145C4502FA20}" -> C:\WINDOWS\SYSTEM32\rqronnn.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Sep 15 01:39:00 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\DriveCleaner Free\UDCSDR.EXE.VIR --> Eliminado, DriveCleaner(dldr)

C:\WINDOWS\system32\KJHPJMOS.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\RQRONNN.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\SHXOLVMM.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\WSAAODFG.EXE --> Eliminado, FotoMoto

Sat Sep 15 01:45:30 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\rqronnn.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\RQRONNN"

Desinstalado EliNotif.dll

Sat Sep 15 19:29:43 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows Services Registry"="C:\WINDOWS\system\services.exe"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Sat Sep 15 19:35:50 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sat Sep 15 19:43:15 2007

EliTriIP v3.88 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Claudia34 · Mensaje por **Claudia34** » 16 Sep 2007, 05:27

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Pal0ma · Mensaje por **Pal0ma** » 16 Sep 2007, 06:10

Hola Claudia

Gracias por tu consejo, pero podrías aclrarme pls como es que debo tener la "restauración del sistema desactivado"?, ¿cómo sé yo que está desactivada la restauración?

Thanks

Mensaje por **msc hotline sat** » 16 Sep 2007, 06:44

Si se quiere eliminar un virus, este no debe estar residente, para lo que es aconsejable arrancar en modo seguro (aunque tambien se puede detener el proceso vírico en memoria, como hacemos con nuestras utilidades) y en los sistemas como el XP que guarda una copia de los ficheros que se procesan, para que puedan ser restaurados si se vuelve a un punto de restauracion anterior, desactivar esta opcion para poder acceder a la carpeta RESTORE y eliminar de alli los infectados.

Para ello se marca la casilla de DESACTIVAR LA RESTAURACION DE SISTEMA que se puede ver pulsando boton derecho en MIPC -> Propiedades -> Restaurar.

Si está marcada está desactivada dicha opcion, y sino, está activa

Solo para eliminar virus debe desactivarse, luego volverla a dejar normal, activada.

Aunque para solo escanear, no hace falta desactivarla, pero si lo hacemos, aprovechamos que, si encontramos virus, ya hacemos limpieza a fondo.

Sobre el AVG antispyware es el conocido EWIDO, que aconsejamos como antispyware.

y lo que dices del ILoveIM.com parece mas una utilidad que un virus, pero subelo al VirusTotal a ver que te dicen y nos lo comentas, gracias

https://www.virustotal.com/es/

saludos

ms, 16-09-2007

Pal0ma · Mensaje por **Pal0ma** » 16 Sep 2007, 16:06

Buenos Días Señores

Desearía saber si para bajar los antivirus que en líneas anteriores me recomiendan (antivirus online) debo bajarlos cuando ya haya entrado a mi ordenador en Modo a Prueba de Fallos, o los bajo ahorita que estoy normal conectada y para hacerlo correr allí si debo entrar a Modo a Prueba de Fallos.

Cordial Saludo,

Mensaje por **lucl** » 16 Sep 2007, 16:52

Bueno los online no puedes bajartelos, te analizan el pc al momento, si puedes arrancar en modo seguro con funciones de red hazlo, pero si tienes modem no puedes, asi que pasalo como puedas y nos cuentas, y lo que te dice msc de virustotal , solo te analizara el archivo que el aconseja, te copio

~~[b]~~y lo que dices del ILoveIM.com parece mas una utilidad que un virus, pero subelo al VirusTotal a ver que te dicen y nos lo comentas, gracias

https://www.virustotal.com/es/ [/b]

saludos

Mensaje por **msc hotline sat** » 17 Sep 2007, 14:54

Recibidos 3 fichero .DLL corresponden a nuevas variantes de VUNDO 8 y el .EXE es un Downloader cuyo control y eliminacion implementamos en el ELISTARA de hoy 14.65, que estará disponible en esta web, para pruebas de evaluacion para el foro de zonavirus, a partir de las 19 h GMT

En cuanto al fichero .DOC.X es realmente un ZIP que genera ficheros XML y carpetas, pero en los que no se detectan rutinas viricas, por lo que no sabermos porqué nos lo envia ni quien se lo pide (en el infosat no aparece), retiramos dicho fichero de la línea de ensayos.

Cuando haya probado el nuevo ELISTARA indicado, posteenos nuevo contenido del infosat.txt, gracias

saludos

ms, 17-09-2007

Pal0ma · Mensaje por **Pal0ma** » 18 Sep 2007, 01:04

Buenas Noches Señores

Realmente les agradesco el apoyo brindado, pero como necesitaba instalarle nuevos programas a mi pc, necesitaba que se encuentre sin virus alguno; así que la formatee y ya está OK.

Mil gracias de verdad por su atención prestada.

Cordial Saludo,

Katty

P.D: God Bless You

Mensaje por **msc hotline sat** » 18 Sep 2007, 05:04

Pues muerto el perro se acabó la rabia...

Damos el Tema por solucionado y lo cerramos

ms.