Ayuda con virus Trojanspy.win32.bispy.b

[xisca]

Ese es el virus que mi antivirus Avp me localiza pero no hay manera de desinfectarlo y no encuentro información en internet de este virus,



me puedes ayudar?

[cañera]

segun he podido ver se puede eliminar con el spybot;

Como antispyware: Bajar, instalar, actualizar y lanzar el Spybot o el AD_AWARE:



SPYBOT:_



http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button



AD_AWARE:



http://descargas.terra.es/informacion_extendida.phtml?n_id=12381&plat=1



y una vez limpios de spywares, como protección residente, SPYBOT recomienda SPYWAREBLASTER:



http://www.javacoolsoftware.com/spywareblaster.html

actualizalos nada mas descargarlos.

ejecutalos en a modo prueba de errores desactivando restaurar sistema,

inicio/panel de control/sistema/desactivar sistema,aceptas.

reinicias y pulsas repetidas veces f8 y en la pantalla que te sale eliges esta opcion a modo pruba de errores o modo seguro.

cuentanos como te fue.

PD.encuentras informacion en google poniendo bispy o bispy-b(lo que pasa que es en frances)

[xisca]

Voy a probar y te digo cosas, muchísimas gracias por tu ayuda

[xisca]

He desactivado la opción restaurar sistema, he entrado a prueba de fallos y he ejecutado ambos programas, he borrado todas los robots que me indican los programas pero sigo con el virus.



Ni el panda, ni symantec ni el anti-troyanos me encuentran ningún virus, pero mi AVP si, además he entrado en Bitdefender y me encuentra el mismo virus pero con otro nombre:

Trojan.Spy.Bl.dropper



Además me ha encontrado este también:

Trojan.Porndialer.de



Por favor que alguién me ayude, :?

[maura63]

Prueba esta otra herramienta, descargala de uno de los dos sitios



http://www.softpedia.com/public/scripts/downloadhero/10-17-150/



http://www.zonavirus.com/descargas/descargar-trend-micro-cwshredder.asp



Descargalo de uno de los dos sitios, lo guardas en disco, y ejecutalo en modo a prueba de fallos pulsando F8 repetidas veces al encender.



Saludos

maura63

[xisca]

Voy a probar y te digo cosas, gracias

[msc hotline sat]

Y si tras el CWSHREDDER le persiste el problema, envienos una muestra del fichero infectado a zonavirus@satinfo.es y lo estudiaremos y resolveremos el problema, si es necesario creando una utilidad exprofesa para ello.



Envie el fichero como anexado a un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como respuesta a este Tema



saludos



ms, 31-03-2004

[xisca]

He ejecutado el programa en prueba de fallos y me ha salido el siguiente msg:



Done!

Removed from your system:

- 1 infected IE registry values



No sé como os puedo mandar una muestra del virus, te refieres a que os mande una copia del fichero infectado por el virus?



Quisiera también mandaros un msg con la imagen del antivirus informandome sobre la localización del virus que esta en el archivo

Content.IE5\PPHAA7Al\bi(1).exe\bi.dll



Ya me dirás que te envío, un saludo y muchas gracias

[msc hotline sat]

Al parecer ya lo ha eliminado el CWSHREDDER que te ofreció Maura63.



Para comprobarlo, arranca de nuevo y lanza el AVP que antes de lo detectaba, y si ya no lo detecta, listos.



Si lo detectara, entonces envianos una copia del fichero infectado.



saludos



ms, 31-03-2004

[xisca]

Como he dicho en mi anterior msg no me lo ha eliminado pero no encuentro el archivo infectado, al no tener la ruta completa del archivo y al no poder encontrado con el buscador de Windows.. estoy en ello.

Así que quereis que os mande directamente una copia del virus???

[xisca]

Pensareis que soy tonta, pero es que no puedo encontrar el archivo, el antivirus me lo encuentra pero al no darme la ruta completa, lo busco con el buscador de windows incluyendo archivos y carpetas ocultos, no me encuentra ni ese directorio que hay dentro del Ie5 ni los archivos infectados.

Puedo mandaros una imagen del antivirus mostrando el virus encontrado???

[xisca]

Bueno, la ruta completa de los archivos es la siguiente:

C:\WINDOWS\Archivos temporales de Internet\Content.IE5\PPHAA7AI\bi[1].exe/bi.dll Infectado TrojanSpy.Win32.BiSpy.b





La otra ruta:

C:\WINDOWS\Archivos temporales de Internet\Content.IE5\PPHAA7AI\bi[1].exe/biprep.exe Infectado TrojanSpy.Win32.Bi





Pero si entro en Windows\archivos temporales de Internet, no hay ninguna carpeta CONTEN.IE5 ni nada de eso.

[msc hotline sat]

Si lo detectas con el antivirus, dile que lo mueva a un disquete, con lo cual ya lo habrás sacado del disco duro.



Si puedes, envianoslo que lo estudiaremos, y si no, eliminando los temporales de Internet, muerto el perro, se acabó la rabia.



saludos



ms, 31-03-2004

[xisca]

Mi antivirus lo detecta, pero no me deja ni renombrarlo ni borrarlo, ni desinfectarlo. Aunque borre el contenido de la carpeta, sigue el virus ahí, como te he dicho antes, no entiendo nada ya que no puedo acceder al virus a través de la ruta que me pone el antivirus ya que ahí no hay nada.



Por si acaso el problema era del antivirus, he estado scaneando con el RAV y me salen estas dos rutas y lo mismo, no existen:



C:\WINDOWS\Archivos temporales de Internet\Content.IE5\A12MOJB9\index[2].htm->(SCRIPT0002) - JS/Inor.M* -> Infected

C:\WINDOWS\Downloaded Program Files\WebRecomendada.dll - Tool:PornDialer.DE -> Infected



Este antivirus además me encuentra un nuevo virus, el porndialer, pues bién entro en Windows, downloaded program files y no hay ningún enlace webrecomendada.dll, que alguién me lo explique que es la primera vez que me pasa esto, normalmente encuentro los archivos, se eliminan y ya está.

[xisca]

Os mando el virus por mail, a través del AVP he podido copiar el archivo, os lo mando por mail.

[msc hotline sat]

Ante todo, no son virus sino troyanos, que se capturan al navegar por Internet y entrar en determinadas webs.



De ello son los antyspywares los programas que se dedican a eliminar estois bichos, no necesariamente los antivirus, ya que no son propiamente virus al ni propagarse desde la máquina infectada, como lo haría un virus.



Con el Spybot y luego el CWSHREDDER que le ofrecieron primero nuestra cañera Araceli y luego Maura63, debería haberlos eliminado, lo cual creo que gizo, aunque le quedaran temporales, inocuos, y que podrá eliminar cuando elimine los te,porales de Internet. Pero puede ser que el propio antivirus se lo impida si está residente. Por ello, arranque en modo seguro, y o bien lanza el antivirus y los mueve y nos los manda, o los borra y nos olvidamos de ellos.



Sibre el nuevo dialer, es posible que lo haya importado al entrar nuevamente en alguna web, pues el CWSHREDDER debería haberlo eliminado. Es posible que lo consiga si lo vuekve a ejecutar en modo seguro.



Aparte, puede poner un residente antispyware como el SPYWAREBLASTER, para evitar que le entren mas adwares y spywares:


[quote]


y una vez limpios de spywares, como protección residente, SPYBOT recomienda SPYWAREBLASTER:



Descarga de la última versión (SpywareBlaster v3.0, 28/mar/04)



Sitio 1: http://www.webattack.com/dlnow/rdir.dll?id=105693

Sitio 2: http://www.javacoolsoftware.net/downloads/spywareblastersetup.exe


[/quote]

Y si recibimos la muestra la estudiaremos, y si no, caso cerrado.



saludos



ms, 31-03-2004

[msc hotline sat]

Recibida la muestra en cuestión podemos indicarle que McAfee la detecta como Adware BetterInet.Dr, y que si ha podido moverla para enviarnosla, espero que ya la haya podido borrar del ordenador.



Tras ello, ponga el SpywareBlaster residente para conseguir que no le entren mas bichos de estos.



Si tidavía tuviera problemas, díganoslo y le ofreceríamos utilidad para eliminarlo del registro, pero espero que solo fuera un fichero temporal y que en modo seguro ya lo haya podido eliminar totalmente.



saludos



ms, 31-03-2004

[xisca]

Si, gracias a todos vosotros lo he podido eliminar moviendolo con el antivirus. Un saludo muy grande.



Gracias a vuestro foro!!!

[msc hotline sat]

Bien, pues ahora podría poner el SpywareBlaster que le recomendamos para que no le entraran mas bichos de estos, aparte del antivirus residente y actualizado para controlar los virus de verdad, y actualizar los parches de microsoft conectandose a http://www.windowsupdate.com para parchear todos los agujeros de seguridad.



Con todo ello evitará estos transtornos de entrada y eliminación de ibichos.



saludos



ms, 01-04-2004