Ayuda por favor!!!!,mi PC al borde del colapso!

ASD1000 · Mensaje por **ASD1000** » 18 Ene 2008, 01:55

Hoy mi pc resultó infectado!!!!!!!!, tengo el windows actualizado, Nod 32 al dia y mcafee firewall......

La historia es la siguiente , estaba descargando por Ares, y resulta que descargue un archivo un exe lo ejecuté, y en la carpeta compartida My Shared Folder, aparecieron 256 archivos!!! al instante, no se que pasó....

Luego una falla extraña el teclado no servía, oprimía barra espaceadora. y me aparecía "/" , lo reinicie y volvió a quedar bien....

finalmente la falla Catastrofica , empezó Spybot search and Destroy a denegar una modificación en el archivo svchost .exe, y seguía deteniéndola, pero los avisos eran intermitentes y no paraban.....el Nod 32 me detectó un adware y casi al instante una oleada de mensajes como este..."alcohol.exe" , infectado con trojan drooper!!!, y siguió con muchos archivos que el Nod 32 eliminó!!!, avg.exe, Pando, Adobe acrobat, y el mismo antivirus es verdad no se que pasó, es un virus demasiado fuerte en mi vida no había visto nada igual!!!, apagué el pc y sorpresa cuando lo inicié la mitad de mis programas borrados!!!!, cambié entonces de antivirus, el computador se puso relento y reinstale el antivirus como pude...el Mcafee y me puse a hacer un análisis con ewido, el primer mensaje que me dió fue : Desbordamiento del Buffer archivo Svchost.exe, C:windows/system 32!!!!

Ayuda mi pc esta muy raro!!!!.

CREO QUE ESTAMOS ANTE UNA NUEVA GENERACIÓN DE VIRUS

NI ANTIVIRUS NI FIREWALL LO PUDO DETENER

POR FAVOR AYUDENME!!!!!

NO QUIERO FORMATEAR!!

(NOTA CUANDO APARECIERON LOS VIRUS ESTABA JUGANDO POR HAMACHI-------JUSTO DESPUES EL BOOM DE VIRUS!!!)

Ewido me lo detectó DROPPER.AGENT.DGO

MCFEE DETECTÓ AD-CLICKER-FK

VUNDO VARIANT

TROJAN DOWNLOADER

NEW JUAN

Me apareció el firewall abierto!!

ayuda el pc se ralentizó!!!

otro virus w32 trats

por favor ayuda me está eliminado el antivirus todos los exes

me apareció un icono de x en la unidad C

Me salieron archivos temporales cuyo nombre comienza por POS!!!!!!

[url=http://img183.imageshack.us/my.php?image=screenshot3pf3.png]

[img]http://img183.imageshack.us/img183/9900/screenshot3pf3.th.png[/img][/url]

[url=http://img247.imageshack.us/my.php?image=screenshot4sy0.png]

[img]http://img247.imageshack.us/img247/5562/screenshot4sy0.th.png[/img][/url]

____________________________________________________________

VundoFix V6.7.7

Checking Java version...

Sun Java not detected

Scan started at 06:12:25 p.m. 17/01/2008

Listing files found while scanning....

C:\WINDOWS\system32\dpgiesgu.dll

C:\WINDOWS\system32\kitkvxgo.dll

C:\WINDOWS\system32\nnnkige.dll

C:\WINDOWS\system32\orqndiin.dll

C:\WINDOWS\system32\qommlkj.dll

C:\WINDOWS\system32\rqrrsts.dll

C:\WINDOWS\system32\sstts.dll

C:\WINDOWS\system32\sttss.ini

C:\WINDOWS\system32\sttss.ini2

C:\WINDOWS\system32\tcqfpmom.dll

C:\WINDOWS\system32\tgtstigu.ini

C:\WINDOWS\system32\ugitstgt.dll

C:\WINDOWS\system32\uwciqxfv.dll

C:\WINDOWS\system32\vvnwpshr.dll

C:\windows\system32\vvnwpshr.dllbox

C:\WINDOWS\system32\wyqrhpys.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\dpgiesgu.dll

C:\WINDOWS\system32\dpgiesgu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\kitkvxgo.dll

C:\WINDOWS\system32\kitkvxgo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\nnnkige.dll

C:\WINDOWS\system32\nnnkige.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\orqndiin.dll

C:\WINDOWS\system32\orqndiin.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qommlkj.dll

C:\WINDOWS\system32\qommlkj.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\rqrrsts.dll

C:\WINDOWS\system32\rqrrsts.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\sstts.dll

C:\WINDOWS\system32\sstts.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\sttss.ini

C:\WINDOWS\system32\sttss.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\sttss.ini2

C:\WINDOWS\system32\sttss.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\tcqfpmom.dll

C:\WINDOWS\system32\tcqfpmom.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tgtstigu.ini

C:\WINDOWS\system32\tgtstigu.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ugitstgt.dll

C:\WINDOWS\system32\ugitstgt.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\uwciqxfv.dll

C:\WINDOWS\system32\uwciqxfv.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\vvnwpshr.dll

C:\WINDOWS\system32\vvnwpshr.dll Has been deleted!

Attempting to delete C:\windows\system32\vvnwpshr.dllbox

C:\windows\system32\vvnwpshr.dllbox Has been deleted!

Attempting to delete C:\WINDOWS\system32\wyqrhpys.dll

C:\WINDOWS\system32\wyqrhpys.dll Has been deleted!

Performing Repairs to the registry.

Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\qommlkj.dll

C:\WINDOWS\system32\qommlkj.dll Could not be deleted.

Performing Repairs to the registry.

Done!

Beginning removal...

El problema sigue ayuda!!!

[url=http://img179.imageshack.us/my.php?image=screenshot7tp3.png]

[img]http://img179.imageshack.us/img179/5292/screenshot7tp3.th.png[/img][/url]

Mensaje por **msc hotline sat** » 18 Ene 2008, 07:16

Y a qué viene usar esto que no recomendamos ??? [i]VundoFix V6.7.7 [/i]

Vd sabrá porqué lo hace, pero de lo que indica, lo que está claro es que le ha pasado por usar ARES, lo cual SÍ QUE NO RECOMENDAMOS !!!

Lo que podemos aconsejar es que ARRANQUE EN MODO SEGURO CON FUNCIONES DE RED Y LANCE ESTE AV ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]

Si bien dicho escaneo no corregirá lo que pueda haber hecho la utilidad que dice haber usado, y que no usamos ni recomendamos en este foro.

saludos

ms, 18-1-2008

ASD1000 · Mensaje por **ASD1000** » 18 Ene 2008, 13:46

Muchas Gracias por responder a mi post tan rápido, era la primera vez que escribía en este foro.

Antes de leer su mensaje le pasé muchos antivirus sin supervisión, pero ninguno pudo eliminar este poderoso virus, entre los cuales estaban Spybot Search and Destroy, SuperAntyspyware , Avg Antispyware, Mcafee scan, luego leí (en otro foro), una serie de herramientas para eliminar Vundo, pero eran múltiples infecciones

DROPPER.AGENT.DGO

Vundo Variant

Trojan Downloader

Spyware New Juan

AD-CLICKER-FK

W32-trats (creo no me acuerdo)

Algunos adware también

Reinicie el pc en modo seguro “con funciones de red”, (no se si sea normal) , pero no me aparecía para poder conectarme a Internet, en modo normal o en seguro el virus continuaba, mensajes falsos y una sorprendente lentitud del pc, como ya he comentado, el antivirus eliminaba todos los exes (hasta que se eliminó a su mismo), después de aplicar el Spybot reinicié y sorpresa ya solo aparecía una pantalla azul!!! No de error sino del color de fondo predeterminado de Windows, ya no iniciaba el proceso Explorer.exe.

Antes alcancé a Salvar algunos archivos y (por fortuna) tenía una copia de seguridad y formatee la unidad C, cuando lo inicie el virus desapareció, pero a raíz de esto me queda una pregunta ¿es posible que el virus haya migrado a las otras particiones?, lo escanee con el avg antispyware y el Kasperky y no mostraron virus (no alteraron nada), pero no estoy seguro de que no haya virus aun, el sistema funciona con normalidad….hasta ahora.

Soy un usuario medio, y no sabía que el Ares causaba problemas ¿cuales son estos?

Mi PC supuestamente estaba protegido, ( antivirus Nod 32 al día!!!, Sistema actualizado, Firewall Mcafee , y varios antispywares, ¿Cómo este virus pudo meterse en mi sistema? Ejecutar un exe puede hacer todo esto?

Mi otra inquietud es saber que antivirus usar desonfió en todos usted ¿Cuál me recomiendan? Que soluciones o “suites”. GRACIAS

En este momento le estoy pasando el AV Online, volveré para pegar los resultados…….

Mensaje por **msc hotline sat** » 18 Ene 2008, 13:56

Pruebe el ELISTARA.EXE y veremos lo que detecta:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 18-1-2008

ASD1000 · Mensaje por **ASD1000** » 18 Ene 2008, 14:11

Este es el reporte.

________________________________________

Fri Jan 18 08:05:03 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 18 08:06:08 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMSEARCHPLUGINSIMILARIMAGES.DLL --> Acceso Denegado, WinAntiVirus Pro 2006

Nº Total de Directorios: 2468

Nº Total de Ficheros: 23217

Nº de Ficheros Analizados: 8772

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Fri Jan 18 08:10:48 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 36

Nº Total de Ficheros: 638

Nº de Ficheros Analizados: 62

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Fri Jan 18 08:11:00 2008

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 105

Nº Total de Ficheros: 712

Nº de Ficheros Analizados: 382

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **lucl** » 18 Ene 2008, 14:56

Mira de enviarnos esto para su analisis ya que tiene el acceso denegado

NMSEARCHPLUGINSIMILARIMAGES.DLL

sigue las indicaciones del link

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

Mensaje por **msc hotline sat** » 18 Ene 2008, 15:40

Como sea que dice:

EliStartPage v15.46 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMSEARCHPLUGINSIMILARIMAGES.DLL --> Acceso Denegado, WinAntiVirus Pro 2006

posiblemente los demas que decias ya los has eliminado, y este posiblemente en un Fake Alert de promocion comercial del WinAntivirus Pro 2006, del que ya conocemos otras variantes.

Como que es raro que este malware indique ACCESO DENEGADO , prueba de lanzar el ELISTARA arrancando en modo seguro, y si persiste esta denegacion de acceso, envianos muestra del fichero indicado para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras el analisis informaremos

saludos

ms, 18-1-2007