NO PUEDO SACAR ESTE VIRUS!!!

[onirico73]

Q tal? Les comento, hace unos dias desaparecio el icono de mi antivirus AVAST (home edition) cuando intente ejecutarlo desde su ubicacion original me dio el siguiente error:

[i]"ashavast.exe no es una aplicación win32 valida" [/i]

Lo desinstale y lo volvi a instalar y me da el mismo error. Luego Instale HijackThis q al intentar ejecutar me da el mismo error:

[i]"hijackthis.exe no es una aplicación win32 valida"[/i]

Reinicio en MODO SEGURO y ahí si me permite correr el AVAST pero este no encuentra nada, ejecuto HIJACKTHIS y emite el siguiente log:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:14:02, on 27-feb-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Safe mode



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

d:\Archivos de programa\Avast4\ashSimpl.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe



O2 - BHO: (no name) - {BACF9B7A-FC7E-4A81-B350-09D1C1A6E676} - c:\windows\system32\ocmanageg.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] d:\ARCHIV~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ADSLKeepAlive] C:\Archivos de programa\ADSLKeepAlive\ADSLKeepAlive.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] D:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O20 - Winlogon Notify: trudjmmw - C:\WINDOWS\SYSTEM32\ocmanageg.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Archivos de programa\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - d:\Archivos de programa\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Archivos de programa\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - d:\Archivos de programa\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe



--

End of file - 2709 bytes





Luego de revisar este log vi como sospechoso el archivo [i]c:\windows\system32\ocmanageg.dll [/i]asi q decidi borrarlo, pero segundos despues vuelve a aparecer... la verdad q no se como seguir ya q estoy sin antivirus y la maquina y la conexion estan lentisimas.

Desde ya agradezco su ayuda.

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.





Saludos.

[flacoroo]

bajate este programita [url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url] ya que el virus bagle es el que te elimina tu antivirus y demas programas de proteccion, aparte de lo que te dice Claudia34 pero primero el que te digo, lo ejecutas en modo normal y despues lo haces de nuevo en modo seguro....despues nos pegas el resultado que se crea en C:infosat.txt, ademas de instalar de nuevo tu antivirus y demas programas de proteccion que tengas

[onirico73]

Gente todos los linkis me llevan a paginas 'muertas' (The page cannot be found). Se puede descargar de algun otro lado q sea seguro?. Gracias

[Claudia34]

Pues recien yo entre a esos enlaces y estan correctamente, es un problema del navegador que tienes instalado.

Te recomiendo que utilices otra pc (puede se un ciber) descargate en un diskette los programas recomendados que son archivos de poco consumo de espacio.

Una vez que los descargues en un diskette los guardas en una carpeta en tu pc y los lanzas en modo a prueba de fallos y nos pegas los logs resultantes como se te recomienda alli arriba, es la mejor solucion lo de copiar en un diskette.



Saludos.

[onirico73]

Claudia, te cuento: entro sin problemas al link q me enviaste

http://www.zonavirus.com/descargas/elibagla.asp

el problema esta en cuanto quiero bajar el archivo, q supongo se abrira luego de hacer click en el boton 'DESCARGAR ELIBAGALA 11.06' al pie de la misma pagina.

Cuando hago click en dicho boton me lleva a otra pagina y no pasa nada.



No se puede encontrar la página web

HTTP 404

Causas más probables:

Es posible que la dirección no se haya escrito correctamente.

Si hizo clic en un vínculo, es posible que no esté actualizado.



Puede intentar lo siguiente:

Volver a escribir la dirección.



Regresar a la página anterior.



Ir a http://www.zonavirus.com y busque la información que desea.



Más información



Gracias por la paciencia!

[Claudia34]

Pues volvemos a lo mismo si no puedes descargar dicho software desde tu pc por XXXXXXXXX motivo, pues copialo en un diskette desde otra pc (puede ser desde el pc de un ciber, etc.).

[onirico73]

Gente miles de gracias...ya queedo limpia la PC. Pude instalar el antivirus y el hijack. Muchisimas Gracias

[msc hotline sat]

Siempre, tras probar nuestras utilidades de evaluacion, se pide que se postee el resultado, copiando el contenido de c:\infosat.txt para ver el proceso realizado y asi mejorar en lo posible dichas utilidades.



Esperamos dicho informe, pégalo en tu próximo post, de respuesta a este Tema, con un copiar y pegar, aunque ya hayas solucionado el Tema, pues asi podremos saber lo que se ha hecho.



saludos



ms, 27-2-2008