Ayuda, por favor! problemas con virus 3o.exe

[jaba2008sv]

Hola a todos, tengo un problema con un virus llamando 3o.exe y su acompañente un archivo config.ini que estos se ejecutan cuando uno entra a cualquier unidad de disco duro el problema es que no dejan ver los archivos ocultos y todos los accesos de MiPC los abre en ventanas diferentes, yo logre indentificarlos porque tengo un sistema operativo que carga desde el disco duro haciendo como un smartdrive en la memoria virtual de la maquina. Cuando entro a las unidades de disco de mi PC veo este virus lo elimino pero cuando reinicio la maquina de forma normal el problema persiste, intento nuevemante, cargando el sistema operativo desde la unidad de CDRoom y cuando veo mis unidades de disco duro e incluso mi USB ahi esta nuevamente, mi antivirus no le detecta, tengo el AVAST, y el McAfee y tampoco lo detecta. Las preguntas serian, y desde ya muchas gracias por la ayuda.



1. ¿Como puedo hacer para eliminar este archivo?

2. ¿Que clase de antivirus me recomiendan?

[msc hotline sat]

Por lo que cuentas, tiene la pinta de ser una variante del ONLINE GAMES



Prueba el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si te pide enviar muestras, recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 16-03-2008







NOTA: Y si es este, piensa que se propaga a traves de pendrives...



Vacuna tu ordenador y pendrives con el ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

ms.

[rukuquim]

C:\3o.exe Infected: Packed.Win32.PolyCrypt.h skipped



C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked skipped



C:\Archivos de programa\Eset\infected\XOSIYWBA.NQF Infected: Packed.Win32.PolyCrypt.h skipped



C:\Archivos de programa\Eset\logs\virlog.dat Object is locked skipped



C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked skipped



C:\Archivos de programa\KONAMI\Pro Evolution Soccer 2008\kitserver\PES2008.log Object is locked skipped



C:\cfdflx.com Infected: Trojan-PSW.Win32.OnLineGames.uhv skipped



C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\VWFVEIPH\help[1].exe Infected: Packed.Win32.PolyCrypt.h skipped



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked skipped



C:\QooBox\Quarantine\C\WINDOWS\system32\amvo.exe.vir Infected: Packed.Win32.PolyCrypt.h skipped



C:\QooBox\Quarantine\C\WINDOWS\system32\amvo0.dll.vir Infected: Packed.Win32.PolyCrypt.h skipped



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped



C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped



C:\WINDOWS\SchedLgU.Txt Object is locked skipped



C:\WINDOWS\SoftwareDistribution\EventCache\{CAFD9FDD-5503-48AA-8241-A741375CCC50}.bin Object is locked skipped



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped



C:\WINDOWS\system32\amvo.exe Infected: Packed.Win32.PolyCrypt.h skipped



C:\WINDOWS\system32\amvo1.dll Infected: Packed.Win32.PolyCrypt.h skipped



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped



C:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\default Object is locked skipped



C:\WINDOWS\system32\config\default.LOG Object is locked skipped



C:\WINDOWS\system32\config\SAM Object is locked skipped



C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\SECURITY Object is locked skipped



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped



C:\WINDOWS\system32\config\software Object is locked skipped



C:\WINDOWS\system32\config\software.LOG Object is locked skipped



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\system Object is locked skipped



C:\WINDOWS\system32\config\system.LOG Object is locked skipped



C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped



C:\WINDOWS\WindowsUpdate.log Object is locked skipped



Scan process completed.



Que puedo hacer?

[msc hotline sat]

Tienes varios sospechosos, bien en carpetas normales, bien en cuarentena de NOD y de algun otro AV, y en carpetas temporales de Internet y ademas posiblemente tengas infectados los pendrives que usas, pues alguno es un tipico virus que se propaga por pendrive (ONLINE GAMES). Envianos estas muestras de sospechosos para analizar y aparte vacuna ordenador y pendrive con el ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Y recopila estos ficheros y nos los envias para analizar, tal como indicamos al final:





C:\3o.exe



C:\Archivos de programa\Eset\infected\XOSIYWBA.NQF



C:\cfdflx.com



C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\VWFVEIPH\help[1].exe



C:\QooBox\Quarantine\C\WINDOWS\system32\amvo.exe.vir



C:\QooBox\Quarantine\C\WINDOWS\system32\amvo0.dll.vir



C:\WINDOWS\system32\amvo.exe



C:\WINDOWS\system32\amvo1.dll



C:\WINDOWS\system32\cmdow.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Pero vemos que en post anterior ya deciamos que pasaras el ELIPEN y el ELISTARA, y nos postearas el contenido del infosat.txt... NO VEMOS QUE LO HAYAS HECHO !!!



SALUDOS



ms, 18-03-2008



saludos



ms, 18-03-2008