Porblema gordo! =S (SOLUCIONADO)

[pilariko]

Pues es que resulta que no me deja ni meterme en ninguna pagina, se mete en paginas de publicidad, pornografia, etc...

No me deja abrir el Spyboth, ni paginas online de antispyware ni antivirus!

No me deja restaurar el sistema tampoco....

Que puedo hacer?

Necesito arreglarlo cuanto antes por que tengo que hacer unas gestiones por medio de un banco y claro, no pienso ni meter un numero privado de targeta ni nada por el estilo, hasta que no haya solucionado completamente el problema!

[msc hotline sat]

Muy bien hecho ! puede tratarse de este ZBOT que es un keylogger y cazapasswords que envia datos a una wev rusa:



he añadido despues de tu siguiente post:



https://foros.zonavirus.com/viewtopic.php?f=5&t=27474&p=151794&hilit=redirec%2A+google#p151794



saludos



ms, 18-1-2009

[pilariko]

¿Pero como puedo solucionarlo y eliminarlo al 100% de mi PC?



Muchas gracias por tu respuesta, buscare informacion :wink:

[msc hotline sat]

Estaba a medias...



ahí tienes el link:



https://foros.zonavirus.com/viewtopic.php?f=5&t=27474&p=151794&hilit=redirec%2A+google#p151794



saludos



ms, 18-1-2009

[pilariko]

uff....probare a hacer algo de lo que he leido ahi.

Por cierto, si formateo el PC, se me quitaria el spyware?

Y si guardo mis archivos y despues los paso, es posible que se vuelva a meter el spyware?

[lucl]

Si, puedes guardar el spyware junto con tus archivos, y no, no necesariamente formatear es la solucion por lo que prueba lo que te aconsejamos y nos comentas saludos

[pilariko]

Vale pero vamos por parte:

1º meto el cd de windows xp

2º mientras se inicia el PC voy pulsando R para que me aparezca dicha consola

3º me meto en la carpeta System32 y cambio esa extension de dicho archibo

4º buscar tambien en system32 la carpeta twain32 y cambiar todos los archibos por .VIR

5º Reiniciar y volver a este foro a contar lo sucedido



Eso es todo? EXACTAMENTE ESO???



PD: lo que no se es meterme en la carpeta sistem32... como lo hago? diganme los pasos plis

[msc hotline sat]

De entrada dinos si arrancando en dicho modo ves el fichero TWEX.EXE en la carpeta de sistema, y tal como dices, le añades la extension .VIR



Si no, no es el caso que nos ocupa.



saludos



ms, 19-1-2009

[pilariko]

Llego hasta el paso numero 2

Pero no se que tengo que hacer, consigo entrar en dicha consola, pero no se que escribir....

Me pone que ponga el comando que yo dese o algo asin y me pone:

C:\WINDOWS>



Mas o menos eso....ahroa que tengo que hacer?

[msc hotline sat]

leer un poco ,,,



En el Tema del link se dice:



[b][i]prueba arrancar con el CD de instalacion, pulsa R para acceder a la consola de Recuperacion y ve a la carpeta de sistema y añade al fichero TWEX.EXE la extension .VIR



(La carpeta de sistema en XP es C:\WINDOWS\SYSTEM32\ y se accede a ella desde DOS con CD \WINDOWS\SYSTEM32\ <enter>)



Luego, en la misma sesion, busca dentro de la carpeta de sistema, la carpeta TWAIN32 (ojo, no dentro de la de WINDOWS), y en ella añadir, a estos ficheros, tambien la extension .VIR:



local.ds, user.ds y user.ds.lll[/i][/b]



saludos



ms, 19-1-2009

[pilariko]

Pues no me entra, me dice que no se encuentra el comando...

ahora mismo estoy en un portatil frente a mi pc...os pongo lo que veo solo:

C:\WINDOWS>\SYSTEM32\

No se reconoce el comando...etc

Eso es lo que tenog ahora mismo, a mas no llego...

[julibaga]

Creo que te pone 1.- c:\windows ( o algo así)

tienes que darle a 1 y enter. Luego haces lo que te mencionaron.



Salu2

[pilariko]

Ya, eso es lo que hago...

Le doy a 1, pulso enter y me sale lo de C:\WINDOWS> y escribo lo que yta he puesto en mi post anterior, y eso es lo que me sale... :?

[julibaga]

Le pones:


[quote="pilariko"]CD \WINDOWS\SYSTEM32\ <enter>[/quote]

Ahí le le pones:

REN TWEX.EXE TWEX.EXE.VIR [Enter]



Luego sigues con:
[quote="msc hotline sat"]Luego, en la misma sesion, busca dentro de la carpeta de sistema, la carpeta TWAIN32 (ojo, no dentro de la de WINDOWS), y en ella añadir, a estos ficheros, tambien la extension .VIR:



local.ds, user.ds y user.ds.lll
[/quote]

Así lo haces??

[pilariko]

Esto es lo que yop hago:



Pues no me entra, me dice que no se encuentra el comando...

ahora mismo estoy en un portatil frente a mi pc...os pongo lo que veo solo:

C:\WINDOWS>\SYSTEM32\



Eso es lo que escribo una vez dado a 1...

y me sale esto:



No se reconoce el comando.Para mas informacion escribe HELP...etc



Eso es lo que tenog ahora mismo, a mas no llego...

Si me decis loq ue tengo que poner paso a paso...acabariamos antes xD

[flacoroo]

ya estas aqui:

C:\WINDOWS>\SYSTEM32\

le das el comando DIR [enter] para que se te despliegue los ficheros y busques el archivo en cuestion

si lo encuntras hay que cambiarle la extension....

REN TWEX.EXE [si es que tiene esta extension si no la tiene ponla como aparece y despues escribes lo siguiente] TWEX.EXE.VIR [Enter]

despues le das dir para ver si cambio la extension escribes dir *.vir y si hicistes bien el cambio se desplegara el archivo con la extension cambiada....

[msc hotline sat]

Por si acaso está protegido contra escritura u oculto, antes de lo último indicado escribe ATTRIB  C:\WINDOWS\SYSTEM32\TWEXT.EXE  -S  -H  -R



saludos



ms, 21-1-2009

[pilariko]

OK, ahora si lo pillo:



1º) Pongo "C:\WINDOWS\SYSTEM32\TWEXT.EXE -S -H -R" por si esta escondido o algo.

2º) "C:\WINDOWS>\SYSTEM32\DIR <enter>"

3º) "C:\WINDOWS>\SYSTEM32\REN TEWX.EXE TWEX.EXE.VIR <enter>"

4º) sigo con los demas archibos...



Eso es no?

[flacoroo]

asi es....si al dar el comando DIR y no ves el archivo en cuestion entonces lo escribes como dice MSC:

ATTRIB C:\WINDOWS\SYSTEM32\TWEXT.EXE -S -H -R

lo visualizaras ahora si y cambias la extension

REN TWEXT.EXE TWEXT.EXE.VIR



ya cuando este cambiada la extension entras en modo normal, lo buscas, lo comprimes poniendole la contraseña virus y nos lo mandas a zonavirus@satinfo.es o desde la parte de arriba dice envio de muestras.....

[msc hotline sat]

Y luego nos te olvides de enviarnoslo para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 21-1-2009

[pilariko]

Me doy por vencido....no puedo hacer nada, me dice que no encuentra el archibo....no se que hacer ya, y mi pc lo necesito con urgencia, asin que el lunes ira a hacerle una visita al medico...Por cierto, tengo fotos que no me gustarian perderlas...Como puedo guardalas y asegurarme de que no esten infectadas?



Por cierto, muchisimas gracias por vuestra paciencia! muchas gracias por ayudarme! recomendare esta pagina siempre!! :D

[msc hotline sat]

Pues dile a tu medico que arranque en consola de recuperacion y haga lo que hemos indicado, que saque los atributos al fichero en cuestion y nos lo envie para analizar:



C:\WINDOWS\SYSTEM32\TWEXT.EXE



Al menos servirá para otros foreros, y para tí en el futuro, que si te ha entrado, puede volver a entrarte en cualquier momento, si no lo controlamos.



Y por supuesto no aconsejamos formatear, esto es tirar la toalla ! Además que cualquier fichero que guarde y vuelva a copiar puede contener el virus, incluso los de imagenes !!!



Piensa que en las imagenes se añaden scripts html maliciosos que son ejecutados cuando se pincha en ellas, asi que o nos envias el fichero para controlar el virus y acabamos con él o él acabará con tus ficheros !



saludos



ms, 23-1-2009

[pilariko]

bueno, lo voy a intentar otra vez, hasta que el lunes se llebe el pc al medico...



Esto es lo que yo he entendido, diganme si es eso EXACTAMENTE ó no:



1º) Busco el archibo en cuestion poniendo DIR

2º) Si no lo encuentro lo que tengo que poner es: "C:\WINDOWS>ATTRIB SYSTEM32\TWEX.EXE"

3º) Vuelvo a poner DIR para ver si lo encuentro

4º) Si está, lo renombro con REN TWEX.EXE TWEX.EXE.VIR

5º) Vuelvo a poner DIR para ver si el archibo en cuestion se ha cambiado y si es asi, reinicio sin el cd, lo busco en system32, lo comprimo y le pongo la contraseña "virus" y os lo mando.





Fijense en el paso numero 2, que de eso no estoy seguro de que poner exactamente, recordad que ya me sale "C:\WINDOWS>"



Salu2!!:D

[msc hotline sat]

Efectivamente, en el paso 2, al final, debes añadir -S -H -R para quitar los atributos que tenga dicho fichero



saludos



ms, 24-1-2009

[pilariko]

Entonces al final añado: "...\TWEX.EXE -S -H -R <enter>"

[pilariko]

Cuando pongo el paso 2, me dice que no se encuentra el archibo especificado o algo asin... =S

a lo mejor es que no lo escribo bien?

Pongo esto:



C:\WINDOWS>ATTRIB SYSTEM32\TWEX.EXE -S -H -R

[msc hotline sat]

Si, por si acaso al principio pon C:\windows, o sea:



ATTRIB  C:\WINDOWS\SYSTEM32\TWEX.EXE  -S  -H -R



aunque estando en "C:\windows>" no deberia hacer falta, pero como la consola de sistema es muy cutre, escribelo del todo



Evidentemente tras arrancar con el CD de instalacion de windows y pulsar R para acceder a la consola de recuperacion, claro.



saludos



ms, 24-1-2009

[pilariko]

Aún asin...me sigue diciendo lo mismo.

que no lo encuentra...

[msc hotline sat]

Pues igual no está...



A ver, que no le falte una letra al final, porque lo hay con una t. Ponle al final del nombre un * , asi:



TWEX*.EXE



a ver.



saludos



ms, 24-12-2009

[pilariko]

Idem de lo mismo... :(