Hola a tod@s
En primer lugar, no se si esta pregunta debería estar en el foro de Virus o en el de Spyware, porque se trata de un falso Anti-Spyware.
Mi sistema operativo es Windows XP Home Edition con Service Pack 3.
El Lunes pasado estaba navegando en una página de descarga directa y de repente apareció el icono del centro de seguridad de Windows diciendo que el proveedor de seguridad estaba desactivado (tengo Avast! 2011 y Spybot residente actualizado del Sábado, pero esa noche había desconectado el Spybot porque me dio un problema y... se me olvidó volver a conectarlo)
Al lado de ese icono aparecio otro, un escudo igual al del centro de seguridad pero con los cuatro colores de Windows, y un mensaje que decía (algo asi) como que el XP Anti-Spyware 2011 habia detectado virus en mi ordenador y que empezaba el scaneo. Se abrió una ventana con un (supuesto) programa anti-spyware (bastante logrado, con los botones tipicos en la parte izquierda y una barra de avance en el centro de color rojo) y no paraba de encontrar millones de malwares.
Inmediatamente, cerré todos los programas y reinicié en modo a prueba de fallos con la intencion de pasar el Spybot (y el MBAM, que también lo tengo pero en version gratuita por lo que no lo puedo poner residente), pero el XP Anti-Spyware 2011 volvió a cargarse (el unico programa que se cargó en la barra de tareas!) y no me dejó ejecutar absolutamente ningún programa (simplemente, los programas no arrancaban, sin más) mientras no paraba de sacarme mensajes sobre virus y sobre que tenía que registrarme para solucionarlos.
Asi que reinicié otra vez en modo a prueba de fallos y ejecuté el restaurador de Windows para volver a un punto de restauracion que creé el Sábado cuando pase los antivirus y antimalwares por última vez. Cuando el restaurador terminó y windows se reinició en modo normal, no aparecio NINGÚN programa en la barra de tareas (ni siquiera el XP Anti-Spyware 2011), y cada vez que intentaba ejecutar cualquier programa me salía un cuadro de diálogo de windows preguntándome con qué programa quiero abrir los archivos .exe (con lo cual, no podía abrir ningun programa). El problema persistía incluso en modo a prueba de fallos. Después de eso apagué el ordenador.
Cuando volví a arrancar la noche siguiente, tenía una pequeña sorpresa. Por lo visto, la recuperación del sistema había funcionado... en parte. En la barra de tareas se cargó el Spyware Doctor, que había tenido instalado en el portátil hasta el Sábado, momento en el que lo desinstalé (de ahí que creara un punto de restauración). Lo ejecuté para hacer un escaneo completo, que llevó algo así como 6 horas. El Spyware Doctor encontró tres amenazas y las eliminó, pero no solucionó el problema. Tengo el informe del Spyware Doctor pero para no alargar la consulta diganme si es necesario pegarlo aquí o no.
Como estaba un poco desesperado, busqué ayuda en otro foro de virus (el primero que salió en el google) y me recomendaron un programa llamado rkill.com seguido del Malwarebytes Antimalware. Así pues, a la noche siguiente intenté ejecutar el rkill.com desde un pendrive y empezaron a aparecer ventanas preguntando con qué programa quería ejecutar -por este orden- los siguientes archivos .exe (fuí cancelando puesto que no hay ningún programa de la lista que pueda ejecutar archivos .exe):
userinit.exe
explorer.exe
iexplorer.exe
explorer.exe
iexplorer.exe (4 veces)
explorer.exe
iexplorer.exe
winlogon.exe
iexplorer.exe (12 veces)
explorer.exe (2 veces)
iexplorer.exe (20 veces)
Después de cancelar todos estos archivos, finalmente arrancó el rkill.com y cuando terminó (me dió un mensaje de que había un archivo que no pudo leer, pero no me dió tiempo a apuntar la ruta), apareció una ventana en blanco diciendo que había terminado con éxito, pero el resto de la pantalla se quedó completamente negra.
Después de un par de minutos sin que pasara nada, cerré la ventana y abrí el administrador de tareas con ctrl+alt+supr. Intenté ejecutar el explorer, pero de nuevo me preguntó con qué programa quería abrirlo. Cancelé y cerré la sesión. Volví a abrirla y se ejecutó el explorer con lo que ya veía los iconos y la barra de tareas. Sin embargo, seguía sin poder ejecutar ningún archivo .exe porque siempre me preguntaba con qué programa quiero abrirlo.
Entonces se me ocurrió intentar otra cosa. En mi portátil tengo dos perfiles, pero uno de ellos sólo me aparece cuando trato de arrancar en modo a prueba de errores (siempre me he preguntado por qué?), así que arranqué en modo seguro y entré en el otro perfil que no uso nunca en lugar de entrar en mi perfil habitual. Allí traté de arrancar el MBAM... y funcionó!
Entonces cerré el MBAM y ejecuté de nuevo rkill.com y esta vez no dió ningún mensaje de error, sencillamente apareció su ventanita negra diciendo que estaba preparandose, después se ejecutó sin problemas, desparecieron todos los iconos y apareció una ventana blanca que decía que todo había salido bien. Cerré la ventana y como no pasaba nada de nada abrí el administrador de tareas (ctrl+alt+supr) y ejecuté el explorer. Se cargó sin problemas y lancé el MBAM para un escaneo completo.
Como todo esto lo hice muy tarde (cerca de las 2 de la mañana), dejé el equipo escaneando y me fuí a acostar. Por la mañana, eliminé las amenazas detectadas (2), guardé el informe (si me lo piden se lo pego) y apagué el ordenador (no lo reinicié) pensando que todo estaba solucionado.
Pero anoche volví a encender el ordenador en modo normal... NO había cambiado nada!
En el otro foro no me han dado más soluciones y la verdad es que no se qué hacer.
Por favor, pueden darme alguna otra solución para este problema?
Desde ya, mil gracias.
XP Anti-Spyware 2011 (SOLUCIONADO)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: XP Anti-Spyware 2011
Si hubieras empezado pr este foro, quizas ya no tendrias el problema...
Controlamos muchas varianets del "XP Anti-Spyware 2011" con el ELISTARA, pruebalo:
Pues pruebe el ELISTARA y nos postea el informe resultante:
Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder con el SPROCES :
saludos
ms, 9-4-2011
RUKBRIS
Y por cierto, a lo que dices que "y no me dejó ejecutar absolutamente ningún programa (simplemente, los programas no arrancaban, sin más)", simplemente renombra la aplicacion o utilidad que quieres ejecutar, por EXPLORER.EXE y asi te dejará ejecutarla. ms.
Controlamos muchas varianets del "XP Anti-Spyware 2011" con el ELISTARA, pruebalo:
Pues pruebe el ELISTARA y nos postea el informe resultante:
para DESCARGAR el ELISTARA, msc escribió:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado
del proceso
Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder con el SPROCES :
lo analizaremos e informaremos al respecto.msc escribió: SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp
Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT
saludos
ms, 9-4-2011
RUKBRIS
Y por cierto, a lo que dices que "y no me dejó ejecutar absolutamente ningún programa (simplemente, los programas no arrancaban, sin más)", simplemente renombra la aplicacion o utilidad que quieres ejecutar, por EXPLORER.EXE y asi te dejará ejecutarla. ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: XP Anti-Spyware 2011
"Si hubieras empezado pr este foro, quizas ya no tendrias el problema..." Qué puedo decir? No tengo demasiada experiencia con el tema de spyware y cogí el primer enlace que ví en Google. Pero vista la experiencia, sólo puedo darte la razón al 100 % porque parece que el ELISTARA ha funcionado!!! :D
He arrancado el equpo en modo seguro con conexiones de red, tal y como aconseja la página del ELISTARA y he descargado el archivo EliStarA.exe en el escritorio. Sin embargo, el equipo no me permitía ejecutarlo porque me preguntaba que con qué programa quería ejecutar ese archivo. He intentado renombrarlo como explorer.exe como aconsejaste, pero de nuevo me salía el dichoso cuadro de diálogo. Entonces se me ha ocurrido cambiarle la extensión por .com y ha funcionado! En el escaneo me ha detectado 8 archivos infectados. Este es el informe del archivo InfoSat.txt
(9-4-2011 22:09:11 (GMT))
EliStartPage v23.01 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(9-4-2011 22:34:10 (GMT))
EliStartPage v23.01 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA17.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA18.EXE --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA19.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA2.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA20.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA21.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA21.EXE --> Eliminado, Trojan.Agent2.CDB(dr)
Nº Total de Directorios: 23521
Nº Total de Ficheros: 218142
Nº de Ficheros Analizados: 37852
Nº de Ficheros Infectados: 8
Nº de Ficheros Limpiados: 8
Después he reinicia el ordenador en modo normal y parece que todo está bien! La barra que hay al lado del reloj vuelve a mostrar los iconos de los programas que antes no se veían (Avast!, Dropbox, Spybot residente, etc), y he arrancado varios programas que antes no me permitía (Malwarebytes Antimalware, Spybot, etc) sin detectar ningún problema.:mrgreen:
Ahora me gustaría asegurar la limpieza del equipo (sobre todo del pendrive que he estado utilizando; debería utilizar EliStarA con él también?) y preguntar qué antispyware debería dejar residente para tratar de evitar esto en un futuro sin sobrecargar el ordenado demasiado (tiene 7 años pero me va muy bien para lo que necesito), porque aunque es cierto que tenía el Spybot desactivado cuando me atacó el XP Anti-Spyware 2011, la verdad es que no tengo muy claro qué antispyware es el más adecuado puesto que cada uno parece detectar cosas que los demás no detectan y viceversa. Aunque quizá este tema debería preguntarlo en la sección de Spyware, no sé.
En cualquier caso, cómo te lo puedo agradecer???:D
Gracias, gracias, gracias!
He arrancado el equpo en modo seguro con conexiones de red, tal y como aconseja la página del ELISTARA y he descargado el archivo EliStarA.exe en el escritorio. Sin embargo, el equipo no me permitía ejecutarlo porque me preguntaba que con qué programa quería ejecutar ese archivo. He intentado renombrarlo como explorer.exe como aconsejaste, pero de nuevo me salía el dichoso cuadro de diálogo. Entonces se me ha ocurrido cambiarle la extensión por .com y ha funcionado! En el escaneo me ha detectado 8 archivos infectados. Este es el informe del archivo InfoSat.txt
(9-4-2011 22:09:11 (GMT))
EliStartPage v23.01 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(9-4-2011 22:34:10 (GMT))
EliStartPage v23.01 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA17.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA18.EXE --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA19.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA2.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA20.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA21.DLL --> Eliminado, Trojan.Agent2.CDB(dr)
C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP\WISECUSTOMCALLA21.EXE --> Eliminado, Trojan.Agent2.CDB(dr)
Nº Total de Directorios: 23521
Nº Total de Ficheros: 218142
Nº de Ficheros Analizados: 37852
Nº de Ficheros Infectados: 8
Nº de Ficheros Limpiados: 8
Después he reinicia el ordenador en modo normal y parece que todo está bien! La barra que hay al lado del reloj vuelve a mostrar los iconos de los programas que antes no se veían (Avast!, Dropbox, Spybot residente, etc), y he arrancado varios programas que antes no me permitía (Malwarebytes Antimalware, Spybot, etc) sin detectar ningún problema.
Ahora me gustaría asegurar la limpieza del equipo (sobre todo del pendrive que he estado utilizando; debería utilizar EliStarA con él también?) y preguntar qué antispyware debería dejar residente para tratar de evitar esto en un futuro sin sobrecargar el ordenado demasiado (tiene 7 años pero me va muy bien para lo que necesito), porque aunque es cierto que tenía el Spybot desactivado cuando me atacó el XP Anti-Spyware 2011, la verdad es que no tengo muy claro qué antispyware es el más adecuado puesto que cada uno parece detectar cosas que los demás no detectan y viceversa. Aunque quizá este tema debería preguntarlo en la sección de Spyware, no sé.
En cualquier caso, cómo te lo puedo agradecer???
Gracias, gracias, gracias!
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: XP Anti-Spyware 2011
Bueno, decir ante todo que lo que indicabamos al principio no era critica, sino comentario o aseveración, sin que menospreciaramos los demas foros ni pretendieramos que tuvieras que saberlo 
, simplemente que por la experiencia al respecto nos atreviamos a indicar lo dicho, con el consiguiente riesgo, claro, pues si no llegamos a contar contigo, por lo de renombrar la extension por otra que no fuera EXE, como .SCR, como acostumbramos a aconsejar cuando se interceptan los EXE, o por .COM como has hecho, no lo hubieramos logrado.
Y es que, posiblemente, los anteriores antispywares que lanzaste, habian eliminado el fichero malware del FAKE ALERT, pero no habian restaurado la clave de interceptacion de los EXE FILES, y no dejaba lanzar EXEs justamente por falta de dicho fichero, técnica que usan algunos malwares para protegerse, por ello el ELISTARA corrige dicha clave, si la viera modificada, aunque no encontrara propiamente el malware en cuestion, además de otras muchas claves que ya corrige por accion directa, sin necesidad de escanear, que es el segundo paso que ofrece el ELISTARA, y en él hemos encontrado otros ficheros del dropper Trojan.Agent2.CDB y los hemos eliminado. Si se hubiera ejecutado el ELISTARA al principio, antes que los demas, con arrancar en MODO SEGURO ya hubiera podido ejecutarse, y sino en modo normal, renombrado a EXPLORER.EXE, como deciamos, y en cualquier caso ya se hubieran eliminado los malwares y restaurado las claves modificadas por ellos.
Lo que preguntas sobre los pendrives, selecciona su unidad y escanea tambien todos los pendrives, pero sobre todo protege ordenador y pendrives con el ELIPEN:
y vacunar el ordenador y las unidades de pendrive con el ELIPEN:
ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y respecto al protector residente, mientras lo tengas residente y actualizado, el que indicas es correcto
Y dando por solucionado el Tema, procedemos a cerrarlo
Si nos necesitas de nuevo, ya sabes donde estamos
ms, 10-4-2011
, simplemente que por la experiencia al respecto nos atreviamos a indicar lo dicho, con el consiguiente riesgo, claro, pues si no llegamos a contar contigo, por lo de renombrar la extension por otra que no fuera EXE, como .SCR, como acostumbramos a aconsejar cuando se interceptan los EXE, o por .COM como has hecho, no lo hubieramos logrado.Y es que, posiblemente, los anteriores antispywares que lanzaste, habian eliminado el fichero malware del FAKE ALERT, pero no habian restaurado la clave de interceptacion de los EXE FILES, y no dejaba lanzar EXEs justamente por falta de dicho fichero, técnica que usan algunos malwares para protegerse, por ello el ELISTARA corrige dicha clave, si la viera modificada, aunque no encontrara propiamente el malware en cuestion, además de otras muchas claves que ya corrige por accion directa, sin necesidad de escanear, que es el segundo paso que ofrece el ELISTARA, y en él hemos encontrado otros ficheros del dropper Trojan.Agent2.CDB y los hemos eliminado. Si se hubiera ejecutado el ELISTARA al principio, antes que los demas, con arrancar en MODO SEGURO ya hubiera podido ejecutarse, y sino en modo normal, renombrado a EXPLORER.EXE, como deciamos, y en cualquier caso ya se hubieran eliminado los malwares y restaurado las claves modificadas por ellos.
Lo que preguntas sobre los pendrives, selecciona su unidad y escanea tambien todos los pendrives, pero sobre todo protege ordenador y pendrives con el ELIPEN:
y vacunar el ordenador y las unidades de pendrive con el ELIPEN:
ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y respecto al protector residente, mientras lo tengas residente y actualizado, el que indicas es correcto
Y dando por solucionado el Tema, procedemos a cerrarlo
Si nos necesitas de nuevo, ya sabes donde estamos
ms, 10-4-2011
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online