Eliminar Qhost

[jhontoriar]

El antivirus Panda me lo neutraliza, pero cada vez que reinicio el P.C vuelve a ser detectado y neutralizado. He pasado el antivirus en "a prueba de fallos" tras desactivar la restauracion, he utilizado EliQhostsA y no ha dado resultado¿Puedo hacer algo más?

Gracias :(

[caito]

Info :

http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=sol&idvirus=47310

Salu2

Caito

[msc hotline sat]

Del QHOST hay variantes , pero la que te detecte tu antivirus debería poder eliminarlo arrancando en modo seguro y deshabilitando restauracion de sistema si fuera XP o Me



Si ni asi puedes, usa un antivirus ONLINE, arrancando en modo seguro con funciones de red manteniendo deshabilitada la restauracion de sistema:



https://www.virustotal.com/es/



saludos



ms, 16-11-2004

[jhontoriar]

Lo he intentado, pero no puedo realizar la conexión en red, pese a haber elegido ese modo en "a prueba de fallos".

gracias por todo.

[msc hotline sat]

Es que no indicas eñl sistema operativo, y al indicar que habias deshabilitado la restauracion de sistema se suponía que usabas XP, pero por lo visto usas Me.



Con este no se puede, a diferencia del XP, que se puede seleccionar modo seguro con funciones de red, y se puede navegar y desinfectar ONLINE.



En tal caso, puedes descargar un antivirus gratuito para uso particular, y arrancando en modo a prueba de fallos, lanzarlo y eliminar el virus:



Antivirus GRATIS:



· Grisoft (AVG)

Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa

http://www.grisoft.com/us/us_dwnl_free.php



· Tutorial sobre el AVG

· Tutorial sobre el AVG desde zonavirus.com

http://www.zonavirus.com/descargas/avg.pdf



saludos



ms, 16-11-2004

[jhontoriar]

He ejecutado el programa antivirus AVG en modo a prueba de fallos y deshabilitando restaurar(tengo Win XP) pese a todo persiste el virus, aunque ha cambiado de "qhost.gen" a "qhost.v"y Panda sigue neutralizando, pero al reiniciar el PC vuelve a aparecer, a veces se acompaña de un tal "protoride" también viejo conocido. ¿Habrá alguna solución para esto?

Saludos y gracias

[jhontoriar]

He utilizado Hijackthis y me aparece un informe(adjunto) que no se descifrar, ¿Hay algún indicativo de la infección por Qhost.V?

Gracias



Logfile of HijackThis v1.98.2

Scan saved at 13:03:10, on 16/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\system\lsvchost.exe

C:\WINDOWS\System32\csmrs.exe

C:\Archivos de programa\Spamihilator\spamihilator.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Manuel\Mis documentos\Programas originales\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A30182A4-892C-DC1A-A1C4-381B3567975B} - C:\DOCUME~1\LASURF~1\DATOSD~1\GRIDME~1\Option flag.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: (no name) - {6C1301B5-6F62-40AB-558D-AE5CD2DBB0D4} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [] "%1" %*

O4 - HKLM\..\Run: [HCEmployee] C:\Archivos de programa\Oleansoft\Hce\Hce.exe

O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe

O4 - HKLM\..\Run: [VC5MediaPlayer] C:\WINDOWS\System32\csmrs.exe

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\MSN Messenger\msnmsgr.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\MSN Messenger\msnmsgr.exe

O9 - Extra button: ToolbarCop - {A349A035-E26F-454b-ABB4-5208E50E1BE7} - C:\Documents and Settings\Manuel\Configuración local\Temp\toolbarcop.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: ToolbarCop - {A349A035-E26F-454b-ABB4-5208E50E1BE7} - C:\Documents and Settings\Manuel\Configuración local\Temp\toolbarcop.exe (file missing) (HKCU)

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{C00B6EC5-D507-44A1-9361-6DBEB92FA85F}: NameServer = 217.76.128.4,217.76.129.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

[maura63]

Enciende en modo seguro y desactiva restaurar sistema antes. Ya en el escritorio pincha en inicio y explorar, busca en C esta carpeta y eliminala.





C:\WINDOWS\system\lsvchost.exe



Luego vuelve a lanzar del mismo modo el hijackthis, pulsa scan, marcas las casillas de estas entradas y pulsa FIX y aceptas.



O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: (no name) - {6C1301B5-6F62-40AB-558D-AE5CD2DBB0D4} - (no file)

O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe

O4 - HKLM\..\Run: [] "%1" %*



Siguiendo en modo seguro vuelve a lanzar tu antivirus y algun anti-spyware, por ejemplo spybot. Elimina si detecta algo.

Vuelve a encender en modo normal y comprueba el resultado.



Saludos

maura63

[jhontoriar]

Sin darme cuenta he eliminado todo lo que aparecía en Hijackthis, por supuesto también Ghost.v. ¿Puedo hacer algo para recuperal los elementos eliminados?

Gracias por todo.

[caito]

Desde el programa :

lánzalo-busca Config- Backups-ahí te aparecen todas las líneas borradas con su fecha de eliminación, seleccionas y marcas Restore en las que quieres activar.

Salu2

Caito

[jhontoriar]

¡Uf, menos mal! He restaurado todos los archivos excepto los "malos" y todo va bien, excepto unas malditas barras que ya han salido otras veces, arriba y abajo de IE.

Gracias por todo Caito