me elimina antispyware y antivirus, impide comando "eje

[xaviersillu]

Esta tarde (3/5/04) he iniciado un escaneo con el kaspersky que se ha quedado por la mitad, al ejecutarlo otra vez solo me carga la imagen inicial del programa y desaparece al instante, el icono de la barrea de tareas del mismo antivirus desaparece cuando le acerco el ratón. Seguidamente he intentado abrir el spybot a ver q encontraba, no me ha dejado. Voy al comando "ejecutar" del desplegable inicio, inetento ejecutar los comandos "regedit", al instante me desaparece la ventana, y "msconfig", me ocurre lo mismo. Entonces busco posibles soluciones por internet, la página de inicio del explorer no es la habitual, ahora me va a este sitio: http://qbglii.outhost.info/, no hago mucho caso, busco antivirus on-line, los encuentro y analizo mi sistema: o no me encuentran nada, caso del panda o del pc-cillin, o no me eliminan el virus, caso del bitdefender que me encuentra un tal "whenu" q me parece no es el de este caso. Otra curiosidad, si intento ir a la pagina de softonic automaticamente me carga la dirección antes citada, tambien me pasa con otras pàginas de descarga de software, sólo con éstas, rarísimo. Sigo. Intento ejecutar el kaspersky otra vez desde windows modo a prueba de fallos pero se queda colgado el antivirus. Reinicio en modo normal, no sé por donde empezar, mi antivirus residente, el nod32, me manda algun aviso: virus hacdef.073.B, creo q no lo elimina. Busco informacion sobre el virus y no se asemeja a las caracteristicas citadas. Otra sorpresa, la mayor: el spybot me ha desaparecido, no queda rastro. Empiezo a estar preocupado.

Alguien sabe que tengo y como acabar con ello?

Muchas gracias.

[cañera]

si tienes conexion por cable pasate este antivirus online en a modo prueba de errores con funcion de red;

Para test ONLINE antivirus:



https://www.virustotal.com/es/



y este programa tambien de la misma manera;

Para eliminación de intrusos con páginas de inicio no restaurables, dialers, etc,



http://www.softpedia.com/public/scripts/downloadhero/10-17-150/



http://www.zonavirus.com/descargas/descargar-trend-micro-cwshredder.asp

cuentanos los resultados.

[msc hotline sat]

Y la causa de que no puedas ejecutar EXES puede ser el haber eliminado algun gusano como el Protoride sin haber restaurado la clave de registro de sistema que intercepta dicha ejecución.



Lanza el ELIRESTR.VBS que restaurará acceso al registro y ejecucion de EXES.



*******************************************************************



ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)



ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICIKN DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEdIT POR SI ESTUVIERA RESTRINGIDA SU EDICION.



http://www.zonavirus.com/descargas/EliRestr.vbs



*******************************************************************





saludos



ms, 04-05-2004

[xaviersillu]

A ver, antes de nada muchas gracias por intentar ayudarme. A Cañera: no puedo acceder a los enlaces que me facilitas por que al virus este parece ser muy listo y cuando detecta algo raro me cierra las ventanas del explorer, ayer ya lo pude comprobar, no puedo pues acceder al enlace para eliminar intrusos con paginas de inicio no restaurables. Cuando intento descargarme un exe, ya sea el q tu me facilitas o algun otro que he intentado bajar para solucionar el problema la carga se corta casi al final, siempre, me es imposible descargar nada. El antivirus etrust online no encuentra nada, al igual q los q cité ayer, panda, pc-cillin y hoy tambien mcafee. Gracias. A Msc hotline sat: he descargado el script q tu me mandas, ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA), lo activo, pero el problema no se soluciona, msconfig y regedit estan inutilizados, otra solución es cambiarle el nombre al exe de regedit, así si puedo acceder a las entradas del registro, pero de nada me sirve si una vez allí no sé que debo hacer. Deciros que tengo una entrada svhost, de nombre "network services", no sé si debe estar alli o es sospechoso, lo eliminé haviendo activado la opcion desactivar restauracion de sistema y sin esta activada, de las dos formas, pero no desaparece, no se si peudo servir de ayuda esto que digo. Muchas gracias otra vez, pero ya veis que estoy igual, el kaspersky sigue sin funcionar, el spybot no está, hace lo que le da la gana con el explorer y incluso me ha hecho un poco el tonto con el word. Si se os ocurre algo más os agradeceré vuestra ayuda.

[cañera]

uyuyuyuyuy que negro me lo pones.

como me hablas de svchost un tanto raro(no se si por que lo copiastes mal o por que en realidad lo leistes asi) te dejo este link haber si se te soluciona;

https://foros.zonavirus.com/viewtopic.php?t=46

cuentanos como te fue.

[msc hotline sat]

Con el ELIRESTR.VBS se restaura el acceso a la edicion de registro si estuviera deshabilitado por claves en el mismo, por tanto lo que debe haber en este caso es un residente que es sensible al nombre, tanto del REGEDIT como del MSCONFIG, y ello es probable que sea un virus , o por otros que sobreescriben dichos ficheros, entre otros, como el MAAX:



http://www.vsantivirus.com/maax-b.htm



o el Gagle.B, qie los borra:



http://www.vsantivirus.com/gaggle-b.htm



Por todo ello sugiero que se lance un antivirus ONLINE y se vea si se detecta algun virus en el ordenador :



Para test ONLINE antivirus:



https://www.virustotal.com/es/



Además de ello sugerimos utilizar el ELIRPCA.EXE, indicado en mi post y luego por cañera entre las utilidades del link que te propone, para eliminar el posible SVCHOST gusano, además de detectar si faltan los parches de seguridad al respecto de Microsoft (MS04-012)



saludos



ms, 04-05-2004

[xaviersillu]

No es svchost, es svhost. No se si puede ser esto un virus, exactamente la entrada es esta: nombre= network services; y datos= C:\windows\svhost.exe -sr -0. Aún sin saber que era he intentado borrarl manualmente todas las entradas del registro con ese mismo nombre, pero aunque reinicie em modo desactivar restaurar sistema no se va. He visitado el enlace que me facilitas, Cañera, pero repito, NO puedo descargar nada, aunque sea un update de microsoft, nada, me da error cuando está a punto de finalizar la descarga. A msc hotline sat, te puedo decir q si bien este virus sobrescribe en msconfig i regedit no parace ser al maax-b, las entradas en el registro que se especifican en el enlace que me facilias no coinciden con las mias, además el maax-b parece no obstruir ni eliminar los antivirus, con el gaagle pasa algo parecido, no peudo escanear con mi antivirus en modo a prueba de fallos porque tampoco en este modo puedo ejecutarlo.

Recopilando, sé que: elimina programas (el spybot seguro), obstruye la ejecución de otros (el kaspersky en mi caso, y problemas con otros más), impide la descarga de programas, se carga el explorer (hasta el momento lo ha hecho siempre que he visitado paginas de descarga de software o enlaces directos a descarga), renombra regedit y msconfig y no sé si alguno más.

Como lo véis?

[cañera]

pon tu pc de esclavo a otro y desde ese le peguas un escaneado y desde ese le intentas pasar una de las utilidades ofrecidas ofrecidas en los anteriores post.

1. bajar las utilidades en otro pc y copiarlas al tuyo



2. desarmar la pc y sacarle el disco duro para ponerlo como esclavo a otro pc.

esto ha sido con ayuda de mi amiguita carol.

cuentanos los resultados.

[admin]

· Has probado a arrancar en modo seguro? (no se si ya lo has leido)

· Has probado a arrancar de un diskete, y pasarle un antivirus por linea de comando?

· Has probado a introducir en el inicio de windows, un archivo .bat con los comandos de llos antivirus?

[msc hotline sat]

Sí, es muy importante que nos hayas indicado que el gusanose llama SVHOST, y no SVCHOST



Con este nombre existen varios virus que lo utilizan, como el MUMU.c http://vil.nai.com/vil/content/v_100530.htm

, que no creo que tengas por sr atipico, del que solo conozco un caso..., o el mas probable, MyDoom.I , entre otros



http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.i@mm.html



Tambien algun Randex lo usa, y algunos Backdoors...



Conviene saber el virus que tienes, para lo que convendría lanzar un antivirus ONLINE y decirnos si te detecta algo:



Para test ONLINE antivirus:



https://www.virustotal.com/es/



y si no, envianos la muestra del SVHOST.EXE en cuestion a:

zonavirus@satinfo.es

anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta de este Tema, con el resultado del analisis y solucion específica.



saludos



ms, 05-05-2004

[xaviersillu]

pues si he probado a arrancar en modo seguro, pero ni así puedo ejecutar el kaspersky, se queda colgado. Sobre esto que me dices de si "Has probado a introducir en el inicio de windows, un archivo .bat con los comandos de llos antivirus?", te refieres desde el comando ejecutar? en el caso de ser así, cual seria el comando .bat del Kaspersky? si ejecuto este .bat desde ejecutar, entonces si podré iniciar el escaneando con el antivirus? En el registro sí tengo una entrada svhost, pero yo desconozco si se trata de un virus. Si puedo decir q tengo un virus seguro, es el hacdef.073 y lo tengo en el archivo hxdefdrv.sys de la carpeta windows, me lo ha detectado el nod32, mi antivirus residente, que a diferencia de otros escaneadores si lo puedo ejecutar. He buscado informacion sobre el virus este, no he encontrado nada en páginas web en español, sí en páginas en inglés. Dicen que basicamente se ocupa de cambiar la pagina de inicio del explorador y q necesito bajar un "hijack remove", pero cuando intento hacerlo desde los enlaces q me mandan automaticamente me desaparecen las ventanas de los enlaces que he abierto. Tampoco puedo bajar nada de tamaño mediano o grande, sí pequeñas aplicaciones (menos de 150 kb, mas o menos). De todos modos este virus como ya he dicho sólo se encargaria de cambiarme la pagina de incio, en ningun caso deberia eliminarme programas. Recientemente tambien he comprabado que se al ejecutar "msconfig" me responde que el programa ya no existe, es decir, a diferencia de antes que desaparecia al instante ahora ya NO existe. Gracias otra vez por mandarme el enlace del escaner on-line del etrust, pero como ya te he dicho no me encuentra nada, ni este ni muchos otros. El úncio on-line q me detectó algo fue el bitdefender, que encontró una tal aplicación whenu que ya me cargué. Hasta aqui todo lo q sé. Sobre esto los .bat del antivirus, si me lo aclarais os lo agradeceria. Muchas gracias.

[msc hotline sat]

Evidentemente no tendría que haber la carga del SVHOST en el registro. Ojo, no confundir con SVCHOST del sistema oiperativo.



Aunque esto sea virus, arrancando en modo seguro o a prueba de fallos no debería cargarse, y el antivirus de Kaspersky debería funcionar normalmente.



So además el antivirus ONLINE no te detecta virus, puede tratarse de algo raro.



Envianos el fichero como te he dicho y te contestaremos.



saludos



ms, 05-05-2004