SOS¡¡¡¡, virus sin solución, SOS¡¡¡¡

[JAVIER PORTUGAL]

Hola amigos del foro, espero que me podais ayudar porque estoy desesperado, ya no se que hacer con el PC.

Creo que tengo un virus, cogido el Jueves o Viernes de la Semana Santa, pero a pesar de los intentos que he realizado no he podido solucionarlo.



Los SINTOMAS que noto son los siguientes:



1. Al arrancar me tarda más de lo normal y me hace unos ruidos extrañísimos que antes no hacía.



2. La conexión a Internet funciona bien al principio, pero al cabo de 10 o 15 minutos de estar conectado, el navegador se corrompe. Es decir, empiezan a ocurrir cosas extrañas tales como que algunos iconos del navegador, como los de Atrás y Adelante, desaparecen y en su lugar aparece el número 6 en negrita y a veces nada. Este número también aparece en la flechita de la barra de direcciones, así como en los extremos de la barra de desplazamiento vertical.

Igualmente, el texto de la página visitada aparece en negrita y en tamaño más grande, y finalmente dejan de responder tanto los iconos del navegador como los enlaces de la página, con lo que no me queda más remedio que cortar la conexión y reiniciar.



3. Pero, mira tú por donde, cuando pico el botón Inicio, resulta que tampoco responde, con lo que tengo que hacer ctrl+alt+supr 2 veces para reiniciarlo.



INTENTOS DE SOLUCION realizados:



1. He pasado un antivirus online , el a-squared , que me detectó los siguientes virus:



a² Report

Nombre y Diagnóstico:

c:\WINDOWS\Downloaded Program Files\v3.dll DIAGNOSTICO:TrojanDownloader.Win32.Small.xo

c:\WINDOWS\TemporaryInternetFiles\Content.IE5\89ABCDEF\2_mslagent [1] DIAGNOSTICO:TrojanDownloader.Win32.Wintrim.bu

c:\WINDOWS\winlogon.exe DIAGNOSTICO:Trojan.Win32.XMedia.g

c:\mdmhelpv.exe DIAGNOSTICO:Adware.SearchTown



Una vez eliminados , con la opción que da el antivirus, creí que el problema se habría solucionado;

a continuación probé con el mismo antivirus de nuevo y no me detectó nada, por lo que creo que al menos estos virus deberían estar eliminados, pero los síntomas permanecen, así que ya no sé que pensar.



2. Probé con otro antivirus, el ravantivirus, que no me detectó ninguno, pero tampoco se solucionan los problemas.



3. Arranqué en modo a prueba de fallos, y le pasé nuevamente un antivirus (el a-squared), tal como leí en vuestro tutorial sobre virus, a continuación reinicio y.... nuevamente los mismos problemas tanto de arranque, como de navegación y de cierre.



4. He pasado un escaneador de puertos, no recuerdo cual, y me indica que cuando estoy conectado a Internet el puerto NetBIOS 139 permanece abierto y que esto es peligroso, pero tampoco me indica como solucionarlo, así que lo he dejado tal como estaba.





Ya no sé que hacer, ¿creeis que es un virus o pudiera ser otro el problema?

¿qué vías de solución me aconsejáis?



Os agradeceré muchísimo una solución, pues justo se me estropea cuando más lo necesitaba.



Disculpad por la extensión del mensaje, salu2 y gracias.

[maura63]

Prueba de bajar esta utilidad, seguramente ahora no puedas hacerlo pues se esta cambiando a la versión 3 de zonavirus

http://www.zonavirus.com/descargas/elitriip.asp

Despues descarga este firewall e instala, en el segundo enlace viene la configuración en castellano
aqunque practicamente esta configurado

ZONE ALARM 5.5.062.011 EN INGLES

http://download.zonelabs.com/bin/update ... 23_US.html

http://www.vsantivirus.com/za.htm

luego conecta via windous update y comprueba que no te falten actualizaciones.



Saludos
maura63

[JAVIER PORTUGAL]

Hola Maura 63, ante todo gracias por tu pronta respuesta. pero como dice la canción ...."la VIDA SIGUE IGUAL"....



He dado los pasos que me dijiste:



1. He descargado el Elitrip, pero al hacer doble clic sobre él no me sale nada, no sé si con tenerlo descargado ya es suficiente o bien hay que hacer algo más, si es así me lo comentas.

2. También he descargado, ejecutado y configurado el Zonealarm, el cual me ha bloqueado bastantes intentos de acceso, básicamente iban dirigidos al Puerto TCP 135 y al TCP 445.

3. Las actualizaciones del SO y del IE 6.O las realicé la semana pasada.



También he descargado el parche para el spybot 1.3 y he pasado un nuevo antitroyanos online, el de http://www.windowsecurity.com/trojanscan/ , el cual no ha detectado nada.



Pero como te digo, los mismos problemas que comentaba en el mensaje anterior.



(Además, aL abrir el navegador me sale el mensaje "memoria insuficiente para ejecutar este programa, cierre otros...", y eso estando ya todo cerrado).





¿Tiene esto solución?, ¡¡¡¡¡¡¡¡¡¡ AYUDA por favor ¡¡¡¡¡¡, ya no sé que hacer.



Salu2 y GRACIAS.

[cañera]

Una pregunta,¿al hacer lo de la entrada en modo seguro desactivastes el restaurar sistema?

Si no fue asi lo tendrias que hacer por que si no te vuelven a entrar.

inicio/panel de control/sistema/desactivar restaurar sistema,lo desactivas y aceptas.

Si tuvieras adsl pasa un antivirus online en modo seguro con función de red.

Cuentanos como te fue.

[JAVIER PORTUGAL]

Hola y gracias por tu respuesta.



Al entrar en modo seguro no desactivé restaurar el sistema porque no utilizo el XP, utilizo el '98 y según leí en el tutorial en este caso no es necesario. Así es que simplemente entré en modo a prueba de fallos y le pasé el antivirus a-squared online, que no me detectó nada.



Pero los problemas que mencionaba en mi primer mensaje continúan (a pesar de haber eliminado los virus que me detectó el a-squared en el primer escaneo), y continúan agravados si cabe, pues ahora me aparecen de vez en cuando los problemas de memoria insuficienten estando sólo abierto el navegador, lo que me impide instalar un antivirus permanente porque no tendría recursos para poder funcionar.



¡¡¡¡¡¡¡¡¡ AYUDA, POR FAVOR ¡¡¡¡¡¡¡¡¡¡



¿cuáles son los pasos que debo emprender ahora?



Porque, vamos, no es posible que por un maldito virus, por muy gordo que sea, esto no tenga solución. Alguna habrá, o al menos eso espero.



Os agradecería un consejo porque estoy desesperado, llevo así desde Semana Santa y por más cosas que pruebo todo sigue igual.



UN SALUDO A TOD@S Y GRACIAS.

[maura63]

Nueva versión del Hijack This : 1.99.1

Bajar :

http://www.merijn.org/files/hijackthis.zip







Descarga y descomprimes creando su propia carpeta, con todos los programas cerrados incluso el internet explorer, lo ejecutas, pulsa scan y luego en save, se abrira un fichero log txt con el resultado, haz un copiar y pegas el resultado como respuesta a este tema.





Saludos

maura63

[flacoroo]

oki...no se te olvide eliminar entrando en modo MS-Dos los archivos temporales....bajate este archivito que se llama BUSCAREG de ahi pones el nombre de los virus que te salen para que los borres manualmente....y en modo seguro pon el el spybot en modo avanzado y ve a la pestaña que dice herramientas y en donde dice la pestaña INICIO DE SISTEMA deshabilita lo que creas que no es parte del windows, antivirus o lo mas usual....y tambien en informacion de deisntalacion ahi eliminas todo lo que creas, que no instalstes tu, ya sean programas o archivos o cadenas solas, y donde dice partes internas del sistema lo corres para que buscas inconsistencias y las borras. no se te olvide tenerlo actualizado antes de realizar lo que te mencione.....nos dices como te fue.....

[JAVIER PORTUGAL]

Hola de nuevo, y gracias por la ayuda.

He descargado el hijackthis y al hacer doble clic sobre él me sale el reproductor de windows media, cosa que supongo que no es normal que aparezca, y además con el siguiente mensaje:

No se puede reproducir el archivo. El formato no es compatible.



Es decir que no he podido pasar de aquí.



¿Me lo puedo descargar de algún otro sitio a ver si hay más suerte, o bien es normal que salte el reproductor y se puede descomprimir desde allí?



Saludos y gracias.

[maura63]

Vuelve a descargar hijackthis pero hazlo creando su propia carpeta. Y no es normal que te salte el reproductor, no tiene nada que ver.





Saludos

maura63

[JAVIER PORTUGAL]

Hola de nuevo Maura63:

Cuando dices crear una nueva carpeta, te refieres a que cree una carpeta específica para él y al descargarlo cuando me pregunte guardar en ..., le indique como destino esa carpeta específica, en lugar de meterlo directamente en la carpeta Archivos de programa

Saludos y gracias.

[cañera]

Si Javier,eso mismito.

[JAVIER PORTUGAL]

He creado una nueva carpeta dentro de la carpeta "ARCHIVOS DE PROGRAMA" y he descargado de nuevo el hijackthis desde vuestro enlace y lo he alojado allí.

Pero al hacer doble clic sobre él me vuelve a salir el reproductor multimedia, así que si no hay otro sitio desde donde poder descargarlo me temo que por aquí no solucionaré nada, y mira que voy probando cosas.



El ELITRIP lo descargué y lo guardé en la carpeta de ARCHIVOS DE PROGRAMA, pero al clicar sobre él no sale nada, así que supongo que no se habrá ejecutado, pero de momento ahí esta.



Y aquí estoy, desesperado ya, luchando hace más de dos semanas contrea unos virus, que no sé cuáles son ni dónde están (ningún escaneador o antivirus me los detecta), pero que me "corrompen" la navegación y el sistema a los 15 minutos de su inicio, obligándome a hacer ctrl+alt+supr una y otra vez, para empezar de nuevo y buscar soluciones al problema.



¿QUE PUEDO HACER? ESTOY SUPERATRIBULADO.

[maura63]

Comprueba si arrancando en modo seguro puedes ejecturar hijackthis, aunque si a si puedas el log no servira de nada, pero por lo menos sabremos si lo puedes ejecutar para tener alguna idea de por donde actuar.



Saludos

maura63

[JAVIER PORTUGAL]

Como no he podido activar el hijakthis, ni siquiera en modo a prueba de fallos, me he descargado el SPYWARE Doctor 3.2 , y al realizar el escaneo me ha detectado una serie de infecciones (27)agrupadas en las siguientes 5 categorías. A continuación te muestro el resultado completo de dicho análisis, con el nombre de la infección, su ubicación y el nivel de riesgo.



Resultados del análisis:

An?sis realizado: 12/04/2005 18:38:12

An?sis detenido: 12/04/2005 18:42:14

Objetos analizados: 27345

Objetos encontrados: 27

Encontrados y excluidos: 0

Herramientas utilizadas: Escaneo General, Escaneo de Proceso, Hosts scanner, LSP Scanner, Escaneo del Registro, Escaneo de Cookie, Browser Defaults, Favorites and ZoneMap Scanner, Escaneo del Explorador, Escaneo de Unidad





Nombre de la infección> Ubicación> Riesgo



A)

Elitum EliteBar (Search Miracle) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/v3.dll Elevado

Elitum EliteBar (Search Miracle) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/v3.dll##.Owner Elevado

Elitum EliteBar (Search Miracle) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/v3.dll##v3cab Elevado

Elitum EliteBar (Search Miracle) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs##C:\WINDOWS\Downloaded Program Files\v3.dll



B)

Instant Access HKCR\Interface\{F8ACA5A0-060A-478A-8368-1407780D2251} Alto

Instant Access HKCR\Interface\{F8ACA5A0-060A-478A-8368-1407780D2251}\ProxyStubClsid Alto

Instant Access HKCR\Interface\{F8ACA5A0-060A-478A-8368-1407780D2251}\ProxyStubClsid32 Alto

Instant Access HKCR\Interface\{F8ACA5A0-060A-478A-8368-1407780D2251}\TypeLib Alto

Instant Access HKCR\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B} Alto

Instant Access HKCR\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B}\1.0 Alto

Instant Access HKCR\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B}\1.0\FLAGS Alto

Instant Access HKCR\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B}\1.0\0 Alto

Instant Access HKCR\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B}\1.0\0\win32 Alto

Instant Access HKCR\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B}\1.0\HELPDIR Alto

Instant Access HKCU\Software\livesvc Alto

Instant Access C:\WINDOWS\SYSTEM\mseggrpid.dll Alto



C)

CWS (0) 69.61.38.52 ie.search.msn.com Alto

CWS (9) 69.50.136.245 pussy.org http://www.pussy.org freesmutseries.net http://www.freesmutseries.net porno-pics-free.com http://www.porno-pics-free.com catlist.com http://www.smashingthumbs.com call-kelly.com http://www.boneme.com boneme.com http://www.series-xxx.com series-xxx.com Alto

CWS (10) 69.50.136.245 teeniefiles.com http://www.teeniefiles.com jpeg4free.com http://www.jpeg4free.com http://www.catlist.com http://www.ratemycameltoe.com sleazydream.com http://www.sleazydream.com http://www.justacthard.com justacthard.com Alto

CWS (5) 69.50.136.245 http://www.worldsex.com worldsex.com http://www.al4a.com al4a.com http://www.89.com 89.com http://www.thumberland.com thumberland.com http://www.freeheaven.com freeheaven.com http://www.spyass.com spyass.com http://www.ampland.com ampland.com secretarygalleries.com Alto

CWS (7) 69.50.136.245 dianapost.com http://www.dianapost.com http://www.zadina.com zadina.com http://www.frogsex.com frogsex.com teenagesecrets.biz http://www.teenagesecrets.biz ratemycameltoe.com http://www.mature-post.com mature-post.com http://www.call-kelly.com Alto

CWS HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main | Search Bar Alto



D)

Tracking Cookie(s) 1@tradedoubler[3].txt Medio



E)

Adbars HKCR\CLSID\{4B6015E7-3ABB-45DC-96b7-55A843751F28} Medio

Adbars HKCR\CLSID\{4B6015E7-3ABB-45DC-96b7-55A843751F28}\InfFile Medio

Adbars HKLM\Software\Classes\CLSID\{4B6015E7-3ABB-45DC-96b7-55A843751F28} Medio

Adbars HKLM\Software\Classes\CLSID\{4B6015E7-3ABB-45DC-96b7-55A843751F28}\InfFile Medio



Lo malo es que la versión free sólo los detecta pero no te permite su eliminación. Así que la cuestión que te planteo es: conoces algún antivirus gratuito que sea fiable, es decir que los detecte, y que además te de la opción de poder eliminarlos. Porque el a-squared y el bitdefender, es que ni siquiera me los detectaban, vamos que los he pasado un montón de veces y todas me decían que estaba "limpio".



Saludos y gracias por tu ayuda, a ver si ahora que disponemos de esta información podemos salir definitivamente de semejante embrollo.

[maura63]

Comprueba en agregar y quitar programas si tienes algo no instalado por ti y desconocido.



Saludos

maura63

[JAVIER PORTUGAL]

Pues no, todo lo que allí aparece ha sido instalado voluntariamente y además no parecen programas sospechosos, están el Explorer, Acrobat, reproductor multimedia y todos los antivirus my utilidades que me he tenido que descargar para mirar de combatir esta maldita infección que se resiste.



¿Crees que esto tiene solución?



Saludos y gracias.

[maura63]

Prueba esta utilidad



http://www.zonavirus.com/descargas/elistara.asp



Cuando actualizaste tu sistema operativo por ultima vez via windows update :?:



Saludos

maura63

[msc hotline sat]

Y si con ello no lo solucionas, arranca en modo seguro y lanza el HJT, que no te funcionama normalmente, pero es posible que en modo seguro sí, y aunque no veamos todas las tareas que normalmente estarían en uso, veremos las claves de registro que se cargan en el Inicio y al varhar el I.E., y nos puede orientar em tu pronlema.



AParte, comprueba que el ventilador de la CPU funcione, no sea que a los 15 minutos de funcionamiento esté sobrecalentada y no procesara correctamente.



Del resultado de ELOSTARA, del HJT en modo seguro y del ventilador de la CPU nos informas en tu proximo post, como respuesta de este Tema, gracias



saludos



ms, 15-04-2005

[flacoroo]

En MP que me enviastes pidiendome cual antivirus te recomendaria...la mayoria de aqui usamos el McAffe...en las win 98 como la tuya uso el VirusScan, actualizado, si no lo tienes consiguelo, lo actualizas, lo configuras, de modo que te escanee todo...lo corres en modo a pruebas de fallos

[JAVIER PORTUGAL]

Hola de nuevo. Lamentablemente todo sigue igual, y cualquier intento de solución que realizo no arregla nada y si cabe aún empeora más las cosas.



1. El elistarA lo he descargado en una carpeta dentro de ARCHIVOS DE PROGRAMA,pero al hacer doble clic no sale nada, así es que me supongo que es como si no estuviera o bien ¿sólo hay que descargarlo y ya actúa por sí solo?

2. El hjt me hace saltar el reprod multimedia tanto en normal como a prueba de fallos.

3. Lo del ventilador no lo he mirado porque no he notado ningún ruido extraño, lo que si hace ruidos extrañísimos es el disco duro, tanto al iniciar como al apagar el equipo. No obstante si me decís la forma de examinar lo del ventilador sin necesidad de abrir la torre lo examinaré.

Las actualizaciones me descargué los parches de Explorer y las críticas. Luego hay otras referidas a idiomas, el efecto 2000m y similares que creo que no son necesarias.

4. Con la información de las 27 infecciones encontradas que os mostré en el post, ¿conocéis algún antivirus que sea capaz de detectarlas y además tenga la opción de combatirlas o eliminarlas?

En caso contrario, y dado que sabemos su ubicación, es posible "cortar por lo sano", es decir, coger uno por uno los archivos infectados y eliminarlos manualmente.



Saludos de nuevo y gracias.

[maura63]

Pues lamentablemente Javier, creo que la cosa esta cruda.



Si no puedes pasar antivirus, hijackthis se abre con el reproductor, el ELISTARA no abre.. que debe abrir etc... yo me pensaria en cambiar de sistema operativo a XP o W2000.



El w98 al igual que ME estan obsoletos y no son reportados ya por Microsoft, descargaras algunos parches, pero otros mas recientes ya no.



Y aunque no fuese el caso, no tenemos el PC delante, lo hacemos de una forma virtual, y cada PC es un mundo completamente distinto a otro PC.



Saludos

maura63

[JAVIER PORTUGAL]

Hombre, que la cosa está cruda ya lo sabía hace tiempo, en caso contrario no habría acudido a ayuda externa y me lo habría intentado arreglar sin molestar a nadie.

Respecto a la pregunta 4 del mensaje anterior ¿tienes alguna respuesta en concreto para las dos cuestiones que allí planteo?

----------------------

P.D.: lo de cambiar el sistema operativo, la verdad es que suena a risa, equivale a decir que por tener un virus debo tirar el PC.

Porque es evidente que un PC con la configuración del '98 (Pentiun II, memoria justa, disco duro pequeño....), no soportaría ni de lejos el XP, y el 2000 supongo que tampoco y además no creo que se venda a estas alturas, por lo menos en las tiendas no se ve.

[maura63]

Respondiendo a la 4.



Un antivirus actualizado al dia con las ultimas definiciones si podria, asi como para otros casos los antispyware tambien actualizados.



Y simplemente recordarte que W98 y ME ya no reciben actualizaciones de microsoft, y si el sistema operativo en concreto es vulnerable......... a microsoft le da igual.



Y las FALLAS en windows estan a la orden del dia por ser el sistema mayormente usado.



Cada cual sabe de su bolsillo y yo dispondo de adsl desde hace 3 dias por asi decirlo. Pero no podemos pedir peras al olmo



Mi opinion particular y respetando todos los criterios.



Saludos Javier_Almeria

maura63

[JAVIER PORTUGAL]

Pues mira, y respetando todas las opiniones, no sé a qué te refieres con lo de cuestión de bolsillos, pero no es esa la cuestión , es más bien una cuestión de sentido común.

Porque todos sabemos que microsoft es el SO universal y que tiene múltiples errores, hasta ahí llego, pero es que según tu teoría, más de la mitad del parque de ordenadores de este país (y la inmensa mayoría de los domésticos) deberían ir por la ventana porque tienen problemas y el proveedor oficial, es decir microsoft, no da soporte.

Además creo que estás equivocado porque la semana pasada me descargué de la página de microsoft los parches de IE 6.0 y las actualizaciones críticas para el '98 sin ningún problema.

[maura63]

Si.. te descargaras las que ya hay en el mercado, es decir puestas en su web pero solo eso NO MAS.



Cada dia aparecen nuevas amenazas a las cuales san microsoft pone parches, pero lo malo es que para esos sistemas operativos NO,



Y no es que tengan problemas la mayoria del parque informatico, sino que dado que esas vulnerabilidades no son reparadas por microsoft no puedes limpiar del todo el PC y aunque formatearas el equipo, actualizaras y pusieras los parches que existen, no es suficiente.... sencilla y llanamente porque su creador pasa de ellos.



Sobre bolsillos, simplemente decir que hay quien puede costearse cambiar algo o no, y es una cuestion que respeto.



Y no sera por mi parte intentar ayudar, creo que lo hago, sin animo de lucro y encima poniendo mi tiempo :wink:





Saludos

maura63