no consigo eliminar 3 spywares (Terminado)

charro · Mensaje por **charro** » 08 May 2005, 21:56

hola, me da problemas el insternet explorer, y el pc a veces s eme cuelga ,he pasado el ad awere el spybot y mi antivirus ACTUALIZADOS Y EN MODO A PRUEBA DE FALLOS COMO SE DICE EN EL TUTURIAL Y NO ME DETECTAN NADA, SIN EMBARGO AL PASAR UN ANTIVIRUS ONLINE ME DICE Q TENGO :

Archivo Infección Estado Ruta

msmq2inst.exe Win32.Rbot.BXL cannot delete C:\WINDOWS\system32\

TFTP3512 Win32.Rbot.CFV cannot delete C:\WINDOWS\system32\

TFTP3880 Win32.Rbot.CFV cannot delete C:\WINDOWS\system32

y no consigo eliminarlos, a ver si em podeis ayudar :wink:

edit: he estado mirando por el foro y he encontrado [url]http://foros.zonavirus.com/viewtopic.php?t=6607&highlight=ftp3512+win32+rbot+cfv[/url] ese topic, y creo q lo mio va a ser lo mismo o parecido xq una de las cosas q no puedo elimar tb las tiene el y me hace cosas parecidas el ordenador

charro · Mensaje por **charro** » 08 May 2005, 21:59

a por cierto el msn tampoco me va....... y a veces cuando inicio el ordenador, lo conecto a internet y al entrar en el explorer o el firefox hace como si no estuviera conectado a internet :?

charro · Mensaje por **charro** » 08 May 2005, 22:10

jurr otra cosa mas....... cada vez q reinicio me hace eso de q no me va internet y tengo q reinstalar el modem pa q vaya :shock:

x cierto q antivirus y firewall me recomendariais? ahora tengo el nod32 y el outpoust pero parece q no van mu bienq digamos

Mensaje por **msc hotline sat** » 09 May 2005, 11:35

Posiblemente su antivirus no está actualizado y no conoce lo que le detecta el ONLINE.

Pruebe de arrancar en modo seguro con funciones de red, y desde el ONLINE podrá eliminarlos

Por si tuviera XP y tambien estuviera en el RESTORE, donde no llegaría normalmente, deshabilite la Restauracion de sistema para ello.

Hay mas de mil RBOT o SDBOT y aumentando cada día. Este fin de semana hemos reicibido 16 nuebas variantes distintas para analizar y conmtrolar...

SI persistiera el problema, diganoslo t le indicaríamos como enviarnos muestras para su inclusion en el ELITRIIP.EXE

saludos

ms, 9-05-2005

charro · Mensaje por **charro** » 09 May 2005, 11:44

el antivirus si esta actualizado, se actualiza todos los dias

y lo de pasar el antivirus online en modo seguro, no me deja entrar en internet en el mode seguro con opciones de red :cry:

Mensaje por **msc hotline sat** » 09 May 2005, 11:59

Pues envianos muestras de los ficheros que te detecta el ONLINE a zonavirus@satinfo.es , anexadas a un mail cuyo texto sea un copiar y pegar de este post

Ref Archivo Infección Estado Ruta

msmq2inst.exe Win32.Rbot.BXL cannot delete C:\WINDOWS\system32\

TFTP3512 Win32.Rbot.CFV cannot delete C:\WINDOWS\system32\

TFTP3880 Win32.Rbot.CFV cannot delete C:\WINDOWS\system32

al recibir estos tres ficheros los analizaremos e incluiremos en el ELITRIIP para que controle esta variante, incluyendo eliminacion de ficheros y restauracion de claves de registro.

E indicaremos el resultadi como respuesta de este Tema

saludos

ms, 9-05-2005

charro · Mensaje por **charro** » 09 May 2005, 12:19

ya he enviado el mail con las muestras de esos 3, no se si lo habre hecho bien si esta mal dime como lo envio :wink:

Mensaje por **msc hotline sat** » 09 May 2005, 12:44

Recibidas las muestras, McAfee las identifica como SDBOT.worm.gen de los que hay mas de 1000 variantes...

Procedemos a monitorizarlo y pasarlo a programacion y desarrollo para que sea incluido en la nueva version del ELITRIIP que subiremos hoy a esta web.

Será la 1.26 y comunicaremos cuando esté disponible

saludos

ms, 9-05-2005

charro · Mensaje por **charro** » 09 May 2005, 13:40

muchas gracias por ayudarme, aki vengo con mas cosas..... he conseguido pasar el active scan, antes no me dejaba guardar el informe, pero normal xq en modo seguro no me deja conectarme a internet y em detecta esto......

Incidencia Estado Elemento

Posible Virus. No desinfectado C:\WINDOWS\System32\compq.exe

Virus:W32/Sdbot.DEV.worm Desinfectado Sistema Operativo

Adware:Adware/WUpd No desinfectado Registro de Windows

Posible Virus. No desinfectado C:\WINDOWS\system32\compq.exe

Adware:Adware/WUpd No desinfectado C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\ST1YFPQ1\me[1].jpg

las otras cosas las detecta otro scan online

Mensaje por **maura63** » 09 May 2005, 14:55

Elimina temporales de internet y pasa este otro programa

Eliminacion de adwares y spywares

Spybot S&D

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Parche dso/exploit

http://www.majorgeeks.com/downloadget.php?id=4392&file=11&evp=17a4645dc80f11461d8549719a9350e0

La descarga del parche es automatica.

Descarga instalas y actualiza, luego pasalo en modo seguro y limpia.

Saludos

maura63

charro · Mensaje por **charro** » 09 May 2005, 15:01

maura, ya los he pasado el spybot actualizado y todo y me dice q esta limpio.... inmunizo y todo eso, en modo seguro y con la restauracion kitada como dice el manual

y tb he pasado el ad aware, pero como ya he dicho ahi siguen y sigo con problemas :cry:

Mensaje por **msc hotline sat** » 09 May 2005, 15:38

Hay problemas en la descompresion del RAR que nos ha enviado.

A pesar de que el antivirus ta salta con el RAR, la descompresion da problemas, y los ficheros están corruptos.

Necesitamos repita el envio, e incluya una muestra del adware que indica no puede eliminar con los antispyware.

Y para eliminacion de temporales de internet, lance el ELITEMPO:

ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp

esperamos las nuevas muestras !!!

saludos

ms, 9-05-2005

charro · Mensaje por **charro** » 09 May 2005, 16:19

ya lo he vueto a enviar..... a ver si estan bien, esq no me deja abrir para insertar un archivo al mail, espero q se ha enviado bien

Mensaje por **msc hotline sat** » 09 May 2005, 16:36

Recibidas y desempaquetadas.

Los ficheros TFT... resultan detectarse como SDBOT.generic.AG, siendo MZ-PE, posiblemente librerias como los DLL pero sin extension.

Ponemos en proceso el EXE y subiremos la utilidad en cuanto lo tengamos controlado.

ME indican que el ejecutable tampoco es operativo. Está dañado, pero vamos a ver si podemos igualmente hacer la utilidad identificando al bicho por el string, deteniendo proceso, eliminando ficheros y restaurando claves.

Medio teorico y medio practico, por la inoperatividad del ejecutable.

Esperemos que igualmente sea efectivo.

saludos

ms, 9.05.2005

Mensaje por **msc hotline sat** » 09 May 2005, 18:24

Subida a esta web el nuevo ELITRIIP 1.26:

http://www.zonavirus.com/descargas/elitriip.asp

pruebalo y dinos si tras su ejecucion y posterior reinicio ya puedes borrar los TFTPxxxx de numero aleatorio y que no hemos podido comprobar su creacion por no funcionar el EXE:

Comentanos el rsultado, gracias

saludos

ms, 9-05-2005

charro · Mensaje por **charro** » 10 May 2005, 11:52

hola, pues siento no poder deciros si sirvio o no....... xq por la tarde cogio mi hermano el ordenador y como yo no estaba no sabia q le pasaba y formateo el tio :shock:

de todas formas muchisimas gracias por vuestra ayuda sois la mejor web :)

Mensaje por **maura63** » 10 May 2005, 11:55

Pues no olvides actualizar via windows update, tener instalados y residentes antivirus , antispyware y colocar firewall.

Formateado el PC se acabo el problema y cerramos el tema.

Saludos

maura63