virus HacDef.073.b en archivo hxdefdrv.sys de windows

[xaviersillu]

tengo este virus segun el kaspersky. Segun el Dr.Web se llama HacDef.84. los otros antivirus q he pasado no me lo detectan. En principio tanto uno como el otro eliminan el archivo, pero al reiniciar el pc vuelve a aparecer. Aunque lo elimine en modo a prueba de fallos, incluso reiniciando con la opcion "desactivar restaurar sistema" activada, siempre reaparece. Tenia el pc realmente jodido, parece que con varios bichos que me han eliminado el spybot y me impedian ejecutar antivirus y descargar segun que programas, ahora parece que lo he dejado bastante limpio, pero no encuentro la manera de eliminar este virus o el archivo entero.

[xaviersillu]

quisiera añadir q principalmente el pc falla de vez en cuando, se empiezan a abrir ventanas de carpetas, a ejecutar programas etc todo al mismo tiempo, colapsandolo todo. El spybot aunque lo reinstale no aparece por ningun sitio. Le he pasado todo tipus de antivirus, antispywares y antitroyanos genericos y el único bicho detectado es el hacdef este. gracias.

[cañera]

mira si puedes eliminarlo con este link;

http://www.vsantivirus.com/back-hacdef-084.htm

cuentanos como te fue para tenerlo en cuenta para proximas consultas.

[xaviersillu]

gracias, ya visité ese link con anterioridad y seguí los pasos indicados, que no son otros que los que ya he expuesto en el primer mensaje. El virus no es eliminado por completo, al reiniciar el pc vuelve a aparecer.

[msc hotline sat]

Hemos recibido muestra de este fichero gracias al envio de otro forero.



Enviado a McAfee, es controlado ya desde los DAILYDATS a partir de ahora, lo cual puede controlar y eliminar si es usuario del dicho antivirus, ejecutando el SDATDAILY y tras ello, lanzando su antivirus arrancvando en modo seguro.



Por otro lado, vamos a hacer una utilidad de eliminacion, pero no es suficiente con el fichero SYS. Si todavía los tiene en su ordenador, envienos los ficheros HXDEF100.EXE y HXDEF100.INI, los cuales puede enciarnos anexados a un mail dirigido a zonavirus@satinfo.es cuyo texto sea un copiar y pegar de este post.



saludos



ms, 14-05-2004

[xaviersillu]

A ver si lo he entendido bien, necesito tener al macafee instalado para eliminarlo? por otro lado, los archivos que me pides no existen en mi pc, así que sigo igual.

[cañera]

xaviersillu,exactamente eso no te ha dicho...,que si tuvieras el mcafee si lo eliminarias....pero como no es tu caso.pues que le envies esos dos archivos para hacer una utilidad que te ayude a eliminar ese bicho.

suerte.

[xaviersillu]

ok, me ha quedado claro, pero no tengo los archivos mencionados. Ya puestos con el mcafee decidí pasarle el antivirus online de la misma casa y me encontró hasta 26 virus en la carpeta de windows! todos se llaman startpage-ax, aunque yo no tenga ningun problema con la pagina de inicio de mi explorer. Los he ido eliminando manualmente uno por uno, son archivos con nombre raros como "zxizaa.l1z", "yqroxa.9at" o "wzdqfb.y38", tambien me ha detectado un virus en el citado "hxdefdrv.sys" pero esta vez no se trata del virus hacdef sino de un tal "He4Hook.sys" (igual es un alias). No se si es la manera correcta de hacerlo, pero los voy eliminado manualmente y uno por uno con la orden buscar del explorer.

[cañera]

xaviersillu por casualidad tienes coneccion por cable?

si fuera asi pasale ese antivirus en a modo prueba de errores con función de red desactivando restaurar sistema.

de esa manera eliminaras todos los bichos que tengas.

cuentanos como te fue.

[xaviersillu]

tengo tarifa plana modem 56. Aún y habiendo eliminado los bichos estos el pc me sigue haciendo el tonto, cuando le da la gana se abren ventanas i programas hasta no parar, y me modifican opciones de otros sobre los que estoy trabajando, pero los antivirus ya no me detectan nada

[cañera]

elimina archivos temporales y cookies;

buscador de internet/herramientas/opciones de internet/general /archivostemporales de internet y los eliminas.

pasate antiespias como ad-ware y spybot;

Como antispyware: Bajar, instalar, actualizar y lanzar el Spybot o el AD_AWARE:



SPYBOT:_



http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button



AD_AWARE:



http://descargas.terra.es/informacion_extendida.phtml?n_id=12381&plat=1



y una vez limpios de spywares, como protección residente, SPYBOT recomienda SPYWAREBLASTER:



Descarga de la última versión (SpywareBlaster v3.0, 13/abril/04)



http://www.javacoolsoftware.com/sbdownload.html



Download SpywareBlaster 3.1 from http://www.ct7support.com

estos si te los pasas en a modo prueba de errores desactivando restaurar sistema.

no todo tiene por que ser virus......

PD.

si usas correo de terra el spywareblaster te lo bloqueará,avisanos y te ayudaremos a desbloquearlo.

cuentanos como te fue.

[xaviersillu]

Bueno, a ver Cañera, los archivos temporales y las cookies las voy eliminando permanentemente, siempre lo he hecho. El spybot que me recomiendas pasar como YA te he dicho no puedo instalarlo o bien aparece oculto con lo cual no puedo ejecutarlo. El ad-ware encuentra alguna cookie muy de vez en cuando (si yo no las he borrado todas previamente). Me recomienas el Spyblaster? muy bien, lo pondré, pero parece más un parche de seguridad que no una solución al problema concreto que estamos tratando, eso me parece.

Yo sigo con lo mio, el tal hxdefdrv.sys a veces parece contener virus y otras no, la cuestion es q por mucho q lo elimine vuelve a aparecer al reiniciar (como ya he dicho el modo a prueba de fallos ya está hecho, al igual que el desactivar restaurar sistema). Ahora, aunque elimine el archivo, en esa misma sesión, el problema no desaparece. A mi me suena que los síntomas estos ya los viví hace muchos años con el otro pc, se abren ventanas varias, se ejecutan programas, se abren carpetas, etc hasta no parar, pero la cosa se para al instante si dejas de teclear o de mover el ratón durante unos instantes, luego vuelve todo a la normalidad. Algunas veces me canvia tambien temporalmente las opciones de los botones del ratón, si le doy al de la izquierda, por ejemplo, se me abre la ventanita de configuracíon correspondiente al botón de la derecha, y tonterias varias del estilo. Alguna vez el pc se ha llegado a colgar tuviendo que reiniciar. Creo que esto es todo.

[msc hotline sat]

Cuando hayas eliminado los spywares y demás, si todavía te queda el HACDEF, piensa que es un bicho con tecnicas de ocultamiento que no facilita el envio de muestras:



__________________________________________



Win32.HacDef

Detection Published: January 22, 2004

Description Modified: January 22, 2004



















Category: Win32

Also known as: INI.HacDef, Win32.HacDef.073, Backdoor.HacDef.073.a (Kaspersky), Win32.Hacdef.084, Win32.HacDef.084, Backdoor.Hacdef.084 (Kapsersky), BKDR_HACDEF.73.A (Trend), Backdoor/Hackdef.084.Server, Backdoor/Hackdef.A.Server, Backdoor.HackDefender (Symantec), HackerDefender (McAfee), W32/HD.Rootkit.73 (F-Secure)











eTrust Antivirus 6x/v7* (InoculateIT Engine) 23.63.68 View Removal Instructions

eTrust EZ Antivirus 6.1x 6.x/5160 View Removal Instructions

eTrust InoculateIT 6.0

eTrust Antivirus 6.0 23.63.68 View Removal Instructions

Inoculan/InoculateIT 4.x 45.68 View Removal Instructions

Vet 11.2x 11.2x/8101 View Removal Instructions

Vet Anti-Virus 10.5x 10.5x/5160 View Removal Instructions

Vet Anti-Virus 10.6x 10.6x/8101 View Removal Instructions



* Includes updates for InoculateIT and eTrust InoculateIT 6.0.





















Win32.HacDef is a "rootkit", sometimes called "hacker defender" or "hxdef". It acts as a backdoor that allows an intruder to control an infected system remotely, as well as hide the presence of itself and other malicious files and processes.



HacDef only functions on Windows NT, 2000 and XP systems. Its functionality varies depending upon how it is configured.



Method of Installation

When the HacDef executable is run, it looks for a file in the current directory with the extension .INI, but otherwise the same name. For example, if the executable is called "hxdef100.exe", it will try to open "hxdef100.ini". HacDef may be run with a parameter to specify a different INI file.



The INI file contains configuration information for the trojan. These include directives for how it is installed, and its payload.



HacDef installs both a service and a device driver. The service is the trojan executable itself. This executable can drop the driver file to disk. The service name and description, as well as the driver name, are set in the INI file. The following are the entries used in the example INI file provided with the trojan:



ServiceName=HackerDefender100

ServiceDisplayName=HXD Service 100

ServiceDescription=powerful NT rootkit

DriverName=HackerDefenderDrv100

DriverFileName=hxdefdrv.sys



Method of Distribution

HacDef does not distribute itself. It must be installed manually through some other method of system compromise.



Payload

Backdoor Functionality

HacDef has two main payloads. First, it provides a backdoor shell using the Windows command interpreter (cmd.exe). It copies cmd.exe to the temporary directory, using a file name specified in the INI file (e.g. "hxdefß$.exe"). This backdoor does not open a new port to listen on. Instead, HacDef monitors network traffic coming into other servers on the system, and intercepts anything meant for itself. In this way, an intruder is able to connect to the backdoor through any open TCP port on the infected system, e.g. port 80 if a web server is running, or port 25 if a mail server is running. The backdoor requires a password, which is specified in the INI file.



The backdoor can also be used to redirect ports on the local machine to other ports on other machines.



Provides Stealth

The second payload involves the trojan hiding itself and other programs from the user. HacDef hooks many system functions in order to intercept and "stealth" different aspects of the system. It is able to:



Hide files and processes (e.g. hide any file or process beginning with "hxdef").

Hide services and drivers (the trojan's own service and driver are usually hidden).

Hide registry keys and values (the trojan's own registry entries are usually hidden).

Hide open ports (from programs like netstat, TCP View, etc).

The stealth methods used by HacDef are quite effective. Hidden files will be invisible to most programs, including Explorer and the command prompt. Hidden services will not appear in the Windows service list. Hidden processes will not appear in the task manager or most third party process viewers. Hidden registry entries will not appear in regedit.



At this time, hidden files CAN be seen from remote machines using Windows file sharing.



HacDef is also able to execute other programs, specified in its INI file, each time it is started.



Analysis by Hamish O'Dea



__________________________________________



Mira de arrancar en modo seguro en solo simbolo de sistema, que es la forma en la que parece que podemos pisarlo:



https://foros.zonavirus.com/viewtopic.php?t=607&start=15



y si localizas los ficheros INI y EXE en cuestion, nos los envías conforme indicabamos.



saludos



ms, 17.-05-2004

[xaviersillu]

pues he buscado los archivos INI y EXE y no aparecenpor ninguna parte, tengo activado buscar tambien ficheros ocultos y nada, tampoco ni en modo a prueba de fallos. He intentado eliminar el virus des de modo a prueba de fallos con simbolo de sistema, pero yo de DOS no tengo ni idea, no sé ejecutar nada de nada. He escrito las ordenes tal como las has escrito tu en el enlace que me has facilitado:



DIR c:\hxdef100.* /s /a



DIR C\SCANPM.EXE /S



SCANPM C: /ALL /CLEAN /DEL



he respetado todos los signos y espacios, pero no ejecuta nada, siempre responde que no encuentra tal cosa o que la etiqueta blblabla y nada más. Lo que sí he he hecho dentro de esta misma sesión a modo a prueba de fallos con simbolo de sistema es ejecutar el kaspersky des de la opcion EJECUTAR examinado luego en mi disco duro, ésto lo logré al simultanear CTRL+ALT+SUPR. El kaspersky me eliminó el archivo hxdefdrv.sys, pero al reiniciar en modo normal vuelve a aparecer. Sobre los varios archivos infectados que dice encontrar el compañero que padecia este mismo problema debo decir que el scan on-line de mcafee tambien me los encontró, con el startpage-ax este de protagonista. Si es necesario descargaré el mcafee con la actualización necesaria, pero antes de nada debería aprender a ejecutarlo en modo DOS desde modo a prueba de fallos con simbolo de sistema. Podriais aclararme que ordenes debo escribir para hacerlo? gracias.

[msc hotline sat]

Como ta sabes, del Hacdef no se nos han enviado las muestras para poder hacer una utilidad eliminadora, y por ello solo tenemos la informacion antes ofrecida, ademas de un fichero .SYS, por el que vemos que con los SDATDAILY de McAfee se controla, ahora bien, tenemos la suerte de que otro forero ha tenido el mismo virus y según parece ha podido eliminarlo.



Mira de seguir los pasos indicados en el link:



https://foros.zonavirus.com/viewtopic.php?t=607&highlight=hacdef



saludos



ms, 18-05-2004

[xaviersillu]

interesante el link, pero volviendo al caso del compañero que sí eliminó el virus desde modo a prueba de fallos con simbolo del sistema con el mcafee actualizado, yo tambien me he descargado este antivirus, así pues la única diferencia, a priori, entre el ordenador limpio de virus del compañero y éste (estoy realmente harto, pues escribir estas linieas es un suplicio con el maldito virus incordiando) es que él sí ha sabido ejecutar el antivirus en modo ms-dos, yo en cambio, coma ya he dicho anteriormente, no sé como hacerlo. Por favor, mil veces por favor, me indicariais cuáles con los comandos necesarios para poder yo ejecutarlo tambien? lo único q sé es q DIR es directorio i DEL es borrar, pero como accedo al dir de mcafee? una vez alli como ejecuto el exe de mcafee? que debo hacer para ejcutar el antivirus??

[xaviersillu]

buscando he encontrado un enlace a zonavirus donde alguien pedía ayuda para ejcutar el antivirus en modo a prueba d fallos con simbolo de sistema. El mismo MSC le mandaba estas directrices:



DIR SCANPM.EXE /S (a mi me daba nada, sí me mostraba el directorio escribiendo DIR C:\SCANPM.EXE /S)



y seguidamente SCANPM C: /CLEAN (al ejecutar esta orden me contesta que "SCANPM" no es ninguna orden)



Creo pues que al ejecutar DIR C:\SCANPM.EXE /S no entro dentro del directorio, sinó que solo me muestra el directorio, es así?

Mostradmelo como si de un tonto me tractara, por favor, orden por orden, como ejecuto el mcafee?

[msc hotline sat]

Vamos a ver, si ya tienes el fichero gusano, con eliminarlo a mano es lo mismo que te hará el antivirus bajo MSDOS, pero esto pensaba que ya había quedado claro, y solo i este hubiera encontrado mas ficheros que no encuentras manualmente, valdría la pena, pero si no, borra el fichero gusano (el .SYS) y listos.



Además, si no eres usuario de McAfee no sñe que habrás instalado, pues si no encuentras el fichero SCANPM.EXE buscando en el disco duro, igual has instalado una version 7 ENTERPRISE que no crea este fichero sino solo el SCAN,EXE, y además, tal como se indicó al otro forero, se deben aplicar los DATS diarios, con el SDATDAILY, y es todo un berenjenal si no tienes instalado dicho antivirus, y si lo tienes, pues tal como se le decía, ejecuta el SDATDAILY y luego, desde el directorio donde tengas el SCANPM.EXE o el SCAN.EXE, según la version del antivirus, lanza el fichero ejecutable con las opciones /CLEAN /DEL /ADL /NODDA /ALL y eliminarás dicho gusano, pero siempre y cuando tengas dicho ejecutable y vayas ak directorio donde esté.



Pero recuerda que es lo mismo que eliminar manualmente el fichero gusano .SYS, y lo único que conviene hacer para ello, como ya se ha indicado, es arrancar en modo seguro en solo simbolo de sistema, buscarlo y borrarlo.



Si no entiendes algo, indicalo, que no será ningun problema ampliar el detalle concreto. Lo unico que este virus tiene tecnicas de ocultamiento que son de aupa, por esto lo de arrancar en la forma indicada, que es el punto mas importante.



saludos



ms, 18.-05-2004

[xaviersillu]

te cuento: eliminaria a mano el fichero sin necesidad de antivirus si supiera manejarme en MSDOS, pero como ya he dicho, no tengo ni la más remota idea. Llevo dos dias probando todo tipo de idioteces para conseguir aprender algo, pero no tengo ninguna noción de lenguaje MSDOS. Por telefono me han informado que debo primero trasladarme a la carpeta donde tengo el archivo infectado, es la carpeta de windows y me pongo en ella con la senzilla orden CD WINDOWS, pero alli no aparece el dichoso archivo, aún así ejecuto la orden DEL HXDEFDRV.SYS, pero dice no encontrar nada. Manualmente pues NO SÉ ELIMINARLO.

El Mcfee está actualizado, el sdatdaily lo descargué de un enlace que tu facilitaste a otro compañero, y yo no he dicho que no encontrara el fichero SCANPM.EXE, dije que escribiendo DIR SCANPM.EXE /S como tu escribiste no lo encontraba, sí en cambio escribiendo DIR C:\SCANPM.EXE /S, pero que al ejecutar la orden SCANPM C: /CLEAN me contestaba que SCANPM no es ninguna orden. Repito, NO TENGO nociones de msdos, no puedo eliminar el bicho manualmente porque NO SÉ como hacerlo y luego no puedo ejecutar el antivirus, sease el Mcafee o el Kaspersky, pq TAMPOCO sé que ordenes mandar.

Lo que necesito pues es la LISTA DE ORDENES A EJECUTAR en msdos necesarias para eliminar el archivo en concreto o en otro caso para EJECUTAR EL ANTIVIRUS. Ayuda pido pues a aquél que si sepa como hacerlo.

[msc hotline sat]

Una vez hayas arrancado en MSDOS, estarás en C: si lo has hecho desde dico duro, y en A: si hubieras arrancado desde disquete.



Evidentemente supongo que arrancas en modo seguro en solo simbolo de sistema, con lo que estaras en C:



El que no encuentres el SCANPM de una u otra manera es porque no estas situado en el directorio raiz de C:, y logicamente, si no indicas que empiece en C:\, lo hace a partir de la ruta donde estás, que seguro que no es C:\



Entoces, para ir al raiz, escribe CD \



y entonces con un DIR SCANPM.EXE /S deverá decirte la ruta a seguir para situarte en dicho directorio.



Con escribir y entrar CD \.......\......\...... etc que te indique antes de SCANPM.EXE, te sutuarás en dicho directorio



Y desde allí, ejecuta

SCANPM C: /CLEAN /DEL /ALL /REPORT INFORME.TXT



Y te eliminará los mas de 91.000 virus que conocemos, y te creará un fichero INFORME.TXT que podrás visualizar y copiarnos en un proiximo post si quisieras hablar de lo que ha hecho el antivirus (CON UN COPIAR Y PEGAR DEL TEXTO)



Confio que con ello lo resolverás, sino dinoslo y te ayudaremos



saludos



ms, 19-05-2004

[xaviersillu]

Gran decepción. He seguido los pasos tal como me dices, pero a diferencia del otro forero no he solucionado nada. Muchas gracias per dejarme bien claritos los comandos de ms-dos. Te cuento. He podido ejecutar el antivirus en msdos, no sé si puede ser importante, pero antes de iniciar el scan se me ha abierto una ventana que decia esto:



--------------------------------------------------------------------------------------

Subsistema MS-DOS de 16 bits



cmd.exe - scanpm c: /clean /del /all / report informe.txt



Una aplicación ha atentado contra acceso directo al disco duro, lo cual no está permitido. Esto puede provocar que la aplicación no funcione correctamente. Elija "cerrar" para finalizar la aplicación.



Cerrar Omitir

--------------------------------------------------------------------------------------



Supongo que se entiende. Igual no tiene que ver nada con el resultado del scan, pero la cuestion es q después de encontrar y eliminar el dichoso fichero hxdefdrv.sys al reiniciar la computadora seguía bien instaladito en la carpeta de windows. No he podido pues eliminarlo con el mcafee. He ejecutado el kaspersky con los mismos comandos que tu me has facilitado, pero el resultado es el mismo. Tambien he probado de borrar manualmente el fichero, desplazandome a la carpeta windows (cd windows) i escribiendo DEL HXDEFDRV.SYS, pero me contesta ACCESO DENEGADO.

Voy a intentarlo todo otra vez, aunque no sé con que motivo. Sobre el informe, el resultado es el siguiente:



McAfee VirusScan for DOS/PM v4.16.0

Copyright (c) 1992-2001 Networks Associates Technology Inc. All rights reserved.

(408) 988-3832 LICENSED COPY - Nov 13 2001



Scan engine v4.1.60 for DOS/PM.

Virus data file v4100 created May 17 2004

Scanning for 91550 viruses, trojans and variants.







05/19/2004 16:09:41





Options:

C: /CLEAN /DEL /ALL /REPORT INFORME.TXT



Scanning C: []

Scanning C:\*.*

C:\WINDOWS\HXDEFDRV.SYS ... Found the HackerDefender.sys trojan !!!

The file has been deleted.



Summary report on C:\*.*

File(s)

Total files: ........... 29037

Clean: ................. 29020

Possibly Infected: ..... 1

Cleaned: ............... 0

Deleted: ............... 1

Non-critical Error(s): 1

Master Boot Record(s): ......... 0

Possibly Infected: ..... 0

Boot Sector(s): ................ 1

Possibly Infected: ..... 0

[msc hotline sat]

Rapidamente, añade la opcion /NODDA a las demás opciones, para saltarte los sectores reservados a los que no se tiene acceso en sistema de tecnología NT



(NO DIRECT DISK ACCES)= NODDA



o sea, te quedará:



scanpm c: /nodda /clean /del /all / report informe.txt



Con esto no debe salirte el mensaje de error, y podrás testearlo todo.



saludos



ms, 19-05-2004

[xaviersillu]

Lástima, con el comando NODDA no aparece la ventana, pero el resultado es el mismo, al reiniciar el archivo infectado sigue allí.

Este es el informe:





Scan engine v4.1.60 for DOS/PM.

Virus data file v4100 created May 17 2004

Scanning for 91550 viruses, trojans and variants.







05/19/2004 21:58:41





Options:

C: /NODDA /CLEAN /DEL /ALL /REPORT INFORME.TXT



Scanning C: []

Scanning C:\*.*

C:\WINDOWS\HXDEFDRV.SYS ... Found the HackerDefender.sys trojan !!!

The file has been deleted.



Summary report on C:\*.*

File(s)

Total files: ........... 29736

Clean: ................. 29720

Possibly Infected: ..... 1

Cleaned: ............... 0

Deleted: ............... 1

Non-critical Error(s): 1

Master Boot Record(s): ......... 0

Possibly Infected: ..... 0

Boot Sector(s): ................ 0

Possibly Infected: ..... 0





Time: 00:08.31



Me ha vencido, verdad?

[msc hotline sat]

Realmente según el informe ha detectado el fichero SYS infectado con este virus y lo ha borrado.



Realmente se resiste este bicho, pues tal como indica la descripcion, tiene técnicas Stealth que ocultan ficheros, procesos e incluso el kackdoor residente.



ES MUY IMPORTANTE, COMO YA HEMOS INDICADO, ARRANCAR EN MODO SEGURO EN SOLO SIMBOLO DE SISTEMA: PARA ELLO CIERRE WINDOWS, APAGUE EL ORDENADOR, Y CUANDO ARRANQUE PULSE REPETIDAMENTE F8 HASTA QUE APAREZCA EL MENU DE INICIO, Y EN EL SELECCIONE "ARRANCAR EN MODO SEGURO, EN SOLO SIMBOLO DE SISTEMA".



Habiendo arrancado en modo seguro en solo simbolo de sistema y habiendo hecho lo indicado, Vd ha borrado el indicado fichero y eliminado el virus, y si en el siguiente reinicio le vuelve a aparecer, es que la ejecucion de algun troyano o intrusion remota se lo vuelve a meter.



Lo que vamos a hacer es bloquear que pueda crearse de nuevo dicho fichero.



Tras hacer lo mismo que ya ha hecho, desde MSDOS, cuando termine el escaneo, sin reiniciar la máqiuona, haga lo siguiente:



Escriba:



CD \WINDOWS (Enter)



y



MD HXDEFDRV.SYS (Enter)





Ello creará un directorio dentro de C:\windows que se llamará igual que el fichero que crearía el virus, con lo cual, cuando quiera crearlo, no podrá por existir un directorio con su mismo nombre.



Compruebe tras ello que despues de reiniciar pasando el antivirus ya no detecta el gusano.



Y cuentenos el resultado



saludos



ms, 20-05-2004

[xaviersillu]

Con los comandos que me has facilitado si parece habar desaparecido el archivo, al menos el antivirus ahora ya no lo detecta, pero ojo, el autentico problema persiste, sigo teniendo programas ocultados (el spybot, por ejemplo), las ventanas, carpetas y programas se siguen abriendo cada cierto tiempo (pon cada dos minutos) hasta saturar la pantalla (y mis nervios) y el ratón se mueve por la pantalla como le da la gana. He pasado más antivirus y otros antyspywares, actualizados, y tengo siempre el kerio en ejecución sin en teoria niguna entrada sospechosa.



como lo ven?

[msc hotline sat]

Bueno, despues de una cisa controlaremos la otra.



Los Spywares los podrás eliminar con los antispywares como el SpyBot y el AD_AWARE, y luego podrás evitar que entren de nuevo con un antispyware residente como el SPYWAREBLASTER:



La eliminacion hazla ihualmente arrancando en modo seguro:



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



· Ad-aware Personal 6.0 Build 181

Sitio 1 - Descargar Ad-aware Personal 6.0 Build 181

http://download.com.com/3001-8022-10214379.html

Paquete Traductor al español

http://updates.ls-servers.com/aaw-lang-pack.exe

Sitio 2 - Descargar Ad-aware Personal 6.0 Build 181 desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp

Descargar Paquete Traductor al español desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp



· SpywareBlaster 3.1

Sitio 1 - Descargar SpywareBlaster 3.1

http://majorgeeks.com/download2859.html

Sitio 2 - Descargar SpywareBlaster 3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spywareblaster.asp



*************************************************************





saludos



ms, 20-05-2004

[xaviersillu]

intantaré proximamente escanear con antispywares desde modo a prueba de fallos otra vez, ya lo he hecho varias veces con el adware actualizado y tambien con el spysweeper, con el spybot no puedo pues como he dicho no me aparece por ningun lado por mucho q lo reinstale. Esta noche el Mcafee me ha abierto un mensaje de alerta, detectandome este archivo como infectado:



C:\System Volume Information\_restore{45C51205-77C6-4915-A313-71599A3869B3}\RP2\A0003223.sys

[msc hotline sat]

Es en el RESTORE !!!



Arranque en modo seguro, y deshabilita la Restauracion de sistema



Así podrá eliominar el virus que esyé en dicho directorio



saludos



ms, 21-05-2004

[xaviersillu]

pues ya he borrado la entrada del registro esta des de modo a prueba de fallos y con desactivar restaurar sistema activado, pero esto sigue igual. El Mcafee, cosa curiosa, no me encuentra ningun virus cuando escaneo el sistema, sino que fue la opcion residente la que me mandó el mensaje de alerta. Para borrarlo, ya que no lo encontraba buscando con el explorador del windows, abrí el REGEDIT i mandé buscar la entrada del registro en cuestion y una vez encontrada la eliminé, pero al reiniciar el ordenador, aunque la entrada ha sido eliminada, el problema persiste. Una cosa que puede quizás ser útil, puedo asegurar que el ordenador se vuelve loco siempre y cuando haya movimiento con el RATON, es solo con el ratón, si no lo toco todo va normal.

[cañera]

has provado a utilizar otro ratón haber si por casualidad fuera problema de este?

cuentanos como te fue.