Ayuda con virus W32.Toxbot

edimoney · Mensaje por **edimoney** » 23 Jun 2005, 11:59

Hola, primero felicitaros por este foro y agradecer a la gente que pone su empeño en solucionar problemas a los que no dominamos tanto.Mi problema es que hace unos dias me empezo a dar el coñazo una ventana que me decia "messenger services:su ordenador está infectado,bla,bla,bla visite no se que pagina" a la vez mi antivirus empieza a lanzarme constantemente avisos de "virus encontrado:W32.Spybot.Worm ELIMINADO y hace referencia siempre a dos archivos C:\Windows\system32\eraseme_66830.exe y C:\Windows\system32\TFTP2664

bueno como me mosquea que elo aviso se lance cada poco tiempo y despues de leer alguna de las soluciones que proponeis me bajo el spyboot el hijackthis, los programas eli..., me instalo unos cuantos parches del xp y consigo eliminar alguna basura que tenia.despues vuelvo a pasar el antivirus y me encuentra 8 archivos infectados con el virus W32.Toxbot, elimina o desinfecta 7 pero no puede eliminar el archivo "netddeclnt.exe" de system32, deshabilito restaurar el sistema lanzo el modo seguro y el antivirus me avisa del unico fichero infectado que no puede ser eliminado porque está siendo utilizado por windows;total estoy hasta los cojones, los sintomas que tengo desde entonces son que los programas se cuelgan constantemente, no me deja utilizar el administrador de tareas(se abre en la barra de tareas pero es imposible utilizarlo) ,muchas dificultades para hacer scan online, etccc.si alguien me puede ayudar se lo agradeceria, un saludo.

Mensaje por **msc hotline sat** » 23 Jun 2005, 12:22

Posiblemente se trata de lo indicado en este articulo:

http://www.vsantivirus.com/codbot.htm

Los nombres de codbot, toxbot, gaobot, etc son a gusto de cada antivirus...

Vea de arrancar en modo seguro y lanzar su antivirus, y si así no lo puede borrar, envienos el fichero que detecte como infectado a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, para que podamos contestarle como respuesta de este Tema, con el resultado del analisis y la utilidad en la que hayamos implementado su eliminacion

saludos

ms, 23-06-2005

PD: Como sea que he visto que por el nombre de los ficheros, ya lo controla el ELITRIIP.EXE, descargalo y ejecutalo y espero que con ello ya solucionarás el problema

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ms.

edimoney · Mensaje por **edimoney** » 23 Jun 2005, 13:13

Despues de haber leido el articulo del enlace que me comentais y haber instalado los dos parches de microsoft he lanzado el modo seguro y he escaneado con el antivirus; resultado 0 archivos infectados,¿es normal que ahora no localice el fichero que antes si estaba infectado?,acto seguido arranco en modo normal me conecto a internet y me lanza el antivirus avisos de troyanos que han sido eliminados¿que se puede hacer para evitar tanto intrusismo?, un saludo.

Mensaje por **maura63** » 23 Jun 2005, 13:29

Pasa el elitrip que te ofrece msc en el post anterior, y vuelve a conectar con windows update y comprueba si te falta algo mas.

Saludos

maura63

edimoney · Mensaje por **edimoney** » 23 Jun 2005, 13:53

al intentar abrir eliptrip me sale un mensaje "archivo modificado posiblemente por algún virus contacte con satinfo" intento eliminarlo pero no me lo permite; por otra parte ahora me sale una barra en el explorer que me conecta con varios sitios no solicitados el spybot s&d me encuentra algunas mierdas y me dice que las elimina pero siguen alli, cada vez son más.

Mensaje por **maura63** » 23 Jun 2005, 14:03

Pasa Spybot arrancando en modo seguro y desactiva la restauracion antes.

Sobre ELITRIP, espera que te responda Msc, estara comiendo que tambien tenemos derecho :cry: :lol:

Saludos

maura63

Mensaje por **msc hotline sat** » 23 Jun 2005, 15:06

Pues sí, tambien como de vez en cuando...

El ELITRIIP v 1.44 me lo acabo de descargar de esta web y funciona perfectamente, si bien tiene un sensor (como todas nuestras utilidades) que detecta si ha sido modificado, por cambio de checksum, evitando propagar un virus que lo hubiera infectado, dado el entorno en que se mueven estos ficheros, generalmente en situaciones de virus galopantes.

Como sea que los spywares no infectan (no se autopropagan al ser troyanos), esto probablemente lo ha hecho un virus, por lo que debe tener uno residente que está infectando todos los ficheros que ejecura, si bien no se entera por no haber sensor de intregridad en los mismos, a diferencia del ELITRIIP.

Podría tambien haber bajado mal en la descarga de Internet, por lo que le sugiero que lo descargue de nuevo, y si al ejecutarlo le dá el mismo problema, ya tiene un 99% de probabilidades de que existe un virus residente en el ordenador.

Descarguese un antivirus ONLINE y láncelo.

https://www.virustotal.com/es/

Si no detecta nada, envienos el fichero ELITRIIP.EXE que le da el mensaje de modificado a zonavirus@satinfo.es anexado a un mail en cuyo texto ponga un copiar y pegar de este post, y le contestaremos como respuesta a este Tema.

Y si le indica el SCAN ON LINE la deteccion de un virus, diganos cual y le ayudaremos a eliminarlo

saludos

ms, 23-06-2005

edimoney · Mensaje por **edimoney** » 23 Jun 2005, 16:03

bueno pues despues de haber hecho un scan online con www3.a.com me ha encontrado 14 virus:v3cab[1].cab Win32.SillyDl.GY!CAB cured C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\0VDR62NL\

v3cab[1].cab>v3.dll Win32.SillyDl.GY deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\0VDR62NL\

js[1].htm JS.SillyDlScript.C deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\6T8VYFIK\

js[2].htm JS.SillyDlScript.C deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\6T8VYFIK\

js[1].htm JS.SillyDlScript.C deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\APQFSBQX\

protector[1].exe Win32.Startpage.QQ deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\APQFSBQX\

js[1].htm JS.SillyDlScript.C deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\MH30DSRE\

js[2].htm JS.SillyDlScript.C deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\MH30DSRE\

silent[1].exe Win32.SillyDl.HI deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\PVRBPLKA\

silent[2].exe Win32.SillyDl.HI deleted C:\Documents and Settings\edimoney\Configuración local\Archivos temporales de Internet\Content.IE5\PVRBPLKA\

v3.dll Win32.SillyDl.GY deleted C:\WINDOWS\Downloaded Program Files\CONFLICT.1\

v3.dll Win32.SillyDl.GY deleted C:\WINDOWS\Downloaded Program Files\CONFLICT.2\

v3.dll Win32.SillyDl.GY deleted C:\WINDOWS\Downloaded Program Files\

TFTP3812 Win32.Rbot.BHY cannot delete C:\WINDOWS\system32\

y ahora que puedo hacer, el último virus no lo ha podido limpiar ni eliminar, por otra parte os envio el archivo elitrip que está corrupto.

Mensaje por **maura63** » 23 Jun 2005, 16:08

Empieza por limpiar temporales de internet, cookies y archivos temporales.

Saludos

maura63

Mensaje por **msc hotline sat** » 23 Jun 2005, 16:42

Con 14 virus galopando en su ordenador, no me extraña que el ELITRIIP se le infectara !

Tras hacer lo indicado por Maura63, arranque en modo seguro y lance su antivirus y eliminelos.

SI tiene ADSL y router o cable modem, arranque en modo seguro con funciones de red y con el antivirus ONLINE podrá eliminar los virus.

De todas formas, si ya el ELITRIIP no se lo modifica y puede ejecutarlo, hagalo, y tambien el ELISTARA.EXE:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Y nos cuenta el resultado, como respuesta de este Tema, gracias

saludos

ms, 23-06-2005

edimoney · Mensaje por **edimoney** » 23 Jun 2005, 17:19

he hecho lo que me indicaban, inicio en modo seguro lanzar elitrip y elistar (una pregunta es normal que con estos programas me salte una ventana que dice"c:\\ system volume information(22) no accesible")ambos me han encontrado unas cuantas cosillas(elitebar,algun troyano,etc..)he limpiado algunas entradas con spybot s&d y he esnaneado con mi norton(0) virus; ahora arranco en modo normal me conecto y zas mi antivirus me lanza un mensaje de troyan.noseque eliminado de su equipo y de repente el explorer se pone a cargar un programa de mediaticker.¿como puedo evitar esto?.Otra cosa muy importante para mi que se poco de esto, cuando entro en modo seguro con funciones de red me es imposible abrir una conexion a internet, es más en administrador de equipos me dice que el puerto COM no esta disponible en modo seguro

Mensaje por **msc hotline sat** » 23 Jun 2005, 17:32

Lo de no tener acceso a SYSTEM VOLUME INFORMATION [22] es normal pues son carpetas reservadas del sistema.

Y lo de arrancar en modo seguro con funciones de red y no tener disponible el puerto COM es porque no debe tener ADSL a traves de router o de cable modem, condicion que ya le habíamos indicado previamente.

continua en siguientes post...

edimoney · Mensaje por **edimoney** » 23 Jun 2005, 17:36

si tengo ADSL pero cuando intento conectarme como hago normalmente en modo seguro con funciones de red no hay ninguna actividad

Mensaje por **msc hotline sat** » 23 Jun 2005, 17:47

Tenía el post a medias y al ir a terminarlo ya has contestado.

He buscado informacion sobre el mediaticker en cuestion y parece ser una web de noticias, a la que quizas alguna aplicacion te

hace alguna llamada ??? pero no tiene porque ser virus.

Mira http://www.mediaticker.com/

Y tal como te decía, si tienes ADSL pero a traves de USB, sin un router o por medio de cable modem, has de conectar cada vez que quieres navegar, mientras que con el sistema profesional, ya al arrancar el equipo, sin abrir el navegador ni acceder manualmente, ya al arrancar windows estas conectado a internet, navegues o no, y en tal caso es cuando arrancando en modo seguro con funciones de red ya puedes navegar. Normalmente esto es lo que se instala en empresas, despachos y demás, mientras que el otro sistema economico lo instalan en domicilios partculares, con las limitaciones indicadas.

Y el ELITRIIP acabo de preguntar a nuestros tecnicos de web si había llegado y no se ha recibido , Lo has enviado a zonavirus@satinfo.es ???

En cuanto me lo den veré el virus que lo infectó y actuaremos sobre él.

saludos

ms, 23.06.2005

edimoney · Mensaje por **edimoney** » 23 Jun 2005, 18:03

no, no te lo envie porque cuando iba ha hacerlo habia desaparecido el archivo, despues me cargue unos cuantos virus, arranque en modo seguro y como ya funcionaba pues no lo envie.Cuando lanzo el elistar constantemente me sale una infección k.exe->LowZones(Dropper) dice que lo elimina pero alli esta otra vez??;oye que muchas gracias por tu tiempo es un alivio tener alguien capaz de solucionar estos problemas,por cierto hay alguna aplicación que restaure los valores del regristo alos iniciales o por defecto porque con el calenton vírico me parece que se me ha ido la mano con alguna entrada. :lol:

Mensaje por **msc hotline sat** » 23 Jun 2005, 18:17

Mira de eliminar este k.exe arrancando en modo seguro.

Sobre restauracion de claves, nuestras utilidades restauran las de las familias que contemplan, pues las claves no solo las modifican los virus, sino las aplicaciones, al configurar los equipos, y solo se deben restaurar las que los virus hayan modificado,

Con lanzar el ELITRIIP y el ELISTARA hay gran numero de claves que restauramos, por ser las dos utilidades que mas virus contemplan.

Y si no aparecen anomalías posteriores, dejalo estar, y si las hay, comentanoslo, pues tenemos otras como el ELIREST.VBS para eliminar restricciones del registro, implementadas por los virus, y demás, pero si tienes algun problema o anomalía sospechosa, dinoslo y lo estudiaremos.

saludos

ms, 23-06-2005