posible virus??pagina inicio

[sergi_RS]

hola, el otro dia se me ha colado algo en el ordenador que me pone como pagina de inicio SEARCH FOR y me abre otra ventana con publicidad de un programa anti spyware, ya he pasado el adware 6.0 y el spybot y nada, tampoco el antivirus encuentra nada

¿teneis idea de lo que es?he borrado la clave en el registro y se reproduce otra vez.

[cañera]

bajate este programa y pasaselo en a modo prueba de errores;

Para eliminación de intrusos con páginas de inicio no restaurables, dialers, etc,



http://www.softpedia.com/public/scripts/downloadhero/10-17-150/



http://www.zonavirus.com/descargas/descargar-trend-micro-cwshredder.asp

cuentanos como te fue.

[sergi_RS]

muchas gracias cañera, me estaba volviendo loco esa basura,el CWShredder ya lo conocia pero pense que para esto no valia, pero es un pepino de programa y vale para todo.

de nuevo gracias y un saludo desde asturias

[cañera]

de nada,ya sabes que siempre que nos necesites estamos por estoa lares.

un saludo desde canarias.

[CDE]

pff ola gente :(



llevo dos dias y pico con este mismo problema y no soy capaz de quitarlo, no desaparece.

Y he leido y seguido todas las recomendaciones, tanto las que daban los antivirus cuando encontraban el virus como las que decis vosotros en la web.



Modo seguro, sin restablecer sistema, ... pero nada. Se borra el virus y cuando reinicio se vuelve a poner.



Eso si, siguiendo las indicaciones del foro logré que no se pusiera la pagina esa como pagina de inicio, pero lo que pasa es que las tres páginas que mas visitaba yo antes, pues ahora no puede acceder a ellas y se carga la pagina esa de search for.



Estoy bastante desmoralizado :(



aver si pudierais echarme una mano, muchisimas gracias de antemano.



El virus se llama: Virus:Bck/HacDef.G

y está en: C:\WINDOWS\hxdefdrv.sys



Daniel, desde málaga.

[msc hotline sat]

Recuerda que lo que tienes no es un virus sino un spyware que te entra por visitar determinadas web de Internet, lo cual te puede eliminar un antispyware, y lo de la página de inicio, con el CWSHREDDER que te indicó nuestra cañera, pero que te volverá a entrar al entrar de nuevo en según qué paginas.



Además de volver a lanzar el CWSHREDDER, te aconsejaría que lanzases un antispyware, como el SPYBOT, y cuando estuvieses limpio de intrusos, cargaras el residente DWSHREDDER:



__________________________________________



"y una vez limpios de spywares, como protección residente, SPYBOT recomienda SPYWAREBLASTER:



Descarga de la última versión (SpywareBlaster v3.0, 13/abril/04)



http://www.javacoolsoftware.com/sbdownload.html



Download SpywareBlaster 3.1 from http://www.ct7support.com

__________________________________________



y por si no tuvieras algun antispyware, :



"Como antispyware: Bajar, instalar, actualizar y lanzar el Spybot o el AD_AWARE:



SPYBOT:_



http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button



AD_AWARE:



http://descargas.terra.es/informacion_extendida.phtml?n_id=12381&plat=1







saludos



ms, 07-05-2004

[CDE]

nada, sigue ahi, es inmortal

ayudaaa :(

[msc hotline sat]

Vamos a ver, DEC, posteaste en este Tema que era relativo a un spyware que cambiaba la página de inicio.



Al ver que no se solucionaba, he visto que seguiste en un Tema que no tenía nada que ver, y que en lugar de abrir un Tema para este BackDoor HacDef.G , seguiste como respuesta al Tema del de la página de inicio, y se te contestó como continuacion de aquel.



Si lo que tienes es un backdoor, muevelo a una carpeta de cuarentena y reinicia el ordenador y luego borras el fichero de dicha carpeta, o bien arranca en modo seguro y lanza tu antivirus que podrá eliminarlo, pero mientras está en uso, windows no lo deja eliminar, por eso o lo sacas de estar en uso arrancando en modo segiuro, o lo cambias de lugar y reinicias el equipo, y luego, al no estar en uso ya podrás eliminarlo.



Siento que no se te informara correctamente antes, pero es que seguíamos el Tema inicial, el del spyware que cambiaba la página de inicio, no este backdoor.



saludos



ms, 10-05-2004

[CDE]

Respondí aqui al ver que los sintomas y la pagina que cargaba mi navegador era la misma, y la verdad, aun no se que puede ser.



Cuando pasé el cwshreder me detecto algo y lo elimine, y ya no lo volvio a detectar mas, pero sin embargo el virus, por llamarlo de alguna manera seguia ahi.



En cuanto a lo de modo seguro lo he hecho mil veces ya, y he pasado el antivirus online. El panda lo que hacía era que desinfectaba el archivo. Una vez hecha la desinfeccion seguía sin poder acceder a las paginas que eran bloqueadas por Search For. Y si reiniciaba, volvia el "virus", y seguian sin aparecer las paginas que me bloqueaban.



Otros antivirus online lo eliminan, pero vuelve igualmente. :(



Tambien tengo desactivada la opcion de restaurar el sistema.



Al ejecutar regedit y buscar una de las direcciones que me bloquea, por si aparecia algun resultado en la busqueda, me da 3 registros en los que esta la direccion. Los elimino, pero nada, vuelven de nuevo. en fin.



el panda lo identificaba como HacDef.G



os pongo la informacion que me da el antivirus de Trend Micro (Houscall):

(gracias x la ayuda de todas formas)





BKDR_HACDEF.73.B



Virus type: Backdoor



Destructive: No



Aliases: Backdoor.HackDefender, Backdoor.HacDef.073.b



Pattern file needed: 638 (1.638.00)OPR



Scan engine needed: 6.150



Overall risk rating: Low



--------------------------------------------------------------------------------

Reported infections: Low



Damage Potential: High



Distribution Potential: Low

--------------------------------------------------------------------------------

Description:



This backdoor is categorized as a KERNEL level rootkit. It is capable of running in stealth mode by hooking on selected Application Program Interface (APIs).



This backdoor is also used by other malware in order to hide specified processes, services and files.



It runs on Windows NT and 2000 only.





Solution:



Identifying the Malware Program



Before proceeding to remove this malware, first identify the malware program.



Scan your system with Trend Micro antivirus and NOTE all files detected as BKDR_HACDEF.73.B. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro's free online virus scanner.



Restart the system in DOS mode. Then delete all files by going to the directories of the detected files as BKDR_HACDEF.73.B. This way the malware will not be triggered to run in memory.



Additional Windows ME/XP Cleaning Instructions



Windows Millennium Edition (ME) and Windows XP have a feature known as System Restore, which creates backups of certain files in the _Restore folder. The System Restore feature usually backs up files with EXE or COM extensions, which may include infected files and malware programs. Files in the _Restore folder are protected and can only be accessed using System Restore. This feature must be disabled first before Trend Micro antivirus can access and clean these files.



The following procedure disables the System Restore feature:



For Windows XP



Log on as Administrator.

Right-click the My Computer icon on the desktop and click Properties.

Click the System Restore tab.

Select Turn off System Restore.

Click Apply > Yes > OK.

Continue with the scan/clean process. Files under the _Restore folder can now be deleted.

Re-enable System Restore by clearing Turn off System Restore.





Todo esto lo he hecho ya y no va. Va a parecer mentira cuando logre borrarlo :(

[cañera]

y has seguido los pasos que te dan la descripcion?

eliminarlo en a modo prueba de errores desactivando restaurar sistema...

cuentanos como te fue.

[msc hotline sat]

Ante todo esto, creo que has tenido dos virus, primero el que te cambió la página de inicio, el cual eliminaste con el CWSHREDDER, y por otro lado el backdoor, que se resiste a ser eliminado, lo cual no debería ser arrancando en modo seguro y lanzando el antivirus de esta forma, pero si sigue el problema, envianos el fichero gusano en cuestión (el que te detecte el antivirus) a zonavirus@satinfo.es anexandolo a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta a este Tema, y si procede, haremos una utilidad de eliminacion especifica.



saludos



ms, 11-05-2004

[CDE]

he vuelto a hacer cada paso exactamente como se indica pero nada, no hay forma :(

Os he mandado el archivo como me dijisteis, ojala podais encontrar una solucion, muchisimas gracias de antemano.



Daniel.

[msc hotline sat]

Aparte de que mañana analizaremos los intringulis del backdoor que tanto te incordia, y haremos una utilidad de eliminacion, la descripcion del backdoor Hac defender 073 la tienes a continuacion, facilitada oir CAI:



__________________________________________



Win32.HacDef

Detection Published: January 22, 2004

Description Modified: January 22, 2004



















Category: Win32

Also known as: INI.HacDef, Win32.HacDef.073, Backdoor.HacDef.073.a (Kaspersky), Win32.Hacdef.084, Win32.HacDef.084, Backdoor.Hacdef.084 (Kapsersky), BKDR_HACDEF.73.A (Trend), Backdoor/Hackdef.084.Server, Backdoor/Hackdef.A.Server, Backdoor.HackDefender (Symantec), HackerDefender (McAfee), W32/HD.Rootkit.73 (F-Secure)











eTrust Antivirus 6x/v7* (InoculateIT Engine) 23.63.68 View Removal Instructions

eTrust EZ Antivirus 6.1x 6.x/5160 View Removal Instructions

eTrust InoculateIT 6.0

eTrust Antivirus 6.0 23.63.68 View Removal Instructions

Inoculan/InoculateIT 4.x 45.68 View Removal Instructions

Vet 11.2x 11.2x/8101 View Removal Instructions

Vet Anti-Virus 10.5x 10.5x/5160 View Removal Instructions

Vet Anti-Virus 10.6x 10.6x/8101 View Removal Instructions



* Includes updates for InoculateIT and eTrust InoculateIT 6.0.





















Win32.HacDef is a "rootkit", sometimes called "hacker defender" or "hxdef". It acts as a backdoor that allows an intruder to control an infected system remotely, as well as hide the presence of itself and other malicious files and processes.



HacDef only functions on Windows NT, 2000 and XP systems. Its functionality varies depending upon how it is configured.



Method of Installation

When the HacDef executable is run, it looks for a file in the current directory with the extension .INI, but otherwise the same name. For example, if the executable is called "hxdef100.exe", it will try to open "hxdef100.ini". HacDef may be run with a parameter to specify a different INI file.



The INI file contains configuration information for the trojan. These include directives for how it is installed, and its payload.



HacDef installs both a service and a device driver. The service is the trojan executable itself. This executable can drop the driver file to disk. The service name and description, as well as the driver name, are set in the INI file. The following are the entries used in the example INI file provided with the trojan:



ServiceName=HackerDefender100

ServiceDisplayName=HXD Service 100

ServiceDescription=powerful NT rootkit

DriverName=HackerDefenderDrv100

DriverFileName=hxdefdrv.sys



Method of Distribution

HacDef does not distribute itself. It must be installed manually through some other method of system compromise.



Payload

Backdoor Functionality

HacDef has two main payloads. First, it provides a backdoor shell using the Windows command interpreter (cmd.exe). It copies cmd.exe to the temporary directory, using a file name specified in the INI file (e.g. "hxdefß$.exe"). This backdoor does not open a new port to listen on. Instead, HacDef monitors network traffic coming into other servers on the system, and intercepts anything meant for itself. In this way, an intruder is able to connect to the backdoor through any open TCP port on the infected system, e.g. port 80 if a web server is running, or port 25 if a mail server is running. The backdoor requires a password, which is specified in the INI file.



The backdoor can also be used to redirect ports on the local machine to other ports on other machines.



Provides Stealth

The second payload involves the trojan hiding itself and other programs from the user. HacDef hooks many system functions in order to intercept and "stealth" different aspects of the system. It is able to:



Hide files and processes (e.g. hide any file or process beginning with "hxdef").

Hide services and drivers (the trojan's own service and driver are usually hidden).

Hide registry keys and values (the trojan's own registry entries are usually hidden).

Hide open ports (from programs like netstat, TCP View, etc).

The stealth methods used by HacDef are quite effective. Hidden files will be invisible to most programs, including Explorer and the command prompt. Hidden services will not appear in the Windows service list. Hidden processes will not appear in the task manager or most third party process viewers. Hidden registry entries will not appear in regedit.



At this time, hidden files CAN be seen from remote machines using Windows file sharing.



HacDef is also able to execute other programs, specified in its INI file, each time it is started.



Analysis by Hamish O'Dea



__________________________________________



Y si quieres probar, con el mismo antivirus ONLINE de ellos, si tienes XP y ADSL, arranca en modo seguro con funciones de Red, y lanza su antivirus ONLINE:



Para test ONLINE antivirus:



https://www.virustotal.com/es/



Ahora bien, la eliminacion no lo es todo, sino que hay que conseguir que no entre de nuevo.



Lo estudiaremos, haremos una utilidad de eliminacion, y veremos de que implementar este control en el antivirus de McAfee para que con el Vshield residente, se evite su entrada, pues al parecer no entra por ningun agujero de seguridad, ni navega ni se autoprpaga, sino que uno se infecta por ejecucion del mismo. Pero sus payloads son temibles, como los de la mayoría de backdoors.



Mañana seguimos, pero mientras, ya tiene con qué entretenerse.



saludos



ms, 13-05-2004

[CDE]

Al intentar analizar en modo seguro con funciones de red con ese antivirus me da un error en la carga FTP y no puede escanear. Pero ya escaneé con ese antivirus online hace unos dias, al igual que con panda y otros.



El virus se elimina, pero vuelve al iniciar el ordenador, sea cual sea el antivirus que lo elimine.



En estos momentos estoy en modo seguro, y el virus ha vuelto a colocar la pagina de Search for como pagina de inicio. Quizas sería al no haber modificado la pagina de inicio estando como Administrador.



Tengo desactivado también la casilla de restaurar sistema.



Os indico a continuacion las caracteristicas de mi ordenador.



Tengo como sistema operativo Windows XP, y tengo instalado como residente y como antivirus el NOD32. Cualquier ejecución o accion que suponga alguna relacion con el archivo infectado la notifica, con lo cual al emininarlo no creo que vuelva a colarse por algun sitio, sino que ya debe de estar dentro con otro nombre, camuflado o algo. En fin.





Espero que el haber renombrado con otra extension el fichero no haya supuesto problemas para que tengais el archivo que realmente tengo y que es el causante, que es de extension .sys.





Gracias una vez mas.

[msc hotline sat]

Bueno. pues mañana lo analizamos.



Buenas noches a todos, ya me voy que ya me toca !!!



saludos



ms, 13-05-2004

[msc hotline sat]

Solo hemos recibido un fichero .SYS que es parte del virus, pero el que nos hace falta para hacer la utilidad son los HXDEF100.EXE y HXDEF100.INI loc uales rogamos nos envie de la misma manera que ha hecho con el .SYS



De todas maneras ya hemos enviado la muestra a McAfee, resultando ya estar controlado con los Dats diarios de hoy, con lo que ya podrá controlarlo y evitar la entrada instalando dicho antivirus residente, una vez ejecutado el SDATDAILY.EXE



http://download.nai.com/products/mcafee-avert/daily_dats/SDATDAILY.EXE



Cabe indicarle que hay otro forero con el mismo problema, al cual tambien le hemos pedido dichas muestras, para que las recibamos cuanto antes mejor, de quien primero lea el post en cuestión.



So es usuario de McAfee, ejecute el SDATDAILY y tras ello arranque en modo seguro y lance el antivirus en modo de eliminacion y eliminará el virus, además de que con el Vshield residente ya no le volverá a entrar. Recierde que no se propaga, sino que infecta por ejecucion del troyano, lo cual evitará dicho antivirus residente.



Para mayor facilidad, cuando recibamos las muestras indicadas, trataremos de hacer una utilidad mas comoda.



saludos



ms, 14-05-.2004

[CDE]

Quité el antivirus nod32 y instale Mcafee VirusScan Home Edition 7.0, y baje y ejecute el statdaily, inicie entonces en modo seguro como se indicaba, y elimine con el antivirus el fichero.



Pero tras reiniciar seguía en el ordenador. No se habia eliminado. Volvi a instalar el statdaily, esta vez no me pidio reiniciar, pase el antivirus, lo elimine, y reinicie en modo seguro. Lo pasé y lo volvio a detectar y eliminar.

Y cuando reinicie aun seguía ahi.



Los ficheros hxdef100.ini y exe no estan en mi ordenador, y buscando todos los que empiezan por hx (nombre busqueda hx*) me muestra el hxdefdrv.sys únicamente. y tengo activadas las casillas de buscar archivos ocultos.



Archivos que empiecen por H y sean ejecutables encuentra varios, pero ninguno me suena a que sea el que buscamos. Y en cuando a archivos que empiecen por H y sean .ini los unicos que salen corresponden a la impresora, que es HP, y luego ademas un tal hammer del directX, y un howto del realOne.



Espero instrucciones.

[msc hotline sat]

Le pedía estos ficheros por ser los que figuran en la descripcion del gusano que le adjunté. Cuidado que tiene tecnicas de ocultamiento y puede engañarle. Abra una sesión de DOS y ejecute DIR c:\hxdef100.* /s /a



Si de esta forma los encuentra, es que están ocultos. Seleccione ver todas las extensiones desde windows y los verá. Sino es que se ocultan muy bien, como ya indica algo la informacion del mismo.



Ahora bien. Es el primer virus, de mas de 90.000 que se resiste a ser eliminado tras arrancar en modo seguro. Pero releyendo la descripcion, ya indica que oculta tareas y procesos vorocos cuando está en memoria. Vamos a ver, la búsqueda de los ficheros .EXE y .INI los hace habiendo arrancado en modo seguro? Pues hagalo así, porque sino los oculta según dice la descripcion.



Y Arrancar en modo seguro debe hacerse apagando el ordenador, y cuando lo encienda, pulsar repetidamente F8 hasta que aparece una pantalla de inicio, en la que seleccionar ARRANCAR EN MODO SEGURO



Y ojo con estar conectado a Internet o a una red con este virus en el ordenador, pues se trata de un backdoor invisible, que oculta desde su tarea, hasra los ficheros y las claves en el registro, con lo que permite el acceso del hacker a travñes de Internet, y aparte, puede accederse a él desde ordenadores en red con el infectado.



Mantenga esta máquina infectada aislada mientras no lo haya eliminado.



Si arrancando en modo seguro, sigue resistiendo, hágalo en modo seguro en solo simbolo de sistema, y lance el antivirus desde el DOS en modo de opciones de comando. Para ello, una vez en MSDOS, vea donde tiene el SCANPM.EXE ejecutando DIR C\SCANPM.EXE /S y se situa en dicho directorio con CD \---lo que sea--- y una vez allí lanza SCANPM C: /ALL /CLEAN /DEL , a ver si así acvabamos con él.



Indiquenos sus progresos al respecto y le seguiremos ayudando, y si nos envía los ficheros en cues´tión, mucho mejor.



saludos



ms, 14-05-2004

[CDE]

Mil graciaaaaaaaaass!!!!!! por fin lo logramos!!!!! :)

ha costado lo suyo jeje



Hice como me dijiste la busqueda de dichos ficheros, pero no se encontró ninguno, ni si estando en modo seguro.



Una vez hecho esto lo unico que quedaba intentar era el escaneo desde el simbolo de sistema. Inicie el equipo en modo ms dos, y los resultados del escaneo fueron sorprendentes, ya que no solo encontró al backdoor que buscabamos, sino un total de ocho archivos infectados, por un llamado StartPage-AX trojan.



Los archivos afectados por este trojano fueron:em windows\system32: drcrqf.3ml, emkhby.1hm, gmabbc.056, nliiar.77w, tfgmun.837, ykysdq.745, zh2umn.562.



El unico infectado con el hackerDefender.sys era el hxdefdrv.sys de c:\windows.



Todos los virus fueron eliminados.



Espero que los demas usuarios que tengan este problema les sirva lo que hemos hecho.

Muchisimas gracias de nuevo, ha sido un placer recibir ayuda de vosotros. Mil gracias!!



Daniel Pérez, (Málaga). :wink:

[msc hotline sat]

Pues la verdad es que lo hacíamos a ciegas, pues de este virus solo hay la informacion de que se oculta de mala manera, y había que ensayar a ver como lograr pisarlo.



Pues queda aclarado que se logra arrancando en modo seguro en solo simbolo de sistema.



Gracias por participar con nosotros tu experiencia.



saludos



ms, 17-05-2004

[malize]

YO TAMBIEN TENGO ESE PROBLEMA Y NO HE PODIDO ELIMINARLO, NO ENCUENTRO LOS ARCHIVOS QUE QUIEREN NI ENTIENDO LO DE BORRARLO EN MS-DOS, NO TENGO MCAFFE... PUEDE EXPLICAR M{AS LO DE SCANPM.EXE...

¿ESTOY JODIDA???? :(

[cañera]

malize,ve a inicio/mi pc,clicas con boton derecho/propiedades/restaurar sistema,lo desactivas y aceptas.

apagas el pc,lo enciendes y pulsas repetidas veces F8 y entra en [u][color=red]modo seguro en solo simbolo de sistema [/color][/u]en las opciones que te dejan.

lanza tu antivirus actualizado.

cuentanos como te fue.

[CDE]

El virus este debe ser obra del lado oscuro xq no hay dios que lo borre.

Falsas alegrías las que celebramos.

El virus sigue, he pasado el antivirus a fondo de nuevo y sigue estando ahi.

La cosa está en que no hay ningun sintoma de esos raro, con lo cual lo de la pagina de inicio y todo aquello era obra del resto de virus que encontró, y no del dichoso hxdefdrv.sys.



Se acerca el dia en que tiraré el ordenador por la ventana, en fin.



Una pregunta quería haceros: ¿por que al descargar el cwshredder cuando llega al 99% coge y me da un error y no se puede bajar? Lo he intentado bajar desde los dos enlaces que pusisteis, desde multitud de paginas web, y también desde el emule, y no hay forma.



Necesito ese programa para eliminar el problema de las conexiones que tengo en el otro ordenador.



Un saludo a todos, y gracias de nuevo.

[CDE]

En lo referente al hackdef no me importa que esté en el ordenador por ahora, estoy de examenes y no tengo mucho tiempo, y si no da mucho la lata...



pero respecto al otro ordenador si quiero que me ayudeis. No me pude descargar el cwshredder como os dije, no se por que. asi como tampoco pude descargar el spybot13 me parece.



Aver si sabeis por qué no he podido, y bueno, me he descargado los siguientes programas. Aconsejadme el orden en que los ejecuto y si pueden funcionar (y el modo de ejecucion: a prueba de fallos, o normal?), muchisimas gracias (recordad que lo que tenia era un trojan adclicker, y que se marcaba una conexión extraña).



-Checkdialer

-Ad ware 6

-Spy Sweeper

-Xcleaner

-Spyware blaster setup

-BPS Spyware adware remove

-miniremoval_coolwebsearch_smartkiller

-EliStarA

-xcleaner free



muchisimas gracias, y perdon por mezclar los temas.

[msc hotline sat]

El AD_ADWARE 6 es equivalente al Spybot, por lo que lanzalo y elimina los bichos que encuentres.



Luego mira si con el ELISTARA.EXE detectas algun intruso del STar Page, pero esto lo verías por cambiarte la pagina de inicio del I.E.



Y una vez limpio, poner residente el SPYWAREBLASTER, te protegerá contra la entrada de adwares y spywares.



El Check dialer no es para elimiminar virus sino para impedir conexiones a telefonos 806 ... 907... etc



y otras utilidaes como el XCLEANER las puedes pasar cuando creas oportuno, y el resto de antispywares son similares aal AD.ADWARE



El que se te corte al final la descarga del CWSHREDDER no tiene porqué ser por culpa de un virus, pudiendo ser por otros residentes que tengan en proceso. Mira de descargarlo arrancando en modo seguro con funciones de red.



saludos



ms, 1-06-2004

[CDE]

gracias.

ya los pase todos, en modo seguro, y se eliminaron unos cuandos bichos pero el dialer sigue sin desaparecer.



no puedo conectarme a internet xq enseguida se cae mi conexion y se intenta conectar la otra.



el problema de la descarga en el cwshredder era que ya estaba descargado, y entonces daba problemas al ya estar el archivo, pero la cosa era que.... yo no lo veia que estuviera el archivo!



lo curioso es q visualizando el contenido de mis carpetas desde otro ordenador que tengo conectado en red, sí podia ver los archivos descargaddos del cwshredder, mientras que en mi ordenador no los podia ver. Y alli estaban. (nota: en todos los ordenadores tengo windows XP).



Asi que debe haber alguna razon por la que mi ordenador no me deja visualizar el archivo del CWShredder (tampoco se puede visualizar el spybot12). Esto también ocurre en el ordenador que tiene el problema de la conexion telefonica. Asi que no le he podido pasar ese programa, y el dialer sigue ahi. :(



alguna sugerencia, idea o algo?

[msc hotline sat]

Elimina el viejo CWSHREDDER y descarga el nuevo, y ejecutalo en modo seguro, para que no esté residente el dialer.



Es posible que este te oculte los ficheros anti... para autorpoteccion, pero arrancando en modo seguro los deberás ver, salvo que les haya colocado atributo de oculto, y en cualquier caso ejecutalo a ver si en modo seguro sí que lo eliminas.



No tenbiamos noticias de que hiciera esto (ocultar sus enemigos) pero bien pensado, es lo menos que podría hacer para defenderse, no?



saludos



ms, 1-06-2004

[CDE]

he probado a iniciar en modo simbolo de sistema, y ni así logro ver el archivo cwshredder desde mi ordenador.



Y desde el otro ordenador de la red sí que lo veo.



Y yo en este ordenador que no logro ver el archivo tengo supercable, y no tengo ningun dialer ni algo por el estilo. al menos no me ha aparecido nunca, asi q no deberia de ocultar al cwshredder.

Y en cuanto a las copias de cwshredder que hay en mi ordenador las eliminé todas y copie solo una, y sigo sin verla.



Y otra cosa, en el ordenador que conecta por modem telefonico y en el que necesito el cwshredder para deshacerme del dialer, no estuvo nunca instalado el Cwshredder, y lo llevaba en un diskette de 3 y 1/2, y al meter el diskette y visualizar el contenido el archivo no estaba alli.



Ese mismo diskette lo mire en el ordenador desde el que logro visualizar el archivo en mi ordenador, y sí que se encontraba alli.



Y finalmente otra cosa: cuando descargaba el CWShredder en mi ordenador de supercable (que no logro ver el archivo), al descargarlo con el Flashget (un gestor de descargas), podia hacer doble click en el nombre del cwshredder en los archivos descargados (aunque no lo pudiera visualizar en la carpeta correspondiente desde el explorador), y al ejecutarlo desde el flashget se iniciaba sin problemas.



No se que puede ser lo que este 'ocultando' al programa. Y una posible 'solucion chapucera' sería instalar el Flashget en el ordenador de modem telefonico y descargar el CWShredder, pero como no se puede conectar a internet no puedo descargarlo. Porque no puedo descargar el contenido desde un disquette de 3 y medio ¿no? Y a parte, al intentarlo seguramente no lograría visualizar el archivo.



En fin, espero que estos datos aporten algo mas de claridad al asunto.

[msc hotline sat]

Hay tecnicas de Stealth o ocultamiento y otras de simple atributo. No sé el sistema operativo que usas, pero si dices que arrancas en solo simbolo de sistema, entiendo que quieres decir en modo seguro en solo simbolo de sistema si es XP, o bien con la opcion 5 del menu de inicio de W98, pues tanti de una como de otra manera, no debería cargarse el residente que lo podría ocultar, por lo que seguramente se le debe haber cambiado el atributo.



En este caso, lanzando desde C:\ un

DIR CWSHREDDER.EXE /A /S

debería visualizarse la ruta y dicho fichero, y con un ATTRIB -S -H -R sobre dicho fichero, poder cambiarle dicho atributo y hacerlo visible.



En cualquier caso, lo importante es ejecutarlo a ver si consigue eliminar el dichoso dialer.



Sino, Haga un copiar y pegar del resultado del HIJACKTHIS sobre un proximo post y miraremos de ver el residente virico que carga en el inicio, para tratar de eliminarlo.



· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



saludos



ms, 1-06-2004



.

[CDE]

tengo windows XP en todos los ordenadores mencionados.

(como dije antes).



no puedo descargarme el hijackthis, me da el mismo error que al descargar el cwshredder, me da un error cuando ya se ha descargado el 99% y me dice:



Error al copiar un archivo o carpeta: No se puede copiar archivo: No se puede leer del disco o archivo de origen.



Al intentar descargarlo con el flashget y intentar ejecutarlo tampoco funciona.



Y al hacer la busqueda del cwshredder desde el windows arrancado en modo normal (corriendo la aplicacion de simbolo de sistema), no lo encuentra, y iniciando desde modo solo simbolo de sistema imagino que tampoco lo encontrara, voi a ello y lo confirmo.