Estoy un poco perdido... (solucionado)

[mikele]

Hola a todos!!



Vereís estoy un poco preocupado porque creo que tengo un virus y no se como

eliminarlo de mi sistema. Uso windows 98 SE.



Todo empezó hace unos dias, cuando al iniciar windows me dio un error de

explorer tipo: no se encontró la pag weodfhjalibniae.htm en windows/temp

(creo) compruebe que la pag es una direccion valida de internet. O algo asi.

En sucesivo inicios siempre me da el mismo error pero cambiando las letras

por otras aparentemente al azar. Pero podia utilizar todo lo del ordenador.



Tb me pasaba que se me "desmarcaba" la ventana que estuviese viendo (se

ponia gris) o se salia de la aplicacion si era a pantalla completa (tipo

mame, por ej) y , en general, el ordenador iba mas lento y de vez en cuando

"pensaba" sin venir a cuento. El otro dia estoy viendo un divx, y se bloquea

el ordenador. Al hacer Ctrl+Alt+Supr, veo una aplicacion que pone :

desconocido. Osea que me imagino que es un virus.



Me bajo el Norton 2004 (ya se que debia tenerlo instalado antes, pero en

fin) Y en el proceso de deteccion de virus me detecta siempre uno:

Backdoor.Trojan en el archivo Rundll32a.exe en windows/system32, y la

primera vez que lo hice, me lo detecto en un par de sitios mas. El caso es

que nunca me deja acabar la instalacion: se queda bloqueado, al rato de

estar buscando virus empieza a iniciar una descarga de internet, que la

primera vez la hizo a windows/temp, luego ya lo hago con el modem

desconectado, pero la ventana salta una y otra vez y me acaba dando error.



Esto es lo que me ha salido haciendo un scaneo online de virus, ¿alguna

sugerencia?





Gfoeii32.exe......... Win32.Webber infected...............

C:\WINDOWS\SYSTEM\



Omdgkd32.dll............ Win32.Webber.K infected...........

C:\WINDOWS\SYSTEM\



winzipv32.exe............ Win32.Ptakks.R2.C infected...........

C:\WINDOWS\SYSTEM\



hextremebpdn[1].exe............... VBS.ObjectDataHTA infected, no

cure............ C:\WINDOWS\Archivos temporales de

Internet\Content.IE5\N3P7B10W\



explorer[1].exe......... Win32.Webber infected...............

C:\WINDOWS\Archivos temporales de Internet\Content.IE5\I5S3KNEN\



CAYZ4XQZ.HTM.............. HTML.MHTMLRedir.exploit infected

..................C:\WINDOWS\Archivos temporales de

Internet\Content.IE5\55CIVZHT\



yello.freewebtools[1]............... HTML.MHTMLRedir.exploit

infected.............. C:\WINDOWS\Archivos temporales de

Internet\Content.IE5\VHVSH7JK\



En fin, que no se que hacer, estoy actuando un poco a ciegas y agradeceria

cualquier ayuda, para no tener que formatear, sobre los pasos a seguir, si

reconcoceis el virus por los sintomas...





Perdon por el rollo, pero no queria dejarme nada por si acaso, y perdon si

digo alguna burrada, es que no estoy muy puesto en la materia, GRACIAS por

adelantado

[msc hotline sat]

Pues evidentemente, arranque en modo de A PRUEBA DE FALLOS , a base de pulsar repetidamente F8 al arrancar el PC y escoger la opcion 3 de la pagina de inicio de Windows98, y lance el antivirus habiendo arrancado de esta manera.



Aparte, descargue e instale el Spybot, y lancelo tambien habiendo arrancado a prueva de fallos



Tras eliminar los virus y los bichos (adwares y spywares) volverá a la normalidad:



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



saludos



ms, 1-06-2004

[mikele]

Muchas gracias por tu pronta respuesta, msc. Me pongo a ello de inmediato.

[mikele]

Mmmm... que raro, no me deja entrar al modo a prueba de fallos... Pulso repetidamente F8, al ppio no me hace caso y despues pita el speaker interno cada vez que le doy a la tecla, ¿alguna solucion?

[msc hotline sat]

Sí, con Windows98 puedes hacerlo de otra formar.



Apaga el ordenador



Manten apretada la tecla CTRL y enciendelo, y sigue apretandola hasta que te aparezca el menu de inicio.



Luego, suelta la tecla y escoge la que quieras, que será la 3 para arranmcar en MODO A PRUEVA DE FALLOS



saludos



ms, 1-06-2004

[mikele]

Jo... Pos ni por esas... Tb he probado a hacerlo a traves del menu avanzado tras ejecutar msconfig, pero me reinicia en modo normal... Me estoy empezando a asustar...

[msc hotline sat]

Bueno, vamos a ver si te permite escoger arrancar A PRUEBA DE FALLOS al apagar reiniciando, Ya casi no me acuerdo del Windows98, pero sino se deja as-i, provocaremos que presente la pantalla del menu de inicio al arrancar, y listos.



saludos



ms, 1-06-2004

[mikele]

No se si te entiendo muy bien, te refieres a probar a mantener ctrl o pulsar f8, pero mientras se esta reiniciando (porque le doy a reiniciar en vez de apagar), no? Si es asi, tampoco he podido, me ignora y arranca normal... :(

[Gyga2009]

apaga el ordenador vien y daloe al F8 muy rapido asi seguro q no te ignora, yo tmpoco m aquerdo muy vien del 98 y no me acuerdo del comando en msDOS. si ni por estas vas forzalo a iniciar a prueva de fallos poniendo la resolucion de la pantalla al maximo (alguno no soportado) y con la opcion de reiniciar para aplicar los cambios creo que asi se puede forzar y mira de cambiar los refrescos de pantalla al minimo, windows no podra arrancar vien y se devera reiniciar a prueva de fallos. para cuando acaves elije la opcion el ultimo arrancado bueno conozido o algo asii sigue los consejos msc

[mikele]

Pos nada ya no se que hacer. Ni apagando bien, ni dandole a f8, ni ctrl, ni por el msconfig, ni probando la sugerencia de resolucion (me cambia en todas sin reiniciar, aunque se vea mal) Lo dicho estoy atado de pieses y manos...

Por cierto, y para aportar algun dato más, lo único que he podido instalar de seguridad es el Zone Alarm. Solo llleva unas horas instalado y me informa de casi 1500 intrusiones bloqueadas, de las cuales casi 50 de caracter grave... Eso no es muy normal, no?



Ayudadme, pofavó, q no quiero formatear...

[msc hotline sat]

En el fichero MSDOS.SYS, que está en el directorio principal de C:, seccion [OPTIONS] en el BootMenu=1, cuando arranques de nuevo te visualizará el Menu, donde podrás escoger la opcion 3 para arranmcar a prueba de fallos, pero si además quieres que te seleccione directamente dicha opcion, en BootMenuDefault pones =3 y será la predeterminada.



Cambialo con el EDIT y arrancarás como quieres.



saludos



ms, 2-06-2004

[Gyga2009]

si no te funciona prueva esto, (aunque es peligroso) apaga el ordenador mientras arranca (creo que casi todos lo hemos echo alguna vez y no ha pasado nada).

[msc hotline sat]

Major hacerlo a las buenas, que a las malas ya lo hacemos por error...



Con lo indicado del MSDOS:SYS, funcionaba cuando trabajabamos con Windows 98, esperemos que siga actualmente.



Sino, ya sabes...



saludos



ms, 2-06-2004

[mikele]

Amoavé (madre mia, esto solo pa poder entrar en modo a prueba de fallos... :oops: ):



Edito el archivo msdos.sys con el wordpad (asi... o lo hago de otra manera?). Efectivamente, al final del todo observo: BootMenu=0, lo cambio a 1 y guardo, reinicio y nada.



Edito otra vez y me fijo que esta debajo de una serie de xxxxx que una advertencia previa que me dice que no borre porque el archivo debe ser mayor de 1024 bits, no esta debajo de las otras opciones debajo de la seccion [OPTIONS], asi que lo paso al ultimo lugar de estos... reinicio y.... nada, normal, como siempre... :x



Me acabo de fijar que en MSDOS, mientras carga windows, pone un mensaje q dice: Searching for Boot record from IDE-0....OK. A q va a tener que ver con esto...?



Lo de apagar mientras inicia, me saldria el scandisk y luego igual, no? Explicamelo un poco mejor, plis. Y el caso es que alguna vez que he tenido que hacerlo creo recordar que he podido, no se porque ahora no puedo...



En fin, muchisimas gracias y perdon por la tabarra que os estoy dando, como veis no estoy muy puesto.... 1 Saludo!!!

[Gyga2009]

[quote="msc hotline sat"]En el fichero MSDOS.SYS, que está en el directorio principal de C:, seccion [OPTIONS] en el BootMenu=1, cuando arranques de nuevo te visualizará el Menu, donde podrás escoger la opcion 3 para arranmcar a prueba de fallos, pero si además quieres que te seleccione directamente dicha opcion, [color=red]en BootMenuDefault pones =3 y será la predeterminada[/color][/quote]

el color se lo he puesto yo pero wueno vasicamente es eso pones un tres con el notepad mismo, o si quieres le das al copiar de aki:





[Options]

BootMulti=3

[msc hotline sat]

No había visto un ordenador que se resistiera tanto!



Y recuerde que una vez pueda arrancar en modo A PRUEBA DE FALLOS, lance el antivirus en modo de eliminacion de virus y el SPYBOT para eliminar el resto de bichos, a ver si hacemos limpieza de una vez !



Vayanos informando de los resultados



saludos



ms, 2-06-2004

[mikele]

Pos ya casi hasta me da vergüenza, pero nada de nada. Parece que por mas que toque de ese archivo sigue iniciando en modo normal... Os copio y pego como lo tengo ahora mismo, por ver si es que he hecho algo mal:



[Paths]

WinDir=C:\WINDOWS

WinBootDir=C:\WINDOWS

HostWinBootDrv=C



[Options]

BootMenuDefault=3

BootWarn=1

BootKeys=0

BootMulti=3

BootGUI=1

DoubleBuffer=1

AutoScan=1

WinVer=4.10.2222

BootMenu=3



;

;The following lines are required for compatibility with other programs.

;Do not remove them (MSDOS.SYS needs to be >1024 bytes).

;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa

[mikele]

Por otro lado, a traves de usenet, alguien me ha aconsejado usar el f-prot en modo MSDOS, con un disco de arranque. os parece buena idea?

[msc hotline sat]

Dejalo tal como te he dicho:


[quote]
En el fichero MSDOS.SYS, que está en el directorio principal de C:, seccion [OPTIONS] en el BootMenu=1, cuando arranques de nuevo te visualizará el Menu, donde podrás escoger la opcion 3 para arranmcar a prueba de fallos, pero si además quieres que te seleccione directamente dicha opcion, en BootMenuDefault pones =3 y será la predeterminada.
[/quote]


de forma que te quede así:



[Paths]

WinDir=C:\WINDOWS

WinBootDir=C:\WINDOWS

HostWinBootDrv=C



[Options]

BootMenuDefault=3

BootWarn=1

BootKeys=0

BootMulti=1

BootGUI=1

DoubleBuffer=1

AutoScan=1

WinVer=4.10.2222

BootMenu=1





Evidentemente he cambiado el BootMulti que tenías igual a 3 porque entiendo que no es procedente, debiendo ser normalmente 1



saludos



ms, 2-06-2004

[mikele]

Nada, sigue iniciando normal. es como si el arranque lo cogiera de otro sitio. Q tal lo del F-Prot? A MSDOS si que puedo acceder...



1 saludo!!

[msc hotline sat]

No gracias, ningun antivirus de MSDOS te corregiría las claves de registro modificadas por los virus de WIN32 detectados, ni pòr los spywares.



Ya que es Windows09, con McAfee sí que se podría eliminar desde windows aunque estuviera en uso.



Pruebalo con tu antivirus, arrancando normalmente en Windows y desactivamdo el antivirus rfesidente, lanza el testeo de antivirus indicandole limpiar o eliminar, a ver si lo consigue.



Cada antivirus hace lo que puede, dentro de lo que le deja hacer Windows.



McAfee, aun con el fichero en uso, le das a limpiar y te borra el fichero gusano,. aunque dice que no puede por estar en uso, pero lo logra con Windows 98.



Pruebalo con el que uses.



Y luego lanza el SPYBOT, para lo cual ya te he dicho que desactivaras el antivirus residente



Y cuando puedas, ve pensando en cambiar este sistema operativo... que Microsoft ya lo ha abandonado, y resulta incompatible con aplicaciones USB, y ya pide el retiro, Además, que el tuyo se las trae !



saludos



ms, 2-06-2004

[mikele]

Bueno, ante todo, muchas gracias, MSC. Se agradece la ayuda cuando te ves en situaciones de estas...



He pasado el McAfee y me ha encontrado los 3 archivos infectados que no pudo borrar la pagina de scaneo online (se me olvido comentar eso) Aparentemente si que ha podido con ellos, luego pase el spybot. Puedo considerar al equipo desinfectado? Es que, por ejemplo, un programa que usaba mucho y que dejop de hacerlo y yo se lo achacaba al virus, sigue sin funcionar bien. Y el Zone Alarm me da (en poco mas de media hora de haberlo encendido) ciento y pico intrusiones (5 graves).



De todas formas, tienes razon, y ya antes pensaba hacerlo (lo de actualizar), pero es que ahora mismo no puedo por temas economicos, y hasta que pueda, queria tirar con la maxima seguridad y funcionalidad, veremos si se puede....



Un agradecido saludo!!!

[msc hotline sat]

So tienes instalado McAfee actualizado, ya tienes control de los virus que te puedan entrar o haber entrado, y entre el cortafuegos y el SPYBOT podrás ir tirando, como la inmensa mayotía de usuarios.



Los intentos de intrusion son posibles ataques víricos, o intentos de intrusion de hackers.



Como que usas Windows98, por el NetBios, ports 137, 138 y 139 son los mas usados para intentar colarte gusanos, especialmente si usas recursos compartidos.



Mantén el antivirus residente y bien actualizado, y de vez en cuando, lanza el SPYBOT actualizado, y no bajes la guardia.



Si alguna vez detectas un virus, indicanos cual y recueerdanos que usas Windows98, para aconsejarte adecuadamente





Como sea que este Tema ya se ha solucionado, lo cierro.





saludos



ms, 3-06-2004