Antes de nada, gracias a este foro por resolver los diferentes problemas sobre virus que desgraciadamente nos llegan a todos.
Mi problema es el siguiente: tras actualizarse el mcaffe a través de internet, me detectó un troyano, desgraciadamente no recuerdo el nombre, pero sí donde estaba alojado jladmd, tras lo cual el mcaffe me aconsejó q reiniciara mi ordenador para así poder eliminar perfectamente el troyano (o virus). También deciros q este programa jladmd.exe, al apagar el ordenador no respondía y tenía q finalizar tarea siempre.
Al reiniciar el ordenador, cual es mi sorpresa que se comporta de igual manera o forma, que un virus anterior, el llamado SirCam. Su funcionamiento es el siguiente: al intentar ejecutar cualquier programa me sale una ventana q me dice "que windows no puede encontrar el archivo .exe, asegurese de que la ruta y el nombre esten escritos correctamente ....." Intentando eliminarlo en el regedit, con lo cual he tenido q reiniciar el equipo a prueba de fallos, ya que este no me dejaba ejecutarlo, o incluso renombrando en el regedit para poder acceder q es una segunda opción. Pero sigo sin eliminarlo, he buscado en el google pero no dice nada de este virus.
Si alguien conociese la forma de eliminarlo me gustaría q me lo comentasen, ya q no encuentro forma humana, como he dicho con anteridad su forma de actuar es muy parecido al SirCam, espero haberme explicado más o menos bien, y pido disculpas por adelantado si este tema esta repetido.
Gracias.
"jladmd", ¿como eliminarlo? ¿qué puede ser?
Para eliminar troyanos pasa el antivirus en modo a prueba de fallos. No olvides desactivar restaurar sistema si usas XP ó ME.
Saludos
maura63
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)
ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA
MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICIKN DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEdIT POR SI ESTUVIERA RESTRINGIDA
SU EDICION.
http://www.zonavirus.com/programas/restaurar_registro/EliRestr.vbs
Saludos
maura63
ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA
MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICIKN DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEdIT POR SI ESTUVIERA RESTRINGIDA
SU EDICION.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Efectivamente, el Torvil, el Colevo, el Swen, el Protoride etc, onterceptan la ejecucion de EXES y demás exigiendo la ejecucion del gusano antes de cada uno de ellos, y ello lo instalan en una cleva de registro, en el cual tambien ponen otra clave deshabilitando la edicion de registro, con lo cuyal fastidian bastante ya que, eliminado el gusano, el ordenador queda frito, no pudiendo ejecutar casi nada y tampoco editar el registro.
Para poder entrar em el registro sin emplear el REGEDIT y no utilizar EXES, desarrollamos la utilidad ELIRESTR.VBS, que muy acertadamente porpone Maura63, con la que se corrigen las claves de registro y se devuelve la normalidad al ordenador
Tras ejecutarlo, dinos como te ha ido.
saludos
ms, 10-06-2004
Para poder entrar em el registro sin emplear el REGEDIT y no utilizar EXES, desarrollamos la utilidad ELIRESTR.VBS, que muy acertadamente porpone Maura63, con la que se corrigen las claves de registro y se devuelve la normalidad al ordenador
Tras ejecutarlo, dinos como te ha ido.
saludos
ms, 10-06-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Efectivamente la entrada en la entrada al registro ahora no existe ningún problema, es totalmente efectivo, todavía siguen desactivadas las .exes, para los demás programas. Por lo tanto el problema persiste, ahora bien puedo dar algunos datos q son de interés.
Com he dicho con anteridad el troyano o virus, se asemeja en su forma de actuar al SirCam, es decir anula todas las .exe, pero el problema radica q mientras q el SirCam es totalmente indentificable en el regedit y por lo tanto es fácil de localizar. Tan solo he podido localizar el susodicho archivo en el regedit en: HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND "jladmd" %1%*,
y al buscar el archivo en c:\ se alojaba en WINDOWS\PREFETCH jladmd.es-obco6fc7.pf, ¿q indica la extensión .pf?
Por lo tanto, no he encontrado nada mas q tenga relación con el archivo, ni en software, y tampoco en windows por lo q sigo totalmente perdido.
Gracias.
Com he dicho con anteridad el troyano o virus, se asemeja en su forma de actuar al SirCam, es decir anula todas las .exe, pero el problema radica q mientras q el SirCam es totalmente indentificable en el regedit y por lo tanto es fácil de localizar. Tan solo he podido localizar el susodicho archivo en el regedit en: HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND "jladmd" %1%*,
y al buscar el archivo en c:\ se alojaba en WINDOWS\PREFETCH jladmd.es-obco6fc7.pf, ¿q indica la extensión .pf?
Por lo tanto, no he encontrado nada mas q tenga relación con el archivo, ni en software, y tampoco en windows por lo q sigo totalmente perdido.
Gracias.
Una vez ejecutada la utilidad,
Puedes desactivar restaurar sistema y en modo seguro pasar el antivirus?????? Pregunto
Saludos
maura63
Puedes desactivar restaurar sistema y en modo seguro pasar el antivirus?????? Pregunto
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sí, el Surcam fue el primero, pero solo afectaba EXEFILES, mientras que los demás ya tocan las demás extensiones.
Habrña sido cualquiera de los que le indiqué en mi anterior post, pero su antivirus se lo cepilló sin restaurar registro, y así se quedí frito
Con la ejecucion del ELIRESTR.VBS, tambien los EXE deben quedar normalizados
Y otra vez fijese en el virus que elimina, pues puede es importante para poder darle ayuda al respecto posteriormente,
El .pf del PREFETCH es una copia enriptada que no nos sirve.
Por el nombre aleatorio de gusano pudo ser el SWEN, que aparte de llegar por mail se propagaba por P2P.
Vea caracteristicas en:
http://www.vsantivirus.com/swen-a.htm
saludos
ms, 10-06-2004
Habrña sido cualquiera de los que le indiqué en mi anterior post, pero su antivirus se lo cepilló sin restaurar registro, y así se quedí frito
Con la ejecucion del ELIRESTR.VBS, tambien los EXE deben quedar normalizados
Y otra vez fijese en el virus que elimina, pues puede es importante para poder darle ayuda al respecto posteriormente,
El .pf del PREFETCH es una copia enriptada que no nos sirve.
Por el nombre aleatorio de gusano pudo ser el SWEN, que aparte de llegar por mail se propagaba por P2P.
Vea caracteristicas en:
saludos
ms, 10-06-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A ver, el RUNDLL32.EXE no tiene nada que ver con estos virus, sino que es el ejecutador de funciones de las librerías de windows, que puede estar dañado, o simplemente hay alguna clave en el registro que quiere ejecutar una de ellas que por ser virica el antivirus haya borrado.
Y entonces lo procedente es eliminar la clave de registro que llama a dicha librería inexistente
Esto pàsa mucho con troyanos y spywares, recordemos el MSA32CHK.DLL que al eliminarlos los amtispywares sin restaurar la calve del registro, daba error al no encontrarla.
Un poco parecido a las claves modificadas de EXEFILE y demás, pero sin tener nada que ver.
Diganos exactamente el mensaje de ERROR y si no estoy yo, que ya me voy, Maura63 u otro forero le ayudará al respecto.
Y si no, mañana sigo, si Dios quiere.
saludos
ms, 10-06-2004
Y entonces lo procedente es eliminar la clave de registro que llama a dicha librería inexistente
Esto pàsa mucho con troyanos y spywares, recordemos el MSA32CHK.DLL que al eliminarlos los amtispywares sin restaurar la calve del registro, daba error al no encontrarla.
Un poco parecido a las claves modificadas de EXEFILE y demás, pero sin tener nada que ver.
Diganos exactamente el mensaje de ERROR y si no estoy yo, que ya me voy, Maura63 u otro forero le ayudará al respecto.
Y si no, mañana sigo, si Dios quiere.
saludos
ms, 10-06-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online