Como quitar el back/hacdef.g ?

[franklt69]

Hola tengo el virus bck/hacdef.g y quizás le sea de ayuda saber q en mi caso le digo q no he encontrado manera de poder quitar este virus de mi ordenador, yo he seguido el forum de Uds., muy bueno por cierto y no veo ninguna utilidad que quite el virus del ordenador, hacen referencia a Northon, Panda ect, le digo q yo tengo Panda actualizado y lo mas que me hace este es q cuando me conecto a Internet o reinicio el pc y hago alguna búsqueda en el directorio C:\Windows por hxdefdrv.sys el panda me detecta el virus y me desinfecta y lo elimina, pero cuando reinicio el ordenador de nuevo aparece el fichero hxdefdrv.sys e infestado, yo he escaneado en modo seguro, he hecho lo que recomienda el sitio web de Panda, (http://www.pandasoftware.es/virus_info/ buscar por virus hacdef.g) y nada sigue el virus, también he creado los discos de emergencia de panda y nada en fin, ya tienen manera de solucionar el problema? si es asi me pueden dar una pista ok.



Muchas gracias por su atención en espera de su respuesta

Frank

[maura63]

Consulta este link



https://foros.zonavirus.com/viewtopic.php?t=607&postdays=0&postorder=asc&start=15





Saludos

maura63

[msc hotline sat]

Como informamos en el link que sugiere Maura63, ni McAfee ni nosotros tenemos muestra de este bicho.



Para poder ofrecer al foro una utilidad de eliminacion, necesitamos miestras de los ficheros que el antivirus les detecte infectados.



Rogamos las envien a zonavirus@satinfo.es anexandolas a un mail cuyo texto sea un copiar y pegar de este post



saludos



ms, 29-06-2004

[franklt69]

Espero q les sea de utilidad, hasta donde he leido en este forums no veo una solucion clara para eliminar el hacdef.g



gracias por su ayuda

Frank

[msc hotline sat]

Lamentablemente nos ha llegado solo el fichero .SYS, no el .EXE que necesitamos para poder realizar una utilidad eliminadora, tal como ya indicamos anteriormente, en el otro Tema en el que tampoco pudieron enviarnos la muestra.



Entendemos que utiliza metodos de ocultamiento que difi¡icultan el poder hacerlo.



Por ello, visto que en la anterior ocasion se solucionó según nos indicó el usuario, arranque en modo seguro con funciones de red, y lance el siguiente antivirus ONLINE, que detectará y podrá eliminar fichp virus:





Antivirus On-line:



http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym





saludos



ms, 30-06-2004

[franklt69]

Hola yo tengo windows xp profesional, en modo normal tengo mi modem con las conexiones respectivas para conectarme a internet, cuando inicio el ordenador en modo seguro con funciones de red no tengo ninguna conexion y el modem no esta reconocido es eso normal o puede ser parte del las trastadas del virus hacdef.g, puede darme alguna idea como enviarle el .exe q necesitan para hacer la utilidad que solucione este problema, pq el panda puede encontrar este virus dice q lo desinfesta y cuando reinicia estamos en las misma es tipico esto en los anti-virus?



gracias

Frank

[msc hotline sat]

No, arrancando en modo seguro los antivirus pueden eliminarlos, pero este hacker defender tiene tecnicas de defensa del hacker, segun indican las descripciones de varios antivirus.



Nosotros necesitamos la muestra para poder hacer la utilidad, aparte de que la enviemos a McAfee, como todas, para el control con dicho antivirus.



Si tienes el EXE infectado, que es el que necesitamos, muevelo a un disquete, si conviene desactivando el antivirus, y luego, nos lo envias a zonavirus@satinfo.es ifualmente desactivando el antivirus para ello, anexandolo a un mail cuyo texto sea un copiar y pegar de este post.



De todas formas yuvimos otro Tema, que se indica en los post anteriores, que pudi con el antivirus que ofreciamos ONLINE, eliminar el virus, lo cual, tras enviarnos la muestra, podrías intentar hacer.



saludos



ms, 1-07-2004

[franklt69]

Por favor, no entendi bien, para precisar, si yo entro en modo normal en windows y paso el scan online que me envio debo de resolver el problema?



no importa q el panda este activo?



al parecer el virus se oculta bien pq el panda solo me detecta el fichero q el envie es decir hxdefdrv.sys, no tengo ningun exe infestado segun panda, solo ese file.



gracias

Frank

[msc hotline sat]

No, para eliminarlo con el antivirus ONLINE debe arrancar en modo seguro, con funciones de red y acceder al link que le indiqué.



Si tiene su antivirus activo es que no arrancó en este modo, y así no hará nada.



Y vea la descripcion del Hacdef en otros Temas de este foro, donde se indicaba que el EXE que se ocultaba era la madre del cordero.



saludos



ms, 1-07-2004

[franklt69]

Ok, ya me queda claro que debo entrar en modo seguro con funciones de red y hacer el scan online para quitar este virus, pero mi duda es la siguiente es normal q en modo seguro con funciones de red no me parezca el modem entre los hardware reconocido por windows asi como tampoco aparezcan las conexiones a internete, debo de agregar hardware para q windows me detecte el modem y crear la conexion a internet?



gracias nuevamente, muy buen soporte tiene este forum



Frank

[msc hotline sat]

Si tu sistema de conexion no es cable-modem ADSL o RDSI; y precisas cargar los drivers del modem para conectarte, no podrás hacerlo de este modo.



Mira de conectar ti ordenador en casa de algun amigo que lo tenga asi, pues sino, necesitarás los programas antivirus instalados, y los que han indicado lo eliminan, no son gratis.



De todas formas, si es el caso, podróas probar de bajarte el AVG y probar con él:



Publicado: Lun May 17, 2004 2:24 pm Asunto: Programas y enlaces de interes contra virus y spywares



--------------------------------------------------------------------------------



Toda la información ha sido obtenida del foro de zonavirus y sus foreros, filtrando los datos para que sea mas fácil encontrar la documentación útil





Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



· Panda Software

http://www.pandasoftware.es/activescan/es/activescan_principal.htm



· Symantec

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym



*************************************************************



Escaneadores de seguridad On-Line:



· Symantec

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym



*************************************************************



Antivirus GRATIS:



· Grisoft (AVG)

Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa

http://www.grisoft.com/us/us_dwnl_free.php



· Tutorial sobre el AVG

http://bravo.c5.cl/~telecom/2003/modules/Talleres_ABP/Manuales/Nivel_I/procedimientos/avg.pdf

· Tutorial sobre el AVG desde zonavirus.com

http://www.zonavirus.com/descargas/avg.pdf



__________________________________________



Para leer ficheros PDF, necesitas tener AcrobatReader instalado, freeware (GRATIS):

http://www.adobe.es/products/acrobat/readstep2.html





saludos



ms, 1-07-2004

[franklt69]

ok, yo nada mas tengo medio de conectarme a ineternet usando acceso telefonico, al parecer no segun me dices no es posible usar este medio para conectarme en modo seguro con funciones de red?, por otra parte que antivirus q no se gratis con seguridad me elimina este virus, pq yo tengo Panda registrado y actualizado y como le comente no me lo quita, ahora le pase el scan online q me recomendo y me detecto el virus pero en un momento reiniciare el pc y le dire si me hace lo mismo que el panda, q dice q lo desinfesta pero despues aparece de nuevo



gracias

Frank

[franklt69]

Lo mismo me ha pasado con el scan online q me dio y el panda me detectan el virus pero cuando reinicio esta ahi, no puedo conectarme en modo seguro con funciones de red, en modo seguro el panda me lo detecta pero cuando reinicio de nuevo esta ahi, le pase disco de emergencias del panda y nada, puede darme alguna pista q hacer en mi caso.



gracias Frank

[maura63]

Como dice Msc, si no tienes conexion ADSL o RDSI no podras arrancar en modo seguro con funciones de red.



Prueba como se te dijo de utilizar el AVG, descargas y actualizas. Pasalo en modo seguro o a prueba de fallos desactiando restaurar sistema.



Antivirus GRATIS:



· Grisoft (AVG)

Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa

http://www.grisoft.com/us/us_dwnl_free.php



· Tutorial sobre el AVG

http://bravo.c5.cl/~telecom/2003/modules/Talleres_ABP/Manuales/Nivel_I/procedimientos/avg.pdf

· Tutorial sobre el AVG desde zonavirus.com

http://www.zonavirus.com/descargas/avg.pdf





Saludos

maura63

[franklt69]

OK ya me baje el AVG anti-virus y en modo normal me ha encontrado varios virus trojan horse downloader.Esepor.AC, Downloadr.small.7.x y bck/hacdef.c el me lo encuentra como .c y panda como .g, el problema es q no encuentro manera de correr este antivirus en modo seguro, pueden darme alguna idea yo entro en modo seguro y corro "C:\Archivos de programa\Grisoft\AVG6\avgw.exe" ese exe y no corre nada, algo me falta por favor?



gracias

Frank

[franklt69]

Bueno AVG me saca el siguiente mensaje



AVG Resident Shield:



Virus Trojan horse BackDorr.HacDef.C is found in file c\windows\hxdefdrv.sys



to remove this virus, please run AVG for windows





yo corro desde el menu AVG for windows y me sale el mismo mensaje q hacer, todo esto es en modo normal pq desde modo seguro no lo he logrado correr.



Gracias

Frank

[maura63]

Descativas restaurar sistema antes de intentar pasarlo en modo a prueba de fallos???



En modo a prueba de fallos busca este archivo e intenta eliminarlo.

c\windows\hxdefdrv.sys





Saludos

maura63

[franklt69]

bueno decididamente no encuentro manera de quitar este virus del ordenador, AVG lo detecta pero tampo lo elimina, panda lo mismo en fin necesito alghun otro consejo, por favor, el hecho de borrar el fichero no soluciona y aq cuando reinicio el fichero es creado nuevamente, algun otro consejo sera bienvenido



gracias

Frank

[cañera]

lo has intentado hacer en a modo seguro desactivando restaurar sistema?

inicio/mi pc,clicas con botón derecho,propiedades/restaurar sistema,lo desactivas,aceptas.apagas el pc,lo enciendes y pulsas repetidas veces F8,en el menu que te aparece escoges la opcion modo seguro y le pasas el antivirus cuando termine,mira si te eliminó el archivo que te detectaba el antivirus,si no eliminalo manual.

cuentanos como te fue.

[franklt69]

gracias por su consejo, pero ya esa prueba la he hecho, es decir con la opcion restaurar el sistema entro en modo seguro y tanto el panda como el AVG me detectan el virus dicen q lo desinfesta, y eliminan el fichero pero cuando regresas a modo normal de nuevo esta el virus, no he podido hacer un scan de los sitios de panda o symatec en modo seguro con funciones de red pq tengo una conexion de acceso telefonico y esas opciones no se me habilitan en modo seguro con funciones de red.



gracias y en espera de un consejo salvador.



Frank

[maura63]

Extraido de otro foro, [color=red]ojo tocamos el registro, si no somos expertos puede ser peor el remedio que la enfermedad.[/color]



Para remover esta aplicacion:

-Reinicia la PC en modo a prueba de fallos



-Abre RegEdit y borra las claves:

1)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Network Service"="C:\\WINNT\\svhost.exe -sr -1"



2)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Network Service"="C:\\WINNT\\svhost.exe -sr -1"



-Borra estos archivos de C:\Winnt\

.23052004.exe

.hxdefdrv.sys

.sezzbc.ig2

.vzcdaq.2nh



- En RegEdit, busca y edita toda clave que contenga ".outhost.", dejando en blanco su contenido



leaving them blank. Por ejemplo, el contenido de la clave Default_Page_URL dice



"http://ykkgcg.outhost.info/".

Da click con el boton derecho, selecciona Modificar, borra el texto, selecciona Aceptar.

Por favor, nota que debes buscar ".outhost." He notado que la primera parte de la cadena



("ykkgcg") es variable.



-Edita el archivo host, borrando todo y dejando solo esta linea:

127.0.0.1 localhost



-Reinicia Windows en modo normal. Todo debe estar bien ahora.





Saludos

maura63





PD. Puede que algunos archivos esten ocultos, para ello



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.



Saludos

maura63