Hoax.Renos (SOLUCIONADO)

[deus_ex]

Hola a todos, soy nuevo en el foro y les quería consultar sobre un problema que he tenido hace algún tiempo.



Me aparecen pop-ups de publicidad aunque eso es muy normal me he dado cuenta que me aparecen alertas sobre virus o spywares y me aconsejan que me vaya a comprar algunos antivirus.... despues en mi antivirus actual (Nod32, diganme si es bueno o no) me sale que tengo el hoax.Renos pero cada vez que me lo dice no me deja eliminarlo....



Asi que hice lo que vi en una guía por ahi para quitar un tipo de virus parecido. deshabilité la restauración de windows (XP) y escannee toda mi PC con el Nod32 en modo aprueba de fallos y me salieron dos archivos infectados:



C:\windows\system32\ld100.tmp -win32/trojan.downloader.2lob.pbtrojan



C:\windows\system32\regperf.exe -win32/trojan.downloader.2lob.pbtrojan



Los eliminé con el Nod32 pero sigue el mismo problema. Despues intenté quitar los spywares con el ad-aware professional se y quitó algunos pero nada importante.



Ya escanee mi PC como 4 veces y no se que hacer.... no se quitan esos avisos de que tengo virus o de que tengo un spyware llamado OHPE.... intentare ver que hago con eso antes de con el hoax.renos (Si es que es eso)



Si me pudieran dar un poco de ayuda lo agradecería mucho.

:D

[deus_ex]

vi que recomiendan unos programas para hacer un log pero quisiera que me explicaran como y para que usarlos ya que no los había escuchado nunca y al parecer me servirían para terminar con mi problema.

[msc hotline sat]

De entrada pruebe el ELISTARA, y si hiciera falta ya hablariamos del log de HJT, pero no inicialmnete





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y tras reiniciar, nos comenta el resultado, gracias



saludos



ms, 2-6-2006

[deus_ex]

Utilicé el Elistara y al parecer me ayudó mucho ya que la página principal del IE volvió a ser la de siempre. Antes de utilizar el Elistara puse el "ewido" para quitar algunos spywares por si acaso y desde ese momento ya no me salieron pop-ups. Despues de haber utilizado el Elistara se quitaron los avisos de Virus y todo lo demás. Muchas gracias. Aqui esta el bloc de notas que aparece como Info Sat (no se si es ese pero aqui lo pongo por si acaso).



Sat Jun 03 16:00:16 2006

EliStartPage v11.81 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DCOMCFG.EXE.Muestra EliStartPage v11.81

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DCOMCFG.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SIMPOLE.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\Documents and Settings\User\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Restaurado WinSock2 (LSPs) -> (NewDotNet)

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Carpeta "%WinSys%\1024"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jun 03 16:04:26 2006

EliStartPage v11.81 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ewido\security suite\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\Content\Tutorial\INDEX.HTM --> Eliminado, StartPage-DU (Pag.Ini)

C:\Archivos de programa\Matroska Pack\haali\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Macromedia\Flash 8\en\Configuration\HelpPanel\Help\ActionScriptLangRef\00001980.HTML --> Eliminado, StartPage-DU (Pag.Ini)

C:\Documents and Settings\All Users\Datos de programa\Macromedia\Flash 8\en\Configuration\HelpPanel\Help\ActionScriptLangRef\00002362.HTML --> Eliminado, StartPage-DU (Pag.Ini)

C:\Documents and Settings\All Users\Datos de programa\Macromedia\Flash 8\en\Configuration\HelpPanel\Help\ComponentRef\00003303.HTML --> Eliminado, StartPage-DU (Pag.Ini)

C:\Documents and Settings\All Users\Datos de programa\Macromedia\Flash 8\en\Configuration\HelpPanel\Help\UsingComponents\00003036.HTML --> Eliminado, StartPage-DU (Pag.Ini)

C:\Documents and Settings\User\Menú Inicio\Programas\Inicio\REBOOT.EXE --> Eliminado, Restart

C:\Documents and Settings\User\Mis documentos\Setup\ITUNESSETUP.EXE --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\User\Mis documentos\Setup\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\Setup\NAV061200SL.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\Setup\NV11ESD.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\Setup\WINAMP5094_FULL_EMUSIC-7PLUS.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-1202660629-436374069-854245398-1003\DC1706.EXE --> AutoExtraible

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



salió que eliminó 3 troyanos de mi PC.



Muchas gracias por la ayuda.

[msc hotline sat]

Pues nos sorprende que tras pasar el ewido aun quedara todo esto...



Pero creo que se ha pasado por alto que en el informe le pedimos que nos envie una muestra:



Por favor, envienos una muestra del fichero

C:\Muestras\DCOMCFG.EXE.Muestra EliStartPage v11.81

a "virus@satinfo.es". Gracias.



Envienosla para poder implementar su control en la poroxima version, aunque en su caso ya no esté operativa al haber movido el fichero a la carpeta C:\MUESTRAS y renombrado su extension.



Y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 4-6-2006