Hola, muchas gracias por adelantado si alguien me pudiese ayudar. Creo que me han colado por el e-mule un gusano, pero no estoy seguro.
Este es el segundo ordenador en el que me pasa por lo que creo que la fuente de infección es el disco duro externo que tengo y que creo que ya he limpiado.
En el ordenador me dió un problema con el svchost indicandome que no podia "read" la memoria y en otra ocasión que no podia "written" la memoria. Despues de esos dos errores no me ha vuelto a dar ninguno. Como fue lo mismo que me paso en el ordenador de sobremesa instale nuevo antivirus y lo pase, pero no detecta nada. El antivirus es el Trend Micro PC-cilin Internet Security 14. Pero si me da un aviso bastante a menudo que es el siguiente:
Protección en tiempo real
La protección en tiempo real ha detectado un virus, spyware u otro riesgo a la seguridad y ha ejecutado la acción especificada.
.
Acción realizada: Acceso denegado.
.
Nombre del incidente: C:\WINDOWS\SYSTEM32\PBESV2.DLL
Nombre de la detección: ADW_2020SEARCH.B
Nombre de usuario: RESTO
Nota: si la función Buscar y limpiar troyanos está activada y se ejecuta tras la exploración, haga clic en Siguiente para visualizar la acción final ejecutada.
He intentado solucionarlo con el ELITRIIP, pero despues de pasarlo el antivirus me sigue dando el aviso que antes he puesto por lo que creo no he solucionado el problema.
Si me podeis ayudar os lo agradecería mucho. Un Saludo
Problema con SVCHOST, PBESV2.dll. tengo gusano (SOLUCIONADO)
Antes que nada envie el fichero para su analisis.(puede ser que ya sea controlado, pero para estar seguros).
Fichero a enviar:
C:\WINDOWS\SYSTEM32\[b]PBESV2.DLL[/b]
Y pase ELISTARA en "modo seguro" y posteenos el log que se creara en Unidad C, con nombre de infoSAT.txt
Instrucciones de envio de ficheros:
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Fichero a enviar:
C:\WINDOWS\SYSTEM32\
Y pase ELISTARA en "modo seguro" y posteenos el log que se creara en Unidad C, con nombre de infoSAT.txt
Instrucciones de envio de ficheros:
[DJ eXploit]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Fichero certificado como malware:
http://www.castlecops.com/tk2835-PBESV2.html
Cuando recibamos la muestra implementaremos su control y eliminacion en el ELISTARA
saludos
ms, 10-01-2007
Cuando recibamos la muestra implementaremos su control y eliminacion en el ELISTARA
saludos
ms, 10-01-2007
Última edición por msc hotline sat el 12 Ene 2007, 14:13, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Se me indica que se ha recibido infosat por correo, el cual no debe enviarse sino postearse (copiar y pegar) como respuesta de este Tema, pero ademas no se ha recinbido el fichero pedido:
C:\WINDOWS\SYSTEM32\PBESV2.DLL
que es lo unico que estabamos esperando...
Sin la muestra nada que hacer
saludos
ms, 12-01-2007
C:\WINDOWS\SYSTEM32\PBESV2.DLL
que es lo unico que estabamos esperando...
Sin la muestra nada que hacer
saludos
ms, 12-01-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Mientras, posteanos el contenido de C:\INFOSAT.TXT, en tu siguiente post, como respuesta de este Tema, con un copiar y pegar, para que lo veamos en el foro...
(los log y txt del foro no se examinan en SATINFO, solo las muestras viricas
El lunes, cuando volvamos al trabajo, ya se procesará la muestra virica.
saludos
ms, 14-01-2007
(los log y txt del foro no se examinan en SATINFO, solo las muestras viricas
El lunes, cuando volvamos al trabajo, ya se procesará la muestra virica.
saludos
ms, 14-01-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Aqui os mando el InfoSat.txt. Siento no haberlo sabido postear antes.
Un saludo y gracias de nuevo.
Fri Jan 12 00:06:46 2007
EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE
Fri Jan 12 00:08:49 2007
EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\APPS\NERO\Nero 6.6.0.6\NERO6606.EXE --> Eliminado, Vundo (dropper)
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar
C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible
C:\DRIVERS\MCDBF\MMCDBF.EXE --> Eliminado, Spy.Delf (BHO)
C:\WINDOWS\system32\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)
Un saludo y gracias de nuevo.
Fri Jan 12 00:06:46 2007
EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE
Fri Jan 12 00:08:49 2007
EliStartPage v13.07 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\APPS\NERO\Nero 6.6.0.6\NERO6606.EXE --> Eliminado, Vundo (dropper)
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar
C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible
C:\DRIVERS\MCDBF\MMCDBF.EXE --> Eliminado, Spy.Delf (BHO)
C:\WINDOWS\system32\WEXTRACT.EXE --> Eliminado, Hack-MSN (dropper)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Al no ser la ultima version, hay falsos positivos conocidos, mira de bajas estas dos hoy y nos posteas de nuevo el infosat.txt, gracias:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
Mañana, cuando volvamos al trabajo, analizaremos la muestra en cuestion e informaremos
saludos
ms, 14-01-2007
ELITRIIP:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
Mañana, cuando volvamos al trabajo, analizaremos la muestra en cuestion e informaremos
saludos
ms, 14-01-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola de nuevo, me he bajado los programas desde los enlaces que me indicaste. Aqui os pongo los 2 informes generados:
Mon Jan 15 21:42:51 2007
EliStartPage v13.10 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PBESV2.DLL --> Eliminado
Eliminada Class, "{4E7BD74F-2B8D-469E-A0E8-EC69B685FA7D}" -> C:\WINDOWS\system32\pbesv2.dll
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Jan 15 21:48:30 2007
EliStartPage v13.10 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible
Mon Jan 15 21:54:41 2007
EliTriIP v3.05 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Despues he reiniciado el ordenador y ya no me ha salido el aviso del antivirus, asi que creo que por fin el archivo pbesv2.dll ha desparecido de mi ordenador.
Supongo que no habrá que hacer nada mas.
MUCHAS GRACIAS por vuestra ayuda, sois geniales.
Un Saludo
Mon Jan 15 21:42:51 2007
EliStartPage v13.10 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PBESV2.DLL --> Eliminado
Eliminada Class, "{4E7BD74F-2B8D-469E-A0E8-EC69B685FA7D}" -> C:\WINDOWS\system32\pbesv2.dll
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Jan 15 21:48:30 2007
EliStartPage v13.10 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible
Mon Jan 15 21:54:41 2007
EliTriIP v3.05 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Despues he reiniciado el ordenador y ya no me ha salido el aviso del antivirus, asi que creo que por fin el archivo pbesv2.dll ha desparecido de mi ordenador.
Supongo que no habrá que hacer nada mas.
MUCHAS GRACIAS por vuestra ayuda, sois geniales.
Un Saludo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Efectivamente, el ELITRIIP YA INDICÓ: Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\PBESV2.DLL --> Eliminado
Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 16-01-2007
C:\WINDOWS\SYSTEM32\PBESV2.DLL --> Eliminado
Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 16-01-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online