Que tal:
Reciban un saludo desde México. Mi problema es el siguiente:
En algún mes durante la segunda mitad del año 2006 abrí mi carpeta de mis documentos y ví sólo carpetas con el nombre 000000000
Lo primero que pense "virus". Pero mi antivirus (Norton 2003) no detecto nada. Después decidí reiniciar mi computadora y al encederla note que las carpetas contenidas en mis documentos aparecían de manera normal, así que abrí una de ellas y pues dentro de esta habían "n" cantidad de carpetas llamadas 000000000 , Yo tenían información importante así que copie las carpetas de mis documentos en una memoria usb, esperando poder encontrar la cura para este virus después. Posteriormente metí el disco de recuperación del sistema en la computadora y cargue todo de nuevo.
Aparentemente todo estaba bien, pero la maquina era lenta. Pasaron algunos meses y ocasionalmente me aparecía un mensaje de error que decía algo así ".....hace referencia a la aplicación 0000000....". Paso el tiempo y necesitaba con urgencia un archivo de la información del usb así que lo conecté a mi computadora y cuál fue mi sorpresa que podía accesar a toda la información y ni rastro de carpetas 000000000 . Copie sólo el archivo que necesitaba y le dí formatear al usb.
Después de eso no ví nada de carpetas 000000 en un buen rato. Y pues continue usando la memoria usb (con poca frecuecia pero si en otras computadoras) hasta que el martes 11 de enero copíe un archivo de mi computadora al usb y pegue la información en la computadora ("destino") y al abrir la carpeta, ahí estaban, "n" carpetas llamadas 00000000.
Así que en ese momento le dí formato a la memoria usb y volví a pasar información y ya no aparecieron las carpetas 0000000.
A pesar de que no encontre carpetas 000000 en mi maquina le dí formato hace dos ´dias. Pero ahora han aparecido mensajes como ".....hace referencia a la aplicación 0000000...." en otras computadotas en las que use el usb e incluso conecte en red con mi computadora. Ahora tengo el McAfee pero no detecta nada en ninguna de las maquinas.
Busque en internet y leí en una página que las carpetas 0000000 son creadas por troyanos y que estos genran los siguientes archivos:
c:\windows\rsvpsp.dll
c:\windows\system32\netshell.dll
c:\windows\system32\svchost.exe
y que creen que en tres computadoras(dos de las cuales están en red y la tercera recien formateada) aparecen estos archivos (en la ruta C:\WINDOWS\SYSTEM32)
¿cómo me quito estos virus ?¿porque mi antivirus no detecta nada(está actualizado)?
Por su atención gracias.
¡¡¡AYUDA!!!CARPETAS 000000000 (SOLUCIONADO)
Que onda, es bueno ver hermanos de Mexico.
Pruebate estas 2 herramientas en modo seguro, cuando termine el escaneo te creara un registro en Unidad C, con el nombre de infoSAT.txt lo copias y lo pegas aqui para ver que te elimino.
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Saludos.
Pruebate estas 2 herramientas en modo seguro, cuando termine el escaneo te creara un registro en Unidad C, con el nombre de infoSAT.txt lo copias y lo pegas aqui para ver que te elimino.
ELISTARA:
ELITRIIP:
Saludos.
[DJ eXploit]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sobre lo indicado de que puede ser un virus que crea fichero C:\windows\system32\svchost.exe
supongo que la informaicon la has sacado de:
http://www.vsantivirus.com/agent-nbt.htm
y creo que existe un error dado que en el mismo articulo indican que crea la clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
LocalSystem = "c:\windows\system\svchost.exe"
donde ejecuta el SVCHOST malware de c:\windows\system\ , no de system32, donde hay el SVCHOST.EXE del sistema, no vayas a borrarlo !!!
saludos
ms, 20-01-2007
supongo que la informaicon la has sacado de:
y creo que existe un error dado que en el mismo articulo indican que crea la clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
LocalSystem = "c:\windows\system\svchost.exe"
donde ejecuta el SVCHOST malware de c:\windows\system\ , no de system32, donde hay el SVCHOST.EXE del sistema, no vayas a borrarlo !!!
saludos
ms, 20-01-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
los resultados fueron los siguientes
Sat Jan 20 14:30:04 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Jan 20 14:32:07 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\Derios\Desktop\doc comaprtidos de red\Nueva carpeta\software\limewire\LIMEWIREWIN.EXE --> AutoExtraible
C:\Documents and Settings\Derios\My Documents\Nueva carpeta\software\limewire\LIMEWIREWIN.EXE --> AutoExtraible
C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\McAfee\SpamKiller\BORLNDMM.DLL --> Eliminado, DownLoader.SXS
C:\Program Files\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\Program Files\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\Program Files\palmOne\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)
C:\Program Files\Spyware Doctor\tools\SWPG.DAT --> Eliminado, DownLoader
y en la otra maquina fueron
Sat Jan 20 03:31:19 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\RUN.REG --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Jan 20 03:35:39 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Documents and Settings\All Users\Documentos\limewire\LIMEWIREWIN.EXE --> AutoExtraible
C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch (inf)
gracias.
Ah y no borré nada gracias por el consejo.
Pero y ahora, que significa todo eso?
Sat Jan 20 14:30:04 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Jan 20 14:32:07 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\Derios\Desktop\doc comaprtidos de red\Nueva carpeta\software\limewire\LIMEWIREWIN.EXE --> AutoExtraible
C:\Documents and Settings\Derios\My Documents\Nueva carpeta\software\limewire\LIMEWIREWIN.EXE --> AutoExtraible
C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Program Files\McAfee\SpamKiller\BORLNDMM.DLL --> Eliminado, DownLoader.SXS
C:\Program Files\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\Program Files\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\Program Files\palmOne\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)
C:\Program Files\Spyware Doctor\tools\SWPG.DAT --> Eliminado, DownLoader
y en la otra maquina fueron
Sat Jan 20 03:31:19 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\RUN.REG --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Jan 20 03:35:39 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Documents and Settings\All Users\Documentos\limewire\LIMEWIREWIN.EXE --> AutoExtraible
C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch (inf)
gracias.
Ah y no borré nada gracias por el consejo.
Pero y ahora, que significa todo eso?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues ya hemos eliminado unos cuantos malwares...
Ahora vea si persiste alguna anomalia y nos informa del resultado, gracias
saludos
ms, 21-01-2007
Ahora vea si persiste alguna anomalia y nos informa del resultado, gracias
saludos
ms, 21-01-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 24-01-2007
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 24-01-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online