ayuda con un virus!!!

ChemicalX #1 Sep '04

uso el avg 6.0 free edition y lo acabo de pasar pq me olia q tenia un virus y efectivamente, me ha encontrado 9, pero 2 de ellos no se pueden eliminar.
Uno es un archivo llamado dmjddmgi.exe del cual el avg me dice que contiene un troyano llamado psw.qukart.gen. El otro es un archivo llamado jjebjb32.dll q contiene el troyano backdoor.padodor.2.al.
Ambos en la carpeta system32 de windows.

Ademas uno de estos dos mantiene siempre, digamos, 2 internet explorer abiertos. No me aparecen en el escritorio ni nada, pero si abro el administrador de tareas de windows (q por cierto ahora a veces no se me abre, me sale el icono abajo a la derecha y si paso el raton por encima desaparece y punto) me aparecen ahi dos procesos llamados iexplore, y cada vez q finalizo uno se me abre otro.
Ademas al finalizar uno, por unos instantes aparece un proceso llamado pokebleh.exe. Borre dos archvos de nombre pokebleh y en vez de ese, salia por unos instantes un proceso llamado amber₁ o_O!
Ni q decir tiene q esos procesos consumen recursos y, por ejemplo, en el CS tengo unos bajones de FPS q flipas.

Tengo el WIN XP con el SP1. Uso Mozilla Firefox siempre, pero el otro dia use el explorer para algo (no fue visitar paginas porno xD) y creo q de ahi vino todo, pq tengo una barra nueva en el explorer e iconos raros en el escritorio...

Espero haberme explicado bien y que alguien pueda ayudarme, gracias d antemano!

DjMoRf3 #2 Sep '04

yo borre un archivo de system32 pq me paso un caso parecido al tuyo, y desde entonces no puedo usar iexplorer, estoy usando firefox. Lo siento pero lo unico que puedo decirte es que la proxima vez te pongas un firewall como tengo yo ahora, no se cuela nada.

ChemicalX #3 Sep '04

si tengo un firewall!!! el kerio, q se supone q es el mejor. Pero creo que cuando entro el virus lo tenia cerrado (estaba el icono pero cuando pase el raton por el desaparecio ¬¬)
y los archivos q nombro no puedo borrarlos manualmente tampoco :s

n1ce #4 Sep '04

eso es por que eres low.

ChemicalX #5 Sep '04

acabo de descubrir algo...

si inicio el internet explorer y trato de eliminar alguno de los procesos iexplore, me aparece en la parte superior del navegador una barra de herramientas vacio por cada intento de detenerlo... curioso

Ne0x #6 Sep '04

Puf tienes una buena montada, vamos poco a poco:

Abre el regedit (inicio > ejecutar > regedit.exe)

Entra en estas claves:

· HKEY_CLASSES_ROOT\CLSID
· HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

Y elimina estas entradas:

{79FB9088-19CE-715E-D900-216290C5B738}

Ahora vete a la clave:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad

Y elimina:

"Web Event Logger"="{79FB9088-19CE-715E-D900-216290C5B738}"

Por último busca esta entrada:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IE4

Y elimina este valor: "MGR"="grant-11-bbjkcocb"

Sal de el editor de registro, reinicia, y pásale otra vez el scan.

Vamos hablando. Un saludo y suerte

ChemicalX #7 Sep '04

gracias ne0x, he ido haciendo paso por paso lo que has dicho y te digo:

en vez del valor que tu indicas q deberia aparecer, me sale {79FEACFF-FFCE-815E-A900-316290B5B738} , no se si esto es relevante (ya que es un numero distinto pero coincide lo de web logger con las dos primeras claves) pero no me he atrevido a borrarlo. Lo borro igualmente?

Y en cuanto a lo de la clave IE4, pues no me sale lo que tu pones :S me sale solo una cosa q pone (predeterminado) reg_sz (valor no establecido) q es lo q pone en todas las claves del registro :S:S

Ne0x #8 Sep '04

He estado buscando, he encontrado esto, parece q te puede servir de ayuda:

"Editar el registro

Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Web Event Logger
En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\CLSID
Pinche en la carpeta "CLSID" y borre la siguiente entrada:

{79FEACFF-FFCE-815E-A900-316290B5B738}
En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
Pinche en la carpeta "Main" y borre en el panel de la derecha las siguientes entradas:

FormSuggest Passwords = Yes
FormSuggest PW Ask = Yes
Use FormSuggest = Yes
Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar)."[/i]

Pruébalo y ahora me cuentas.

Un saludo

ChemicalX #9 Sep '04

a ver, he borrado las dos primeras claves. pero en lo de internet explorer no me salian los valores q indicas.

he reiniciado y cuando he ido a la carpeta donde estaban ambos virus, al pasar el puntero sobre ellos me saltaba el avshield este diciendome q estaban infectados, pero he ido a borrarlos manualmente y he podido!!!! o_O! los he borrado los dos y ahora al pasar el virus scan me dice q no tengo virus jeje. Menos mal pq habia leido lo q hacian y era todo en plan "te registramos las claves y las mandamos a nuestros pcs"

Sin embargo lo de los 2 IEXPLORE en el administrador de tareas sigue igual, cada vez q kito uno vuelve a salir... eso si q es raro. Si pudiera desinstalar el puto explorer... ¬¬U!!!

Muchisimas gracias ne0x!!!! en serio !

Ne0x #10 Sep '04

Bueno, me alegro, al menos hemos conseguido eliminar los virus. Ahora ya, para pegar la limpieza total, te aconsejo q elimines todo el spyware q encuentres:

"Aquí os dejo el correspondiente link de Ad-aware Personal 6.0. Es completamente freeware (gratuito)

http://download.betanews.com/download/965718306/aaw6181.exe

El modo de utilización es muy sencillo,

Lo abrimos, y le clicamos a “Check for updates now” para q actualice las definiciones más recientes de spyware.

Una vez actualizado, clickamos en “Start” -> Perfom smart system-scan -> Next y dejamos que realice su búsqueda.

Cuando finalice, clickamos en Next y aparecerá una lista de todo el spyware encontrado, algo similar a esto:

http://usuarios.lycos.es/ne0x86/aware.JPG

Volvemos a clickar en Next, y eliminaremos todos los archivos seleccionados. Si nos diera error al borrar alguno, es por que ese archivo está siendo ejecutado en segundo plano, y en consecuencia no puede borrarse. Reiniciaremos, y volveremos a ejecutar el Ad-Aware."

Extraido de el FAQ de seguridad: http://www.media-vida.net/vertema.php?fid=17&tid=1828824755

Una vez hecho eso, tu PC habrá quedado como nuevo

Un saludote.

ChemicalX #11 Sep '04

jeje lo he vuelto a pasar por si acaso, despues de haberlo pasado hoy por lo menos 10 veces xD
y me ha encontrado una cosa!!! relacionado con el puto internet explorer COMO NO! menos mal q la ha borrado u_u

en fin gracias de nuevo y hasta luego q me piro a sobar jeje cu

asdasd #12 Sep '04

low

ChemicalX #13 Sep '04

Reabro el post pq he conseguido quitar los 2 procesos IEXPLORE y como se de gente que le pasa lo mismo pues supongo que les interesara saber como:

Simplemente con instalar un programa llamado Browser Hijack Recover 1.01 que encontre en www.mocosoft.com.

Tiene un boton(process manager) para ver todos los procesos que se estan llevando a cabo en el PC, y un boton llamado "Kill", pues bien, cuando "matas" el proceso IEXPLORE, ya no se reproduce!

Antes de eso, aunque no se si tendra que ver, en el boton de IE Add-Ons elimine toodo lo que salia en todas las pestañas, menos lo de Java, fuese Flash Get, DAP o spm.

Ya direis si funciona o no

n1ce #14 Sep '04

pues yo creo que low.

Usuarios habituales