Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

ad-aware, a-squared, no lo quitan

27/01/2005 - 03:26 por o.q | Informe spam
Ayuda Hacer una pregunta
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito sin
problemas, tambien he probado con a-squared pero parece quetampoco hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro con el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos
email Siga el debateRespuesta 23 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#11 o.q
29/01/2005 - 11:19 | Informe spam
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo "iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser: "iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés) pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito sin
problemas, tambien he probado con a-squared pero parece quetampoco hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos














Respuesta Responder a este mensaje
#12 José Gallardo
29/01/2005 - 11:27 | Informe spam
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo "iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser: "iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés) pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito sin
problemas, tambien he probado con a-squared pero parece quetampoco hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos


















Respuesta Responder a este mensaje
#13 o.q
29/01/2005 - 20:05 | Informe spam
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo "iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés) pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos






















begin 666 hijackthis.log
M3&]G9FEL92!O9B!(:6IA8VM4:&ES('8Q+CDY+C -"E-C86X@<V%@
M,C Z,#(Z,S4L(&]N(#(Y+S Q+S(P,#4-"E!L871F;W)M.B!7:6YD;W=S(%A0
M(%-0,B ,2XR-C P*0T*35-));&]R
M97(@ÈN,# @4U R("@V+C P+C(Y,# N,C$X,"D-"@T*4G5N;FEN9R!P<F]C
M97-S97,Z#0I#.EQ724Y$3U7%-Y<W1E;3,R7'-M<W,N97AE#0I#.EQ724Y$
M3U7'-Y<W1E;3,R7'=I;FQO9V]N+F5X90T*0SI<5TE.1$]74UQS>7-T96TS
M,EQS97)V:6-E<RYE>&4-"D,Z7%=)3D1/5U-<<WES=&5M,S)<;'-A<W,N97AE
M#0I#.EQ724Y$3U7'-Y<W1E;3,R7'-V8VAO<W0N97AE#0I#.EQ724Y$3U=3
M7%-Y<W1E;3,R7'-V8VAO<W0N97AE#0I#.EQ724Y$3U7'-Y<W1E;3,R7'-P
M;V]L<W8N97AE#0I#.EQ724Y$3U7'-Y<W1E;3,R7&-A;&,N97AE#0I#.EQ!
M<F-H:79O<R!D92!P<F]G<F%M85Q,879A<V]F=%Q!9"U!=V%R92!312!097)S
M;VYA;%Q!9"U!=V%R92YE>&4-"D,Z7%=)3D1/5U-<17AP;&]R97(N15A%#0I#
M.EQ724Y$3U7'-Y<W1E;3,R7'=S8VYT9GDN97AE#0I#.EQ724Y$3U7'-Y
M<W1E;3,R7'-I<W1R87DN15A%#0I#.EQ!<F-H:79O<R!D92!P<F]G<F%M85Q*
M879A7&HR<F4Q+C0N,E\P,5QB:6Y<:G5S8VAE9"YE>&4-"D,Z7%=)3D1/5U-<
M<WES=&5M,S)<8W1F;6]N+F5X90T*0SI<07)C:&EV;W,@9&4@<')O9W)A;6%<
M365S<V5N9V5R7&US;7-G<RYE>&4-"D,Z7%=)3D1/5U-<<WES=&5M,S)<<G5N
M9&QL,S(N97AE#0I#.EQ!<F-H:79O<R!D92!P<F]G<F%M85Q7:6Y205)<5VEN
M4D%2+F5X90T*0SI<1$]#54U%?C%<;W-K87)<0T].1DE'?C%<5&5M<%Q287(D
,"XU.35<2&EJ86-K5&AI<RYE>&4-"@T*4C @+2!(2T-57%-O9G1W87)E
M7$UI8W)O<V]F=%Q);G1E<FYE="!%>'!L;W)E<EQ-86EN+%-T87)T(%!A9V4@
M/2!H='1P.B\O=W=W+F=O;V=L92YE<R\-"E(P("$M#55Q3;V9T=V%R95Q-
M:6-R;W-O9G1<26YT97);&]R97)<5&]O;&)A<BQ,:6YK<T9O;&1E
M<DYA;64@/2!6[6YC=6QO<PT*4C,@+2!$969A=6QT(%523%-E87)C:$AO;VL@
M:7,@;6ES<VEN9PT*3S$@+2!(;W-T,C N,38N,(&%U=&\N<V5A
M<F-H+FUS;BYC;VT-"D\Q("&]S=',Z(#8Y+C(P+C$V+C$X,R!S96%
M;F5T<V-A<&4N8V]M#0I/,2 M($AO<W1S.B V.2XR,"XQ-BXQ.#,@:65AqO
M<V5A<F-H#0I/-" M($A+3$U<+BY<4G5N.B!;3F5R;T-H96-K72!#.EQ724Y$
M3U7'-Y<W1E;3,R7$YE<F]#:&5C:RYE>&4-"D\T("$M,35PN+EQ2=6XZ
M(%M$=GA=($,Z7%=)3D1/5U-<<WES=&5M,S)<=W-X<W9C7'=S>'-V8RYE>&4-
M"D\T("$M,35PN+EQ2=6XZ(%M60F]U;F-E<05)#2$E6?C%<5D)O
M=6YC97)<5FER='5A;$)O=6YC97(N97AE#0I/-" M($A+3$U<+BY<4G5N.B!;
M4VE3(%1R87E=($,Z7%=)3D1/5U-<<WES=&5M,S)<<VES=')A>2Y%6$4-"D\T
M("$M,35PN+EQ2=6XZ(%M3:5,@2TAO;VME<5TE.1$]74UQS>7-T
M96TS,EQK:&]O:V5R+F5X90T*3S0@+2!(2TQ-7"XN7%)U;;DIA=F%5
M<&1A=&538VAE9%<07)C:&EV;W,@9&4@<')O9W)A;6%<2F%V85QJ,G)E
M,2XT+C)?,#%<8FEN7&IU<V-H960N97AE#0I/-" M($A+0U5<+BY<4G5N.B!;
M0U1&34].+<5TE.1$]74UQS>7-T96TS,EQC=&9M;VXN97AE#0I/
M-" M($A+0U5<+BY<4G5N.B!;35--4T72 B0SI<07)C:&EV;W,@9&4@<')O
M9W)A;6%<365S<V5N9V5R7&US;7-G<RYE>&4B("]B86-K9W)O=6YD#0I/." M
M($5X=')A(&-O;G1E>'0@;65N=2!I=&5M.B!%)GAP;W)T87(@82!-:6-R;W-O
@+2!R97,Z+R]#.EQ!4D-(259^,5Q-24-23U-^,EQ/1D9)0T4Q
M,5Q%6$-%3"Y%6$4O,S P, T*3SD@+2!%>'1R82!BqT;VXZ("AN;R!N86UE
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M=')A(&)U='1O;)E;F-I82 M('LY,C<X,$(R-2TQ.$-#+
M0CE"12TS0SE#-3]("<05)#2$E6?C%<34E#4D]3?C)<3T9&
M24-%,3%<4D5&245"05(N1$Q,#0I/.2 M($5X=')A(&)U='1O;<V5N
M9V5R("T@>T9"-48Q.3$P+48Q,3 M,3%D,BU"0CE%+3 P0S T1C<Y-38X,WT@
M+2!#.EQ!<F-H:79O<R!D92!P<F]G<F%M85Q-97-S96YG97)<;7-M<V=S+F5X
M90T*3SD@+2!%>'1R82 G5&]O;',G(&UE;G5I=&5M.B!7:6YD;W=S($UE<W-E
M;F=E<B M('M&0C5&,3DQ,"U&,3$P+3$Q9#(M0D(Y12TP,$,P-$8W.34V.#-]
M("<07)C:&EV;W,@9&4@<')O9W)A;6%<365S<V5N9V5R7&US;7-G<RYE
M>&4-"D\Q," M(%5N:VYO=!I;B!7:6YS;V-K($Q34#<=VEN
M9&]W<UQS>7-T96TS,EQA:VQS<"YD;&P-"D\Q," M(%5N:VYO=!I
M;B!7:6YS;V-K($Q34#<=VEN9&]W<UQS>7-T96TS,EQA:VQS<"YD;&P-
M"D\Q," M(%5N:VYO=!I;B!7:6YS;V-K($Q34#<=VEN9&]W
M<UQS>7-T96TS,EQA:VQS<"YD;&P-"D\Q," M(%5N:VYO=!I;B!7
M:6YS;V-K($Q34#<=VEN9&]W<UQS>7-T96TS,EQD;VQS<"YD;&P-"D\Q
M," M(%5N:VYO=!I;B!7:6YS;V-K($Q34#<=VEN9&]W<UQS
M>7-T96TS,EQD;VQS<"YD;&P-"D\Q," M(%5N:VYO=!I;B!7:6YS
M;V-K($Q34#<=VEN9&]W<UQS>7-T96TS,EQD;VQS<"YD;&P-"D\Q," M
M(%5N:VYO=!I;B!7:6YS;V-K($Q34#<=VEN9&]W<UQS>7-T
M96TS,EQD;VQS<"YD;&P-"D\Q," M(%5N:VYO=!I;B!7:6YS;V-K
M($Q34#<=VEN9&]W<UQS>7-T96TS,EQA:VQS<"YD;&P-"D\Q-B M($10
M1CH@>S$W-#DR,#(S+4,R,T$M-#4S12U!,#0P+4,W0S4X,$)"1C<P,'T@*%=I
M;F1O=W,@1V5NnN92!!9'9A;%L:61A=&EO;B!4;V]L*2 M(&AT
M=' Z+R]G;RYM:6-R;W-O9G0N8V]M+V9W;&EN:R\_;&EN:VED/3,T-S,X)F-L
M8VED/3!X-# Y#0I/,38@+2!$4$8Z('LY03DS,#=!,"TW1$$T+31$048M0C T
M,BTU,# Y1C(Y13 Y13%]("A!8W1Iõ38V%N($EN<W1A;&QE<B!#;&%S<RD@
M+2!H='1P.B\O=W=W+G!A;F1A<V]F='=A<F4N8V]M+V%C=&EV97-C86XO87,U
M+V%S:6YS="YC86(-"D\Q-B M($101CH@>SE%-D,W-#8Q+49%-$$M-#%!.2TY
M1#,U+3#1CE%-WT@*$%66$-O;G1R;<W,I("T@:'1T<#HO
M+W1H<F5A=&QEõL+G!C<V5C=7)I='ES:&EE;&0N8V]M+V-O;G1R;VPO879X
M;F5W+F1L; T*3S(S("þþC:6\@9&5L(&%D;6EN:7-T
M<F%D;W(@9&&ES8V]S(&SS9VEC;W,@+2!5;FMN;W=N("<5TE.1$]7
M4UQ3>7-T96TS,EQD;6%D;6EN+F5X90T*3S(S("þ:7-T
M<F\@9&4@<W5C97-O<R M(%5N:VYO=VX@+2!#.EQ724Y$3U7'-Y<W1E;3,R
M7'-E<G9I8V5S+F5X90T*3S(S("þþC:6\@0T]-(&1E
M(&=R86)A8VGS;B!D92!#1"!D92!)34%022 M(%5N:VYO=VX@+2!#.EQ724Y$
M3U7%-Y<W1E;3,R7&EM87!I+F5X90T*3S(S("þ<FET
M;W)I;R!R96UO=&\@8V]M<&%R=&ED;R!D92!.971-965T:6YG(";F]W
M;B M($,Z7%=)3D1/5U-<4WES=&5M,S)<;6YM<W)V8RYE>&4-"D\R,R M(%-E
M<G9I8V4Z(%!L=6<@86YD(%!L87D@+2!5;FMN;W=N("<5TE.1$]74UQS
M>7-T96TS,EQS97)V:6-E<RYE>&4-"D\R,R M(%-E<G9I8V4Z($%D;6EN:7-T
M<F%D;W(@9&4@<V5S:?-N(&1E($%YaA(&1E(&5S8W)I=&]R:6\@<F5M;W1O
M(";F]W;B M($,Z7%=)3D1/5U-<<WES=&5M,S)<<V5S<VUG<BYE>&4-
M"D\R,R M(%-E<G9I8V4Z(%1A<FIE=&$@:6YT96QI9V5N=&4@+2!5;FMN;W=N
M("<5TE.1$]74UQ3>7-T96TS,EQ30V%R9%-V<BYE>&4-"D\R,R M(%-E
M<G9I8V4Z(%)E9VES=')O<R!Y(&%L97)T87,@9&4@<F5N9&EM:65N=&\@+2!5
M;FMN;W=N("<5TE.1$]74UQS>7-T96TS,EQS;6QO9W-V8RYE>&4-"D\R
M,R M(%-E<G9I8V4Z(%1E;&YE=" M(%5N:VYO=VX@+2!#.EQ724Y$3U7%-Y
M<W1E;3,R7'1L;G1S=G(N97AE#0I/,C,@+2!397)V:6-E.B!);G-T86YTX6YE
M87,@9&4@=F]L=6UE;B M(%5N:VYO=VX@+2!#.EQ724Y$3U7%-Y<W1E;3,R
M7'9S<W9C+F5X90T*3S(S("þ<'1A9&]R(&1E(')E;F1I
M;6EE;G1O(&1E(%=-22 M(%5N:VYO=VX@+2!#.EQ724Y$3U7%-Y<W1E;3,R
67'¹6U<=VUI87!S<G8N97AE#0H-"@``
`
end
Respuesta Responder a este mensaje
#14 José Gallardo
29/01/2005 - 20:38 | Informe spam
Bien. Desconéctate de Internet (quitando el cable).
Arranca de nuevo HijackThis y marca solamente estas tres entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

y pincha luego sobre "fix checked".

Mira a ver si ahora puedes volver a hacer los de los regsvr32, etc.. Pasa el Ad-aware y mira a ver de qué se queja. Si sigue todo igual sigue con esto.

Ahora abre un archivo en blanco con el block de notas y guarda en él lo que hay entre las líneas (las líneas no se copian):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{6F77CAC7-1EBE-4B90-A091-514E315D58C5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
-
y guárdalo como "remove.reg" (ojo con la extensión). Tendrás que elegir "guardar como" "todos los archivos" y ponerle tú la extensión.
Doble click sobre el archivo de registro y acepta.
Ahora bájate de aquí:
http://www.downloads.subratam.org/KillBox.exe
Ejecútalo y marca
"Standard File Kill"
"End Explorer Shell While Killing file"
En la parte alta del programa copia íntegramente esto pero de uno en uno:

c:\system32\j40s0ed7eh0.dll
c:\system32\guard.tmp

Marca la X roja y al mensaje que aparezca contesta "yes" (te recuerdo, de uno en uno).





"o.q" escribió en el mensaje news:
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo "iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés) pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos























Respuesta Responder a este mensaje
#15 o.q
30/01/2005 - 13:13 | Informe spam
Bueno pues probe a desconcectarme de internet y pasar el Hijackthis, marco
las casillas y le doy como me comentabas fix cheked. Vuelvo a pasar el
ADaware y ya NO aparece el virus o lo que sea llamado "coolwebsearch" ,
aparecen dos entradas VX2, eso si en cuanto me conecto a internet vuelven a
aparecer.
Pruebo lo de REGSRV32 pero me dice lo mismo que hay un proceso en ejecucion.

Mi duda es como hacer lo que comentabas de la creacion de ese fichero,
¿podrias indicarme con mas precision que contenido debe tener?, haces
referencia a escribir SOLO lo que hay entre las lineas pero no te entiendo
lo que quieres decir, si tengo que ir al registro a las rutas que me
comentas y meter en el fichero el contenido ?.

saludos

"José Gallardo" escribió en el mensaje
news:
Bien. Desconéctate de Internet (quitando el cable).
Arranca de nuevo HijackThis y marca solamente estas tres entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

y pincha luego sobre "fix checked".

Mira a ver si ahora puedes volver a hacer los de los regsvr32, etc.. Pasa el
Ad-aware y mira a ver de qué se queja. Si sigue todo igual sigue con esto.

Ahora abre un archivo en blanco con el block de notas y guarda en él lo que
hay entre las líneas (las líneas no se copian):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\User Agent\Post Platform]
"{6F77CAC7-1EBE-4B90-A091-514E315D58C5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
-
y guárdalo como "remove.reg" (ojo con la extensión). Tendrás que elegir
"guardar como" "todos los archivos" y ponerle tú la extensión.
Doble click sobre el archivo de registro y acepta.
Ahora bájate de aquí:
http://www.downloads.subratam.org/KillBox.exe
Ejecútalo y marca
"Standard File Kill"
"End Explorer Shell While Killing file"
En la parte alta del programa copia íntegramente esto pero de uno en uno:

c:\system32\j40s0ed7eh0.dll
c:\system32\guard.tmp

Marca la X roja y al mensaje que aparezca contesta "yes" (te recuerdo, de
uno en uno).





"o.q" escribió en el mensaje
news:
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo
"iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés) pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta
el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito
sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos























Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida