Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

ad-aware, a-squared, no lo quitan

27/01/2005 - 03:26 por o.q | Informe spam
Ayuda Hacer una pregunta
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito sin
problemas, tambien he probado con a-squared pero parece quetampoco hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro con el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos
email Siga el debateRespuesta 23 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#16 José Gallardo
30/01/2005 - 13:52 | Informe spam
Sólo tienes que hacer lo siguiente: selecciona con el ratón desde "Windows Registry..." hasta "... =-" Lo copias y lo guardas en un documento vacío del bloc de notas (que puedes crearlo con el botón derecho del ratón. Luego, le das a Archivo>Guardar como y en "Tipo" selecciona "Todos los archivos". Ahora en la la casilla "Nombre" escribe "remove.reg" y lo guardas en el escritorio. Te aparecerá el archivo "remove.reg" con el icono típico de los archivos de registro. Luego sigue los pasos que te indiqué.

"o.q" escribió en el mensaje news:
Bueno pues probe a desconcectarme de internet y pasar el Hijackthis, marco
las casillas y le doy como me comentabas fix cheked. Vuelvo a pasar el
ADaware y ya NO aparece el virus o lo que sea llamado "coolwebsearch" ,
aparecen dos entradas VX2, eso si en cuanto me conecto a internet vuelven a
aparecer.
Pruebo lo de REGSRV32 pero me dice lo mismo que hay un proceso en ejecucion.

Mi duda es como hacer lo que comentabas de la creacion de ese fichero,
¿podrias indicarme con mas precision que contenido debe tener?, haces
referencia a escribir SOLO lo que hay entre las lineas pero no te entiendo
lo que quieres decir, si tengo que ir al registro a las rutas que me
comentas y meter en el fichero el contenido ?.

saludos

"José Gallardo" escribió en el mensaje
news:
Bien. Desconéctate de Internet (quitando el cable).
Arranca de nuevo HijackThis y marca solamente estas tres entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

y pincha luego sobre "fix checked".

Mira a ver si ahora puedes volver a hacer los de los regsvr32, etc.. Pasa el
Ad-aware y mira a ver de qué se queja. Si sigue todo igual sigue con esto.

Ahora abre un archivo en blanco con el block de notas y guarda en él lo que
hay entre las líneas (las líneas no se copian):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\User Agent\Post Platform]
"{6F77CAC7-1EBE-4B90-A091-514E315D58C5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
-
y guárdalo como "remove.reg" (ojo con la extensión). Tendrás que elegir
"guardar como" "todos los archivos" y ponerle tú la extensión.
Doble click sobre el archivo de registro y acepta.
Ahora bájate de aquí:
http://www.downloads.subratam.org/KillBox.exe
Ejecútalo y marca
"Standard File Kill"
"End Explorer Shell While Killing file"
En la parte alta del programa copia íntegramente esto pero de uno en uno:

c:\system32\j40s0ed7eh0.dll
c:\system32\guard.tmp

Marca la X roja y al mensaje que aparezca contesta "yes" (te recuerdo, de
uno en uno).





"o.q" escribió en el mensaje
news:
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo
"iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés) pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta
el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito
sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos



























Respuesta Responder a este mensaje
#17 José Gallardo
30/01/2005 - 15:07 | Informe spam
Si a pesar de eso no funciona, bájate de aquí:
http://www.lavasoft.de/software/plu...aner.shtml
el "VX2 Cleaner".

"José Gallardo" escribió en el mensaje news:%
Sólo tienes que hacer lo siguiente: selecciona con el ratón desde "Windows Registry..." hasta "... =-" Lo copias y lo guardas en un documento vacío del bloc de notas (que puedes crearlo con el botón derecho del ratón. Luego, le das a Archivo>Guardar como y en "Tipo" selecciona "Todos los archivos". Ahora en la la casilla "Nombre" escribe "remove.reg" y lo guardas en el escritorio. Te aparecerá el archivo "remove.reg" con el icono típico de los archivos de registro. Luego sigue los pasos que te indiqué.

"o.q" escribió en el mensaje news:
Bueno pues probe a desconcectarme de internet y pasar el Hijackthis, marco
las casillas y le doy como me comentabas fix cheked. Vuelvo a pasar el
ADaware y ya NO aparece el virus o lo que sea llamado "coolwebsearch" ,
aparecen dos entradas VX2, eso si en cuanto me conecto a internet vuelven a
aparecer.
Pruebo lo de REGSRV32 pero me dice lo mismo que hay un proceso en ejecucion.

Mi duda es como hacer lo que comentabas de la creacion de ese fichero,
¿podrias indicarme con mas precision que contenido debe tener?, haces
referencia a escribir SOLO lo que hay entre las lineas pero no te entiendo
lo que quieres decir, si tengo que ir al registro a las rutas que me
comentas y meter en el fichero el contenido ?.

saludos

"José Gallardo" escribió en el mensaje
news:
Bien. Desconéctate de Internet (quitando el cable).
Arranca de nuevo HijackThis y marca solamente estas tres entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

y pincha luego sobre "fix checked".

Mira a ver si ahora puedes volver a hacer los de los regsvr32, etc.. Pasa el
Ad-aware y mira a ver de qué se queja. Si sigue todo igual sigue con esto.

Ahora abre un archivo en blanco con el block de notas y guarda en él lo que
hay entre las líneas (las líneas no se copian):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\User Agent\Post Platform]
"{6F77CAC7-1EBE-4B90-A091-514E315D58C5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
-
y guárdalo como "remove.reg" (ojo con la extensión). Tendrás que elegir
"guardar como" "todos los archivos" y ponerle tú la extensión.
Doble click sobre el archivo de registro y acepta.
Ahora bájate de aquí:
http://www.downloads.subratam.org/KillBox.exe
Ejecútalo y marca
"Standard File Kill"
"End Explorer Shell While Killing file"
En la parte alta del programa copia íntegramente esto pero de uno en uno:

c:\system32\j40s0ed7eh0.dll
c:\system32\guard.tmp

Marca la X roja y al mensaje que aparezca contesta "yes" (te recuerdo, de
uno en uno).





"o.q" escribió en el mensaje
news:
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo
"iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés) pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta
el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito
sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos



























Respuesta Responder a este mensaje
#18 o.q
31/01/2005 - 23:19 | Informe spam
He probado todo y no hay manera, sigue sin quitarse el vx2, normalmente
suelen salir dos archivos , uno de ellos he conseguido quitarlo con el
killbox, pero uno siempre queda y luego parece que se regenera y vuelven a
generarse otros dos.

Esto lo he hecho a prueba de fallos sino tampoco lo elimina.

No se que hacer, joe.


"José Gallardo" escribió en el mensaje
news:
Si a pesar de eso no funciona, bájate de aquí:
http://www.lavasoft.de/software/plu...aner.shtml
el "VX2 Cleaner".

"José Gallardo" escribió en el mensaje
news:%
Sólo tienes que hacer lo siguiente: selecciona con el ratón desde "Windows
Registry..." hasta "... =-" Lo copias y lo guardas en un documento vacío del
bloc de notas (que puedes crearlo con el botón derecho del ratón. Luego, le
das a Archivo>Guardar como y en "Tipo" selecciona "Todos los archivos".
Ahora en la la casilla "Nombre" escribe "remove.reg" y lo guardas en el
escritorio. Te aparecerá el archivo "remove.reg" con el icono típico de los
archivos de registro. Luego sigue los pasos que te indiqué.

"o.q" escribió en el mensaje
news:
Bueno pues probe a desconcectarme de internet y pasar el Hijackthis, marco
las casillas y le doy como me comentabas fix cheked. Vuelvo a pasar el
ADaware y ya NO aparece el virus o lo que sea llamado "coolwebsearch" ,
aparecen dos entradas VX2, eso si en cuanto me conecto a internet vuelven
a
aparecer.
Pruebo lo de REGSRV32 pero me dice lo mismo que hay un proceso en
ejecucion.

Mi duda es como hacer lo que comentabas de la creacion de ese fichero,
¿podrias indicarme con mas precision que contenido debe tener?, haces
referencia a escribir SOLO lo que hay entre las lineas pero no te entiendo
lo que quieres decir, si tengo que ir al registro a las rutas que me
comentas y meter en el fichero el contenido ?.

saludos

"José Gallardo" escribió en el mensaje
news:
Bien. Desconéctate de Internet (quitando el cable).
Arranca de nuevo HijackThis y marca solamente estas tres entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

y pincha luego sobre "fix checked".

Mira a ver si ahora puedes volver a hacer los de los regsvr32, etc.. Pasa
el
Ad-aware y mira a ver de qué se queja. Si sigue todo igual sigue con esto.

Ahora abre un archivo en blanco con el block de notas y guarda en él lo
que
hay entre las líneas (las líneas no se copian):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\User Agent\Post Platform]
"{6F77CAC7-1EBE-4B90-A091-514E315D58C5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
-
y guárdalo como "remove.reg" (ojo con la extensión). Tendrás que elegir
"guardar como" "todos los archivos" y ponerle tú la extensión.
Doble click sobre el archivo de registro y acepta.
Ahora bájate de aquí:
http://www.downloads.subratam.org/KillBox.exe
Ejecútalo y marca
"Standard File Kill"
"End Explorer Shell While Killing file"
En la parte alta del programa copia íntegramente esto pero de uno en uno:

c:\system32\j40s0ed7eh0.dll
c:\system32\guard.tmp

Marca la X roja y al mensaje que aparezca contesta "yes" (te recuerdo, de
uno en uno).





"o.q" escribió en el mensaje
news:
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota
la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo
"iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés)
pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta
el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito
sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp
pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos



























Respuesta Responder a este mensaje
#19 José Gallardo
01/02/2005 - 08:20 | Informe spam
Intentamos otra cosa (todo en modo seguro y desconectado el cable de Internet). Puesto que hay que modificar el registro, crea antes un punto de restauración:
- Elimina esta carpeta "DrTemp" (de donde la tengas, si todavía la tienes).
- Elimina todo esto (lo que tengas):
rdfsaps.dll
ktp6177s1.dll
multimpp.dll
AkLEDIT.DLL
AbLUI.DLL
adaamon.dll
adledit.dll
6do4svc.dll
6ro4svc.dll
6ao4svc.dll
6co4svc.dll
6eo4svc.dll
6fo4svc.dll
6go4svc.dll
6ho4svc.dll
6io4svc.dll
6jo4svc.dll
6ko4svc.dll
6lo4svc.dll
6mo4svc.dll
6no4svc.dll
6oo4svc.dll
6po4svc.dll
6qo4svc.dll
6so4svc.dll
6uo4svc.dll
6vo4svc.dll
6xo4svc.dll
adtxprxy.dll
bdll4012.exe
dljhyl.exe
ahd.dll
ajd.dll
Am3API.DLL
amtrpt.dll
anptif.dll
Ar3API.DLL
avlui.dll
awsldp.dll
axaamon.dll
axlui.dll
aztiveds.dll
shellhook.dll
abctres.dll
abtxprxy.dll
acaamon.dll
acsldp.dll
adctres.dll
afctres.dll
agaamon.dll
agtxprxy.dll
ahsmib.dll
AjADFICN.DLL
ajlui.dll
amctres.dll
anctres.dll
aoaamon.dll
aoledit.dll
aotxprxy.dll
apctres.dll
AsADFICN.DLL
ataamon.dll
AuADFICN.DLL
avctres.dll
msidntdld.dll
inetadpt.dll
awd.dll
awd.cpy.dll
auctres.dll
auctres.cpy.dll
ahctres.dll
ahctres.cpy.dll
ajctres.dll
ajctres.cpy.dll
my panicbutton.lnk
deletelockedfiles.exe
mypbtn.exe
help.chm
msview.dll
bc777.html
vx2.dllbc777.html
kernellos.dll
ehelper.dll
msg118.cpy.dll
msguard.cpy.dll
msg120.cpy.dll
msg118.dll
msguard.dll
msg120.dll
bi[1].exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
biprep.exe
preinsbi.exe
3kvx.dll
3kvx.cpy.dll
ailui.cpy.dll
ailui.dll
ltonardo da vinci.cpy.dll
ltonardo da vinci.dll
avmparse.cpy.dll
avmparse.dll
IEHelper.dll
VX2.dll
ncmyb.dll
belt.exe
bi.exe
biprep.exe
biprep.exe
preinsbi.exe
biprep.exeft1_01_0_279_gepfah.exe
biprep.exe
ft1_01_0_279_gepfah.exe
belt.exe
bi.dll
bi.ini
payload2.inf
payload2.inf
bi.inf
payload2.inf
bi.dll
sitehlpr.dll
bi.dll
bi.ini
ccrpftv6.ocx
ft1_01_0_279_gepfah.exe
msview.dll
cgetwy.exe
sitehlpr.inf
sitehlpr.dll
bc777.html
Guardian.reg
bi56715.exe
JDEFIHLQ.ini
noqwhjv.exe
localNRD.dll
preInsln.exe
localNRD.dll
polall1l.exe
preInsln.exe
localNrd.cab
localNrd.inf
conscorr.exe
conscorr.ini
conscorr.cab
conscorr.exe
conscorr.inf
conscorr.ini
conscorr.ini
JDEFIHLQ.ini
ceres.dll
Buddy.exe
Speer.dll
Speer.inf
btgrab.inf
zserv.inf
polall1r.inf
adremtm2.inf
Speer.cab
btgrab.cab
polall1r.cab
zserv.cab
bi_unadd.cab
satmat.cab
multimpp.cab
adremtm2.cab
Speer.cab
btgrab.cab
polall1r.cab
zserv.cab
bi_unadd.cab
multimpp.cab
BTGrab.dll
polall1b.exe
polall1r.exe
polall1b.exe
polall1r.exe
ZServ.dll
mnklins.exe
mnklins.exe
thnall1b.exe
stmtreco.exe
randreco.exe
thnall1b.exe
stmtreco.exe
randreco.exe
remtm2.exe
randreco.exe
satmat.cab
polall1r.exe
jkill.exe
satmat.exe
satmat.exe
PREINMPP.EXE
PREINMPP.EXE
PREINMPP.EXE
btgrab.inf
btgrab.PNF
polall1b.exe
INTLRECO.exe
abi.exe

(si alguna dll no te deja eliminarla, prueba primero a "desregistrarla" con Inicio>Ejecutar regsvr32 /u nombre.dll)

- Elimina todas las cookies (en Internet Explorer Herramientas>Opciones de Internet>Eliminar cookies.

- Inicio>Ejecutar y teclea "regedit" sin comillas. Ve buscando una a una estas claves y elimínalas. Lo mejor es que copies y pegues en vez de ir escribiéndolas tú directamente:
VX2.VX2Obj
f1.organizer
f1.organizer.1
bidll.bidllobj.1
vx2.vx2obj.1
CeresDll.CeresDllObj
CeresDll.CeresDllObj.1
sPeerDll.sPeerDllObj
sPeerDll.sPeerDllObj.1
BTGrabDll.BTGrabDllObj
BTGrabDll.BTGrabDllObj.1
LocalNRDDll.LocalNRDDllObj.1
LocalNRDDll.LocalNRDDllObj
ZServDll.ZServDllObj
ZServDll.ZServDllObj.1
multimppdll.multimppdllobj
multimppdll.multimppdllobj.1
LocalNRDDll.LocalNRDDllObj.1
LocalNRDDll.LocalNRDDllObj
VX2.VX2Obj.1
VX2.VX2Obj
f1.organizer
f1.organizer.1
bidll.bidllobj.1
CeresDll.CeresDllObj
CeresDll.CeresDllObj.1
sPeerDll.sPeerDllObj
sPeerDll.sPeerDllObj.1
BTGrabDll.BTGrabDllObj
BTGrabDll.BTGrabDllObj.1
ZServDll.ZServDllObj
ZServDll.ZServDllObj.1
multimppdll.multimppdllobj
multimppdll.multimppdllobj.1
{ef100607-f409-426a-9e7c-cb211f2a9030}
{ffd2825e-0785-40c5-9a41-518f53a8261f}
{00000000-5eb9-11d5-9d45-009027c14662}
{000006b1-19b5-414a-849f-2a3c64ae6939}
{ddffa75a-e81d-4454-89fc-b9fd0631e726}
{002EB272-2590-4693-B166-FBD5D9B6FEA6}
{000020DD-C72E-4113-AF77-DD56626C6C42}
{00320615-B6C2-40A6-8F99-F1C52D674FAD}
{30000273-8230-4DD4-BE4F-6889D1E74167}
{00000049-8F91-4D9C-9573-F016E7626484}
{00000026-8735-428D-B81F-DD098223B25F}
{1000026A-8230-4DD4-BE4F-6889D1E74167}
{00000000-F09C-02B4-6EC2-AD0300000000}
{00000000-C1EC-0345-6EC2-4D0300000000}
{ef100007-f409-426a-9e7c-cb211f2a9786}
{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}
{690BCCB4-6B83-4203-AE77-038C116594EC}
{11CC62B2-65F2-4A82-B332-5DE4E8384422}
{BBE6D461-41FC-4100-A629-B9D2162BEFAA}
{8e0d8965-b97b-468d-8306-a05929e439c1}
{f0f4c299-735e-4eac-b2f9-f97324d5cc1d}
{4534CD6B-59D6-43FD-864B-06A0D843444A}
{BB0D5ADC-028D-4185-9288-722DDCE2C757}
Ceres
dbi
{690BCCB4-6B83-4203-AE77-038C116594EC}
{11CC62B2-65F2-4A82-B332-5DE4E8384422}
{ef100007-f409-426a-9e7c-cb211f2a9786}
{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}
{BBE6D461-41FC-4100-A629-B9D2162BEFAA}
{8e0d8965-b97b-468d-8306-a05929e439c1}
{f0f4c299-735e-4eac-b2f9-f97324d5cc1d}
{4534CD6B-59D6-43FD-864B-06A0D843444A}
{BB0D5ADC-028D-4185-9288-722DDCE2C757}
{ef100607-f409-426a-9e7c-cb211f2a9030}
{00000000-5eb9-11d5-9d45-009027c14662}
{000006b1-19b5-414a-849f-2a3c64ae6939}
{ffd2825e-0785-40c5-9a41-518f53a8261f}
{002EB272-2590-4693-B166-FBD5D9B6FEA6}
{000020DD-C72E-4113-AF77-DD56626C6C42}
{00320615-B6C2-40A6-8F99-F1C52D674FAD}
{ddffa75a-e81d-4454-89fc-b9fd0631e726}
{30000273-8230-4DD4-BE4F-6889D1E74167}
{00000026-8735-428D-B81F-DD098223B25F}
{1000026A-8230-4DD4-BE4F-6889D1E74167}
{00000000-F09C-02B4-6EC2-AD0300000000}
{00000000-C1EC-0345-6EC2-4D0300000000}
Guardian
GuardianMTKJT
GuardianUVWKU
GuardianOXFQU
guardian
{11111111-1111-1111-1111-111111111111}
{20000273-8230-4dd4-be4f-6889d1e74167}
{30000273-8230-4dd4-be4f-6889d1e74167}
{1000026A-8230-4DD4-BE4F-6889D1E74167}
{00000000-5eb9-11d5-9d45-009027c14662}
{000006b1-19b5-414a-849f-2a3c64ae6939}
{ffd2825e-0785-40c5-9a41-518f53a8261f}
{00000049-8F91-4D9C-9573-F016E7626484}
{00320615-B6C2-40A6-8F99-F1C52D674FAD}
{002EB272-2590-4693-B166-FBD5D9B6FEA6}
{00000026-8735-428D-B81F-DD098223B25F}
{00000000-F09C-02B4-6EC2-AD0300000000}
{00000000-C1EC-0345-6EC2-4D0300000000}
belt
{ddffa75a-e81d-4454-89fc-b9fd0631e726}
dbi
ceres
BTGrab
rtcjctwqykwhr
qoziyvgdv
conscorr
pvdtisyl




"o.q" escribió en el mensaje news:uKGwqL%
He probado todo y no hay manera, sigue sin quitarse el vx2, normalmente
suelen salir dos archivos , uno de ellos he conseguido quitarlo con el
killbox, pero uno siempre queda y luego parece que se regenera y vuelven a
generarse otros dos.

Esto lo he hecho a prueba de fallos sino tampoco lo elimina.

No se que hacer, joe.


"José Gallardo" escribió en el mensaje
news:
Si a pesar de eso no funciona, bájate de aquí:
http://www.lavasoft.de/software/plu...aner.shtml
el "VX2 Cleaner".

"José Gallardo" escribió en el mensaje
news:%
Sólo tienes que hacer lo siguiente: selecciona con el ratón desde "Windows
Registry..." hasta "... =-" Lo copias y lo guardas en un documento vacío del
bloc de notas (que puedes crearlo con el botón derecho del ratón. Luego, le
das a Archivo>Guardar como y en "Tipo" selecciona "Todos los archivos".
Ahora en la la casilla "Nombre" escribe "remove.reg" y lo guardas en el
escritorio. Te aparecerá el archivo "remove.reg" con el icono típico de los
archivos de registro. Luego sigue los pasos que te indiqué.

"o.q" escribió en el mensaje
news:
Bueno pues probe a desconcectarme de internet y pasar el Hijackthis, marco
las casillas y le doy como me comentabas fix cheked. Vuelvo a pasar el
ADaware y ya NO aparece el virus o lo que sea llamado "coolwebsearch" ,
aparecen dos entradas VX2, eso si en cuanto me conecto a internet vuelven
a
aparecer.
Pruebo lo de REGSRV32 pero me dice lo mismo que hay un proceso en
ejecucion.

Mi duda es como hacer lo que comentabas de la creacion de ese fichero,
¿podrias indicarme con mas precision que contenido debe tener?, haces
referencia a escribir SOLO lo que hay entre las lineas pero no te entiendo
lo que quieres decir, si tengo que ir al registro a las rutas que me
comentas y meter en el fichero el contenido ?.

saludos

"José Gallardo" escribió en el mensaje
news:
Bien. Desconéctate de Internet (quitando el cable).
Arranca de nuevo HijackThis y marca solamente estas tres entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

y pincha luego sobre "fix checked".

Mira a ver si ahora puedes volver a hacer los de los regsvr32, etc.. Pasa
el
Ad-aware y mira a ver de qué se queja. Si sigue todo igual sigue con esto.

Ahora abre un archivo en blanco con el block de notas y guarda en él lo
que
hay entre las líneas (las líneas no se copian):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\User Agent\Post Platform]
"{6F77CAC7-1EBE-4B90-A091-514E315D58C5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
-
y guárdalo como "remove.reg" (ojo con la extensión). Tendrás que elegir
"guardar como" "todos los archivos" y ponerle tú la extensión.
Doble click sobre el archivo de registro y acepta.
Ahora bájate de aquí:
http://www.downloads.subratam.org/KillBox.exe
Ejecútalo y marca
"Standard File Kill"
"End Explorer Shell While Killing file"
En la parte alta del programa copia íntegramente esto pero de uno en uno:

c:\system32\j40s0ed7eh0.dll
c:\system32\guard.tmp

Marca la X roja y al mensaje que aparezca contesta "yes" (te recuerdo, de
uno en uno).





"o.q" escribió en el mensaje
news:
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota
la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo
"iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés)
pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta
el
virus otra vez al habrir mis documentos y genera un nuevo fichero, ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito
sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp
pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos































Respuesta Responder a este mensaje
#20 o.q
02/02/2005 - 00:57 | Informe spam
Uffff. me parece que ninguna de las .DLL y etc etc las tengo en mi sistema,
y lo del registro no lo he probado porque es tedioso. como no haya otra
solucion mas rapida casi es mejor formatear.


"José Gallardo" escribió en el mensaje
news:
Intentamos otra cosa (todo en modo seguro y desconectado el cable de
Internet). Puesto que hay que modificar el registro, crea antes un punto de
restauración:
- Elimina esta carpeta "DrTemp" (de donde la tengas, si todavía la tienes).
- Elimina todo esto (lo que tengas):
rdfsaps.dll
ktp6177s1.dll
multimpp.dll
AkLEDIT.DLL
AbLUI.DLL
adaamon.dll
adledit.dll
6do4svc.dll
6ro4svc.dll
6ao4svc.dll
6co4svc.dll
6eo4svc.dll
6fo4svc.dll
6go4svc.dll
6ho4svc.dll
6io4svc.dll
6jo4svc.dll
6ko4svc.dll
6lo4svc.dll
6mo4svc.dll
6no4svc.dll
6oo4svc.dll
6po4svc.dll
6qo4svc.dll
6so4svc.dll
6uo4svc.dll
6vo4svc.dll
6xo4svc.dll
adtxprxy.dll
bdll4012.exe
dljhyl.exe
ahd.dll
ajd.dll
Am3API.DLL
amtrpt.dll
anptif.dll
Ar3API.DLL
avlui.dll
awsldp.dll
axaamon.dll
axlui.dll
aztiveds.dll
shellhook.dll
abctres.dll
abtxprxy.dll
acaamon.dll
acsldp.dll
adctres.dll
afctres.dll
agaamon.dll
agtxprxy.dll
ahsmib.dll
AjADFICN.DLL
ajlui.dll
amctres.dll
anctres.dll
aoaamon.dll
aoledit.dll
aotxprxy.dll
apctres.dll
AsADFICN.DLL
ataamon.dll
AuADFICN.DLL
avctres.dll
msidntdld.dll
inetadpt.dll
awd.dll
awd.cpy.dll
auctres.dll
auctres.cpy.dll
ahctres.dll
ahctres.cpy.dll
ajctres.dll
ajctres.cpy.dll
my panicbutton.lnk
deletelockedfiles.exe
mypbtn.exe
help.chm
msview.dll
bc777.html
vx2.dllbc777.html
kernellos.dll
ehelper.dll
msg118.cpy.dll
msguard.cpy.dll
msg120.cpy.dll
msg118.dll
msguard.dll
msg120.dll
bi[1].exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
belt.exe
belt12.exe
biprep.exe
preinsbi.exe
3kvx.dll
3kvx.cpy.dll
ailui.cpy.dll
ailui.dll
ltonardo da vinci.cpy.dll
ltonardo da vinci.dll
avmparse.cpy.dll
avmparse.dll
IEHelper.dll
VX2.dll
ncmyb.dll
belt.exe
bi.exe
biprep.exe
biprep.exe
preinsbi.exe
biprep.exeft1_01_0_279_gepfah.exe
biprep.exe
ft1_01_0_279_gepfah.exe
belt.exe
bi.dll
bi.ini
payload2.inf
payload2.inf
bi.inf
payload2.inf
bi.dll
sitehlpr.dll
bi.dll
bi.ini
ccrpftv6.ocx
ft1_01_0_279_gepfah.exe
msview.dll
cgetwy.exe
sitehlpr.inf
sitehlpr.dll
bc777.html
Guardian.reg
bi56715.exe
JDEFIHLQ.ini
noqwhjv.exe
localNRD.dll
preInsln.exe
localNRD.dll
polall1l.exe
preInsln.exe
localNrd.cab
localNrd.inf
conscorr.exe
conscorr.ini
conscorr.cab
conscorr.exe
conscorr.inf
conscorr.ini
conscorr.ini
JDEFIHLQ.ini
ceres.dll
Buddy.exe
Speer.dll
Speer.inf
btgrab.inf
zserv.inf
polall1r.inf
adremtm2.inf
Speer.cab
btgrab.cab
polall1r.cab
zserv.cab
bi_unadd.cab
satmat.cab
multimpp.cab
adremtm2.cab
Speer.cab
btgrab.cab
polall1r.cab
zserv.cab
bi_unadd.cab
multimpp.cab
BTGrab.dll
polall1b.exe
polall1r.exe
polall1b.exe
polall1r.exe
ZServ.dll
mnklins.exe
mnklins.exe
thnall1b.exe
stmtreco.exe
randreco.exe
thnall1b.exe
stmtreco.exe
randreco.exe
remtm2.exe
randreco.exe
satmat.cab
polall1r.exe
jkill.exe
satmat.exe
satmat.exe
PREINMPP.EXE
PREINMPP.EXE
PREINMPP.EXE
btgrab.inf
btgrab.PNF
polall1b.exe
INTLRECO.exe
abi.exe

(si alguna dll no te deja eliminarla, prueba primero a "desregistrarla" con
Inicio>Ejecutar regsvr32 /u nombre.dll)

- Elimina todas las cookies (en Internet Explorer Herramientas>Opciones de
Internet>Eliminar cookies.

- Inicio>Ejecutar y teclea "regedit" sin comillas. Ve buscando una a una
estas claves y elimínalas. Lo mejor es que copies y pegues en vez de ir
escribiéndolas tú directamente:
VX2.VX2Obj
f1.organizer
f1.organizer.1
bidll.bidllobj.1
vx2.vx2obj.1
CeresDll.CeresDllObj
CeresDll.CeresDllObj.1
sPeerDll.sPeerDllObj
sPeerDll.sPeerDllObj.1
BTGrabDll.BTGrabDllObj
BTGrabDll.BTGrabDllObj.1
LocalNRDDll.LocalNRDDllObj.1
LocalNRDDll.LocalNRDDllObj
ZServDll.ZServDllObj
ZServDll.ZServDllObj.1
multimppdll.multimppdllobj
multimppdll.multimppdllobj.1
LocalNRDDll.LocalNRDDllObj.1
LocalNRDDll.LocalNRDDllObj
VX2.VX2Obj.1
VX2.VX2Obj
f1.organizer
f1.organizer.1
bidll.bidllobj.1
CeresDll.CeresDllObj
CeresDll.CeresDllObj.1
sPeerDll.sPeerDllObj
sPeerDll.sPeerDllObj.1
BTGrabDll.BTGrabDllObj
BTGrabDll.BTGrabDllObj.1
ZServDll.ZServDllObj
ZServDll.ZServDllObj.1
multimppdll.multimppdllobj
multimppdll.multimppdllobj.1
{ef100607-f409-426a-9e7c-cb211f2a9030}
{ffd2825e-0785-40c5-9a41-518f53a8261f}
{00000000-5eb9-11d5-9d45-009027c14662}
{000006b1-19b5-414a-849f-2a3c64ae6939}
{ddffa75a-e81d-4454-89fc-b9fd0631e726}
{002EB272-2590-4693-B166-FBD5D9B6FEA6}
{000020DD-C72E-4113-AF77-DD56626C6C42}
{00320615-B6C2-40A6-8F99-F1C52D674FAD}
{30000273-8230-4DD4-BE4F-6889D1E74167}
{00000049-8F91-4D9C-9573-F016E7626484}
{00000026-8735-428D-B81F-DD098223B25F}
{1000026A-8230-4DD4-BE4F-6889D1E74167}
{00000000-F09C-02B4-6EC2-AD0300000000}
{00000000-C1EC-0345-6EC2-4D0300000000}
{ef100007-f409-426a-9e7c-cb211f2a9786}
{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}
{690BCCB4-6B83-4203-AE77-038C116594EC}
{11CC62B2-65F2-4A82-B332-5DE4E8384422}
{BBE6D461-41FC-4100-A629-B9D2162BEFAA}
{8e0d8965-b97b-468d-8306-a05929e439c1}
{f0f4c299-735e-4eac-b2f9-f97324d5cc1d}
{4534CD6B-59D6-43FD-864B-06A0D843444A}
{BB0D5ADC-028D-4185-9288-722DDCE2C757}
Ceres
dbi
{690BCCB4-6B83-4203-AE77-038C116594EC}
{11CC62B2-65F2-4A82-B332-5DE4E8384422}
{ef100007-f409-426a-9e7c-cb211f2a9786}
{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}
{BBE6D461-41FC-4100-A629-B9D2162BEFAA}
{8e0d8965-b97b-468d-8306-a05929e439c1}
{f0f4c299-735e-4eac-b2f9-f97324d5cc1d}
{4534CD6B-59D6-43FD-864B-06A0D843444A}
{BB0D5ADC-028D-4185-9288-722DDCE2C757}
{ef100607-f409-426a-9e7c-cb211f2a9030}
{00000000-5eb9-11d5-9d45-009027c14662}
{000006b1-19b5-414a-849f-2a3c64ae6939}
{ffd2825e-0785-40c5-9a41-518f53a8261f}
{002EB272-2590-4693-B166-FBD5D9B6FEA6}
{000020DD-C72E-4113-AF77-DD56626C6C42}
{00320615-B6C2-40A6-8F99-F1C52D674FAD}
{ddffa75a-e81d-4454-89fc-b9fd0631e726}
{30000273-8230-4DD4-BE4F-6889D1E74167}
{00000026-8735-428D-B81F-DD098223B25F}
{1000026A-8230-4DD4-BE4F-6889D1E74167}
{00000000-F09C-02B4-6EC2-AD0300000000}
{00000000-C1EC-0345-6EC2-4D0300000000}
Guardian
GuardianMTKJT
GuardianUVWKU
GuardianOXFQU
guardian
{11111111-1111-1111-1111-111111111111}
{20000273-8230-4dd4-be4f-6889d1e74167}
{30000273-8230-4dd4-be4f-6889d1e74167}
{1000026A-8230-4DD4-BE4F-6889D1E74167}
{00000000-5eb9-11d5-9d45-009027c14662}
{000006b1-19b5-414a-849f-2a3c64ae6939}
{ffd2825e-0785-40c5-9a41-518f53a8261f}
{00000049-8F91-4D9C-9573-F016E7626484}
{00320615-B6C2-40A6-8F99-F1C52D674FAD}
{002EB272-2590-4693-B166-FBD5D9B6FEA6}
{00000026-8735-428D-B81F-DD098223B25F}
{00000000-F09C-02B4-6EC2-AD0300000000}
{00000000-C1EC-0345-6EC2-4D0300000000}
belt
{ddffa75a-e81d-4454-89fc-b9fd0631e726}
dbi
ceres
BTGrab
rtcjctwqykwhr
qoziyvgdv
conscorr
pvdtisyl




"o.q" escribió en el mensaje
news:uKGwqL%
He probado todo y no hay manera, sigue sin quitarse el vx2, normalmente
suelen salir dos archivos , uno de ellos he conseguido quitarlo con el
killbox, pero uno siempre queda y luego parece que se regenera y vuelven a
generarse otros dos.

Esto lo he hecho a prueba de fallos sino tampoco lo elimina.

No se que hacer, joe.


"José Gallardo" escribió en el mensaje
news:
Si a pesar de eso no funciona, bájate de aquí:
http://www.lavasoft.de/software/plu...aner.shtml
el "VX2 Cleaner".

"José Gallardo" escribió en el mensaje
news:%
Sólo tienes que hacer lo siguiente: selecciona con el ratón desde "Windows
Registry..." hasta "... =-" Lo copias y lo guardas en un documento vacío
del
bloc de notas (que puedes crearlo con el botón derecho del ratón. Luego,
le
das a Archivo>Guardar como y en "Tipo" selecciona "Todos los archivos".
Ahora en la la casilla "Nombre" escribe "remove.reg" y lo guardas en el
escritorio. Te aparecerá el archivo "remove.reg" con el icono típico de
los
archivos de registro. Luego sigue los pasos que te indiqué.

"o.q" escribió en el mensaje
news:
Bueno pues probe a desconcectarme de internet y pasar el Hijackthis,
marco
las casillas y le doy como me comentabas fix cheked. Vuelvo a pasar el
ADaware y ya NO aparece el virus o lo que sea llamado "coolwebsearch" ,
aparecen dos entradas VX2, eso si en cuanto me conecto a internet vuelven
a
aparecer.
Pruebo lo de REGSRV32 pero me dice lo mismo que hay un proceso en
ejecucion.

Mi duda es como hacer lo que comentabas de la creacion de ese fichero,
¿podrias indicarme con mas precision que contenido debe tener?, haces
referencia a escribir SOLO lo que hay entre las lineas pero no te
entiendo
lo que quieres decir, si tengo que ir al registro a las rutas que me
comentas y meter en el fichero el contenido ?.

saludos

"José Gallardo" escribió en el mensaje
news:
Bien. Desconéctate de Internet (quitando el cable).
Arranca de nuevo HijackThis y marca solamente estas tres entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

y pincha luego sobre "fix checked".

Mira a ver si ahora puedes volver a hacer los de los regsvr32, etc.. Pasa
el
Ad-aware y mira a ver de qué se queja. Si sigue todo igual sigue con
esto.

Ahora abre un archivo en blanco con el block de notas y guarda en él lo
que
hay entre las líneas (las líneas no se copian):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\User Agent\Post Platform]
"{6F77CAC7-1EBE-4B90-A091-514E315D58C5}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
-
y guárdalo como "remove.reg" (ojo con la extensión). Tendrás que elegir
"guardar como" "todos los archivos" y ponerle tú la extensión.
Doble click sobre el archivo de registro y acepta.
Ahora bájate de aquí:
http://www.downloads.subratam.org/KillBox.exe
Ejecútalo y marca
"Standard File Kill"
"End Explorer Shell While Killing file"
En la parte alta del programa copia íntegramente esto pero de uno en
uno:

c:\system32\j40s0ed7eh0.dll
c:\system32\guard.tmp

Marca la X roja y al mensaje que aparezca contesta "yes" (te recuerdo, de
uno en uno).





"o.q" escribió en el mensaje
news:
Hola,

Aqui esta el log.

Parece que indica algun nombre de virus
"José Gallardo" escribió en el mensaje
news:
Pasa el HijackThis que puedes bajarte de aquí:
http://www.spychecker.com/program/hijackthis.html
Guarda los resultados en un archivo log y postea aquí su contenido.

"o.q" escribió en el mensaje
news:
En modo seguro me pasa lo mismo y da el mismo mensaje.


"José Gallardo" escribió en el mensaje
news:
Arranca en modo seguro y vuelve a ejecutar la orden.

"o.q" escribió en el mensaje
news:OQ%
En el Ad-aware en resultados del escaneo me pone lo siguiente:

vendor category Object
VX2 Malware c:\system32\j40s0ed7eh0.dll
VX2 Malware c:\system32\guard.tmp

Pero si doy a buscar VX2 no encuentra nada, asi que pongo las dll que
aqui
me indica y sigo tus instrucciones poniendo esto:
INICIO-EJECUTAR
regsvr32 /u c:\windows\system32\j40s0ed7eh0.dll

Y me da el siguiente error:
error en loadlibrary("c:\windows\system32\j40s0ed7eh.dll") - el
proceso
no
tiene acceso al archivo porque esta siendo utilizado por otro proceso.

saludos




"José Gallardo" escribió en el mensaje
news:
- Para el VX2. Inicio>Buscar y escribe sin comillas "vx2.dll" y anota
la
carpeta donde está. Supongamos que está en C:\Windows, pues luego
Inicio>Ejecutar y escribe
regsvr32 /u "C:\Windows\vx2.dll"
(tendrás que cambiar esta orden según la carpeta)
Luego, elimina "vx2.dll"
- Para Coowebsearch. Pulsa Ctrl+Alt+Del y asegúrate de que no está
funcionando "iedll.exe". Si es así, "mátalo", esto es páralo. Luego,
Inicio>Panel de Contro>Herramientas>OPciones de carpeta>Ver y desmarca
"Ocultar las extensiones de archivos...". Localiza el archivo
"iedll.exe"
y
cámbiale su extensión a old, esto es su nombre pasaría a ser:
"iedll.old".
Ahora hay que tocar el registro por lo que lo mejor es que te crees un
punto
de restauración previamente por si acaso.
Elimina estas claves (las que tengas):

HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\HomeOldSP
HKCU\Software\Microsoft\Internet Connection Wizard\Shellnext
HKLM\Software\Microsoft\Internet Connection Wizard\Shellnext



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[iedll]
C:\WINDOWS\iedll.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[loader]
C:\WINDOWS\LOADER.EXE



Primero, necesitarás permisos de administrador para hacer esto. Si no
pudieras eliminar algo, inténtalo en modo seguro.


"o.q" escribió en el mensaje
news:
Voy a probarlo...

Pues... lo unico que se es lo que me pone el AD-aware, un tal VX2
(malware)
y coolwebsearch, siempre aparecen estos dos.

saludos

"José Gallardo" escribió en el mensaje
news:
Pásale el Microsoft Antispyware, que es todavía beta (y en inglés)
pero
está
muy bien:
http://www.microsoft.com/athome/sec...fault.mspx
En cualquier caso, para buscar otra posible eliminación tendrías que
decir
cuáles son exactamente los espías a quitar.

"o.q" escribió en el mensaje
news:%
Tampoco los quita, siempre me quedan dos o uno sin quitar, a pesar
de
darle
eliminar , el adaware me dice que no se pueden borrar hasta que se
reinicie,
pero luego sigue sin borrarlo, ademas ocurre una cosa. despues
de
acabar
el escaneo se habre siempre "mis documentos", para mi que se ejecuta
el
virus otra vez al habrir mis documentos y genera un nuevo fichero,
ya
que
a
veces veo que el nombre que da el adaware es distinto.

Como podria quitarlo

"José Gallardo" escribió en el mensaje
news:
Reinicia en modo seguro (nada más arrancar pulsa varias veces F8 y
elige
dicha opción) y pásalo ahí.

"o.q" escribió en el mensaje
news:OA%
Hola

Primeramente he realizado un escaneo con ADAWARE y me detecta una
serie
"malware", le doy para borrarlos y me dice que hay dos que no puede
borrarlos hasta que reinicie el sistema ya que el proceso se esta
ejecutando, total que reinicio vuelvo a pasar el adaware pero
siguen
saliendo esos mismos y mas.
No veo manera de quitarlos, alguna otra vez lo hize y me lo q uito
sin
problemas, tambien he probado con a-squared pero parece quetampoco
hace
nada, tambien con "spybot" pero nada, ¿que puedo hacer?, tengo xp
pro
con
el
service pack 2, el I.E 6 todas las actualizaciones de seguridad
instaladas, el firewall de xp activado.

saludos































Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida