• Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies Free data recovery software
 

Eliminar virus relevantknowledge (SOLUCIONADO)

Estado
Cerrado para nuevas respuestas
Ok, entonces tiene que quedar algun proceso que es el que nos esta incordiando, bajate esto: http://download.bleepingcomputer.com/grinler/rkill.com al escritorio. Una vez bajado haz doble clic en rkill.com y deja que el programa se ejecute y elimine el bicho este y otros que puedas tener en tu PC. Posiblemente recibiras un aviso de que rkill.com es un virus, no hagas caso.

Ya me cuentas. Salu2
 
Razor, te cuento paso a paso que he hecho y que me ha salido.
Meti la tarjeta de memoria, donde tengo archivos, en el ordenador. La habia sacado cuando me aparecio el virus y crei que tendria que formatearlo, por eso guarde ahi cosas importantes y la saque. No la habia vuelto a meter hasta hace un rato, que necesitaba mirar algunas cosas. Y aqui me vais a matar...y a mi me va a dar algo (ayer por dos veces tuve que salir a la biblioteca a descargar archivos) he podido descargarme lo que me has dicho del rkill porque la ruta que tenia de descarga era a esta tarjeta de memoria (digo yo que habra sido eso...) y se me ha descargado bien. Digo esto porque al poder descargarlo, di doble click en descargas y se me abrio el archivo, y he visto la ruta y donde estaba ubicado. Si he llegado hasta ahi, para mi es todo un logro, creeme.
He descargado esa pagina, la he puesto en el escritorio, le di a abrir y se me ha abierto una ventana negra. Despues se ha ido sola y me ha vuelto a la pantalla normal. En cuando he vuelto a mi escritorio, ha salido el dichoso icono del escudo. Que hago? reinicio?
Ah, no me ha llegado ningun aviso de que sea un virus. Puede ser que mi antivirus no este funcionando bien?
Ahora el icono esta a la derecha del todo en la barra de abajo. Antes lo tenia hacia la izquierda.
Un saludo,
Lila.
 
Te tiene que salir una ventana como esta:

screenshot273.png


El proceso dura varios minutos, dejalo actuar, que esta escaneando muchas cosas...
 
Voy a pasarlo de nuevo porque no me tardo ni dos minutos. Ahora te digo.
 
Lo he vuelto a pasar y no dura ni 40 segundos. Me sale la pantalla negra, dice que sea paciente, espero y a los pocos segundos, me vuelve a mi escritorio, y del icono del escudo sale la misma ventana siempre que dice que mi ordenador puede estar en riesgo.
 
Y aqui me vais a matar...y a mi me va a dar algo (ayer por dos veces tuve que salir a la biblioteca a descargar archivos) he podido descargarme lo que me has dicho del rkill porque la ruta que tenia de descarga era a esta tarjeta de memoria (digo yo que habra sido eso...) y se me ha descargado bien. Digo esto porque al poder descargarlo, di doble click en descargas y se me abrio el archivo, y he visto la ruta y donde estaba ubicado. Si he llegado hasta ahi, para mi es todo un logro, creeme.
Hacer clic para expandir...


jajajajja, ya te matare mañana u otro dia... ahora vamos a seguir matando al bicho este.

Parece que no te esta dejando ejecutar el rkill. Bien, antes de gastar la ultima bala, mirame si tienes estos archivos y entradas del registro en ese PC infectado:


1.- Mira si tienes archivos similares o como estos:

c:\WINDOWS\sysguard.exe
c:\WINDOWS\system32\iehelper.dll
C:\Documents and Settings\<tu perfil>\<caracteres aleatorios>\<4 caracteres aleatorios>sysguard.exe


Buscame si tienes despues en el registro de Windows, estas entradas:
HKEY_CURRENT_USER\Software\AvScan
HKEY_CLASSES_ROOT\CLSID\{BAD4551D-9B24-42cb-9BCD-818CA2DA7B63}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BAD4551D-9B24-42cb-9BCD-818CA2DA7B63}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "system tool"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<caracteres aleatorios>"


Me cuentas. Salu2
 
Razor, te importa si los miro manana? Son muchos y manana tengo que madrugar.
Manana te digo. Voy a ver si se parecen.
Hago algo si los veo?
Un saludo,
Lila.
 
No mujer, miralo mañana. No te preocupes. No pasa nada. Quiero que me digas si estan simplemente.

Venga, a descansar. Saludotes!
 
Razor, ya que te estas tomando tantisimas molestias, te digo lo que he encontrado.
A ver, buscando directamente en c/ no he visto nada, pero he ido a buscar y h puesto "sysguard" y me ha encontrado esto:
YIKUSYSGUARD.EXE-1FFDDD23.pf en c/windows/ prefetch

Manana miro los siguientes, vale?(donde miro el registro de windows?)
Un saludo y mil gracias.
 
Hola de nuevo, ya he entrado en el registro (regedit) y no he visto ninguna de las direcciones que me dices. Al principio son asi pero el final es lo diferente.
Lo unico, el ultimo que me dices, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "<caracteres aleatorios>" , me sale una pantallita al lado que no puedo copiar con el boton derecho, y me salen nombres. te los pongo:
alcmtr, alclwizrd, avgnt, etdware,hotkeyscmds, igfxtray, persistence, rthdcpl, soundman, winampagent.
No se si te servira esto. De lo demas, no he encontrado lo que me dices. Es bueno que no me aparezca o si no aparece, hay algo mal?
Un saludo,.
Lila.
 
Ok, este fichero lo tienes:

c:\WINDOWS\system32\iehelper.dll
Hacer clic para expandir...

¿? bueno, mejor dicho esa libreria perdon. Salu2
 
Hola de nuevo, no, no me aparece ese fichero, me salta de ieframe a iepeers, tb son dll.
 
lila dijo:
Razor, ya que te estas tomando tantisimas molestias, te digo lo que he encontrado.
A ver, buscando directamente en c/ no he visto nada, pero he ido a buscar y h puesto "sysguard" y me ha encontrado esto:
YIKUSYSGUARD.EXE-1FFDDD23.pf en c/windows/ prefetch

Manana miro los siguientes, vale?(donde miro el registro de windows?)
Un saludo y mil gracias.
Hacer clic para expandir...

Vale, borra ese archivo. Despues reinicia y me cuentas. Salu2
 
Ya he borrado ese fichero, he reiniciado y el icono del escudo ha salido de nuevo...
Paso algun programa de esos que me has dicho?
que puede estar haciendome en el ordenador ese escudo?
El ordenador va bastante bien, parece que a ratos va algo lento, pero va bien.
Quieres que busque algo mas?
Gracias y un saludo,
Lila.
 
Madre mia, a ver si me sale. Solo que he leido que tiene que ser el 2.0.2. y cuando le doy al enlace, me sale el 2.0.3. Sirve ese tambien?
Manana lo pruebo, que ahora ya no puedo.
Otra cosa, recuerdas que un programa no lo pude pasar porque no tenia el active x? si lo puedo descargar ahora que ya me descargan los archivos, lo paso de todas formas?
Ya sabes que no doy ningun paso sin consultarte.
Un saludo,
Lila.
 
Si, da igual. Lo que no puede ser una version inferior!.

Si, vamos a pasar el Active Scan que propuso indy. Si por favor, pasalo y me cuentas que ocurre.

Venga, vamos a terminar con este bicho. Ya nos falta poco! ;-)
 
Hola chic@s!

He estado fuera, veo que seguimos con problemas. Por lo menos quedan restos, aunque a mi también me extraña que Malwarebytes no detecte nada, ni tampoco el CureIt!.

Te hago un par de preguntas:

Los síntomas que presenta tu PC ahora cuales son, te siguen saliendo alertas de infección del falso antivirus (Windows security alerts), o simplemente se limita a la permanencia del escudo rojo con el aspa. Se te abren páginas sólas, o ya no.

Entiendo que las descargas ya te funcionan, jeje, ya me imaginaba yo que el problema podía venir por el tema de la ubicación de las descargas, por eso te pregunté mensajes atrás que navegador usabas, para indicarte cómo cambiar esa ubicación.

Bien, veamos que se ve en esos logs, tanto de HiJackThis como de Activescan, recuerda grabar el informe cuando termine de analizar. Si no puedes pasarlo nos lo indicas y probamos con otro.


Veo que habéis utilizado el RKill, a título informativo: A veces procesos asociados a la instalación de malwares impiden la instalación o ejecución de herramientas de desinfección. Lo que se consigue con RKill es terminar la ejecución de dichos procesos y así poder utilizar las herramientas. RKill debería ser ejecutado de la siguiente forma:

CODE, HTML o PHP Insertado: 
Descarga RKill desde el siguiente enlace:
http://download.bleepingcomputer.com/grinler/rkill.pif
guárdalo en el escritorio.

Haz doble clic sobre el ícono de RKill.
    * Si estás utilizando Vista, haz clic derecho y ejecutas como Administrador
    * Una pantalla en negro se iluminará brevemente. Eso indica que la ejecución fué correcta
    * Si esto no ocurre, eliminá la aplicación y descargala nuevamente desde este otro enlace:
		http://download.bleepingcomputer.com/grinler/rkill.scr
    * Continuá el proceso hasta que la herramienta se ejecute.
    * Los iconos del escritorio desaparecerán momentáneamente, esto es normal.

Acto seguido, y sin reiniciar, ejecutaríamos la herramienta que antes no podíamos utilizar, y que después de pasar RKill, debería funcionar.

Tú indicas lo siguiente:
le di a abrir y se me ha abierto una ventana negra. Despues se ha ido sola y me ha vuelto a la pantalla normal.
Hacer clic para expandir...
De lo que se deduce que la ejecución fué correcta; en cualquier caso, ésto es sólo a título informativo, de momento no es necesario.

A la espera entonces de esos logs, un saludo!!!
 
Veo que habéis utilizado el RKill, a título informativo: A veces procesos asociados a la instalación de malwares impiden la instalación o ejecución de herramientas de desinfección. Lo que se consigue con RKill es terminar la ejecución de dichos procesos y así poder utilizar las herramientas. RKill debería ser ejecutado de la siguiente forma:
Hacer clic para expandir...

Si, eso tambien pensaba yo, por eso le puse la captura y le indicaba que tardaba varios minutos, pero bueno parece que lo hace correctamente.

Esperamos esos LOGS a ver que pasa. Aunque por lo que comenta parece que solo le queda el escudo, que el resto le va bien. A ver si le damos quitado ese escudo.

Salu2!
 
Hola chicos, os copio aqui lo que me pedis, que en el otro foro pone "hilo cerrado". Decidme donde lo pongo si no es aqui.
ahora le paso el activescan. No se si lo tenia que haber pasado antes:32:...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:59, on 02/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\Program Files\Styler\Styler.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
F:\Más archivos Ire\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nixat.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nixat.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Pogramas y cosas\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Send To Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1DD757F-0B8D-4193-946B-AEFBEF5FA172}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

--
End of file - 6235 bytes
 
Estado
Cerrado para nuevas respuestas
Back
Arriba