Página 1 de 1

Infeccion de Antimalware Doctor

Publicado: 17 May 2010, 09:15
por Ana
Hola:
¿Que tal?
Les escribo para ver si me pueden dar una mano con este pedazo de bicho, hace dias que apareció probe con ccleaner y spybot search & destroy el cual encontro y eliminó otro tanto de amenzas de las que no tenia idea, pero este lo elimina y al reiniciar reaparece.
El mayor problema es que no me deja entrar a paginas de antivirus como panda o kapersky ni a varios foros de antivirus, ni a otras tantas paginas por lo que no se como descargar alguna programa potente que pueda destruirlo.

Espero su ayuda!!!!

Gracias mil!!!!

Re: Infeccion de Antimalware Doctor

Publicado: 17 May 2010, 09:52
por Alejandro
Hola Ana, para eliminar este falso antivirus puedes usar el programa Malwarebytes, desde ese link puedes descargarlo. Si no te deja entrar, prueba desde aquí.

- Descargalo e instálalo. Si no te deja instalarlo, cambiale el nombre al archivo mbam-setup.exe por otro cualquiera, por ejemplo, spamloco.exe. Luego hacele doble clic para instalarlo, a veces estos programas falsos bloquean la instalación de algunos programas de seguridad por su nombre, pero si se cambia no lo detectan.

- Luego actualizalo desde la pestaña Actualizar (aquí puedes ver como hacerlo)

- Realiza un análisis rápido y elimina todo lo que detecte. Te va a pedir que reinicies la PC, reinicia y ya no volverá a aparecer.

Cualquier duda avisanos! y comentanos los resultados :-)

Un saludo.

Dejo una captura para saber como se es :geek:

Imagen

Re: No puedo en ninguna de las dos

Publicado: 17 May 2010, 10:22
por Ana
Hola! gracias por ayudarme! exactamente ESA es la imagen de "Falso antivirus" que cabe destacar que analisa "supuestamente" el sistema con una velocidad increible y encuentra todo un zoologico de virus que este falso antivirus promete desaparecer si compramos su version paga, todo un curro, no se porque no se buscan un laburo en vez de estafar a la gente....en fin...

En el 1º link aparece un mensaje que dice "Vaya! Internet Explorer no ha podido encontrar la página www.malwarebytes.org.(es el mensaje que aparece siempre) y en la otra aparece que "No se puede mostrar la página" luego de hacer click en download...
Intentare bajarlo de algun otro lugar o si tenes otra pag avisame


graciasssssssssssssss

Re: Infeccion de Antimalware Doctor

Publicado: 17 May 2010, 11:03
por Ana
Hola de nuevo!!!!

Pude descargar el Antimalware, reinicie y por ahora no salto la bendita ventana del falso antivirus :grindance:

Lo que sigue sucediendo es que hay muchas paginas a las que aun no puedo entrar....

y... una duda los virus que estan en la pestaña "cuarentena" tengo que borrarlos?

Aguardo tu ayuda!

:-)

Re: Infeccion de Antimalware Doctor

Publicado: 17 May 2010, 17:53
por Alejandro
Hola Ana, recién me vuelvo a conectar.

Genial que ya no aparezca, lo que está sucediendo ahora es que quedaron rastros y hay que eliminar las modificaciones que realizó el programa falso.

- Pásale CCleaner, es un limpiador de archivos temporales y registro. Veo que ya lo habías usado antes, limpia todos los archivos temporales y también el registro. Que elimine todo lo que encuentre, son cosas temporales, así que no pasa nada.

- Las páginas bloqueadas seguramente estén bloqueadas desde el archivo hosts de Windows, debes modificarlo para dejarlo limpio. Por aquí se explica cómo, sigue esas instrucciones. Si tienes alguna duda, avísame, o si tienes otra versión de Windows.

- Ahora hay que pasar el programa HijackThis, este programa genera una lista de cosas que están bien y mal. Hay que eliminar las que están mal. Cuando analiza el equipo, al finalizar te muestra una lista, para saber qué eliminar... pega la lista aquí. Es una herramienta online que analiza el resultado y te marca lo que debes eliminar.

Si tienes alguna duda, avísame, por aquí también puedes ver un manual del programa.

- Ya deberías poder acceder a todas las páginas. Puedes analizar la PC con un antivirus online, para estar segura de que todo está limpio. El de Eset es gratis y elimina lo que encuentra.

- Por último instala algún antivirus, mira por aquí, hay una lista con varios gratuitos.

Re: Infeccion de Antimalware Doctor

Publicado: 17 May 2010, 21:05
por Ana
Hola Spam Loco!
Me es imposible entrar a la pagina que me indicastes por lo del archivo host, igual lo localice pero no se como proceder...¿hay que borrar todo? o se necesita algun programa especial?

Te pego algunas paginas que hay dentro de la carpeta para ver si me podes explicar que hacer...


127.0.0.1 http://www.360.cn
127.0.0.1 http://www.360safe.cn
127.0.0.1 http://www.360safe.com
127.0.0.1 http://www.chinakv.com
127.0.0.1 http://www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 http://www.jiangmin.com
127.0.0.1 http://www.duba.net
127.0.0.1 http://www.eset.com.cn
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 http://www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 http://www.cnnod32.cn
127.0.0.1 http://www.lanniao.org
127.0.0.1 http://www.nod32club.com
127.0.0.1 http://www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 http://www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 http://www.008k.com
127.0.0.1 008k.com
127.0.0.1 http://www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com


la lista sigue y parece interminable...

:?

Re: Infeccion de Antimalware Doctor

Publicado: 17 May 2010, 23:57
por Alejandro
Hola Ana, no te permite acceder porque es la página de un antivirus, la de Eset.

Debes eliminar toda esa lista de sitios, luego guardas los cambios y lo cierras.

Re: Infeccion de Antimalware Doctor

Publicado: 18 May 2010, 19:04
por Ana
Hola SpamLoco!!!

Ya elimine todo lo que habia en el host.

Te voy a dejar mas loco de lo que ya indica tu nick, disculpa la ignorancia total del tema pegue el reporte en la pagina que me indicastes pero no se realmente que tengo que eliminar y que no,y nuevamente la pagina que me indicas es inacesible :? tengo miedo de meter la pata :redface: te dejo el reporte nuevamente y prometo que para el proximo virus me aprendo la leccion :-)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 06:43:58 p.m., on 18/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWlan.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\hijackthis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Jazler Studio Auto Startup.lnk = ?
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/i ... ction2.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/ph ... NPUpld.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--
End of file - 11212 bytes

Re: Infeccion de Antimalware Doctor

Publicado: 18 May 2010, 20:30
por Alejandro
Hola Ana, estuve mirando los resultados que te da la página al pegar el log de HijackThis, pero no noté nada raro. Sólo una línea que se podría eliminar:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

En el programa haces clic en "Do a system scan only" y luego, en la lista que aparece, seleccionas esa línea. Después le haces clic en "Fix checked".

Es raro que aún no te permita entrar a las páginas, pasale de nuevo CCleaner para que elimine todos los archivos temporales y entradas de registro que detecte, y luego prueba con este programa llamado SUPERAntiSpyware Scan Online, es muy parecido a MalwareBytes.

Re: Infeccion de Antimalware Doctor

Publicado: 31 May 2010, 18:35
por Ana
Hola spam Loco te cuento que pase el programa que me indicastes y aun no podia acceder a ciertas paginas luego de eso la maquina se jodio, le aparecio una pantalla negra que decia abajo insert disk and press enter o algo asi, que ya debe ser la 7ª vez que pasa por lo que la llevaron a un tecnico quien formateo todo de nuevo, por ahora va bien pero este tecnico dice que aun tiene virus....
te agradezco la ayuda para eliminar el antimalware!!!!!!


Hasta pronto!!!!

Re: Infeccion de Antimalware Doctor

Publicado: 30 Jun 2010, 22:35
por Computeitor
- Ahora hay que pasar el programa HijackThis, este programa genera una lista de cosas que están bien y mal. Hay que eliminar las que están mal. Cuando analiza el equipo, al finalizar te muestra una lista, para saber qué eliminar... pega la lista aquí. Es una herramienta online que analiza el resultado y te marca lo que debes eliminar.

Borra solamente los archivos host ?