Foro de Spyware - Ver Mensaje Individual - Aquí está mi calvario particular

Tema: Aquí está mi calvario particular

Ver Mensaje Individual

post #2 (permalink)

05/02/05, 12:23:03

PatomaS

Colaborador

Registrado: ene 2005

Ubicación: Holanda

Mensajes: 6.091

Hola

Bueno, vayamos por partes.

En principio, con la herramienta que puedes descargar desde aquí deberías poder eliminar el mydoom.

Aparte de la eliminación de ese virus, te recomiendoque hagas una revisión en líne ausando las herramientas que te proponemos aquí. Mi recomendaci`´on personal, es que hagas la del Rav antivirus y otra, si haces tres, no etsraá mal.

Este archivo: C:\WINDOWS\system32\ieme.exe no me suena mucho, así que te diría que pidas las propiedades del mismo y revises de que empresa procede, si es algo que conozcas, lo dejas, si no lo es, lo renombra y ves como funciona tu sistema. si quieres, nos puedes enviar la información del archivo en cuestión.
Marca también esto para reparar:
O4 - HKLM\..\Run: [ieme.exe] C:\WINDOWS\system32\ieme.exe

Esto deberías borrarlo, no es normal que una carpeta o un archivo tenga como parte de sunombre una clave activeX:
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bb1132e63d39a4a85c4d5004394d0db7\update\update. exe

Mraca estas entradas para reparar:
C:\WINDOWS\system32\apife.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pgarr.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pgarr.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pgarr.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pgarr.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pgarr.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pgarr.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pgarr.dll/sp.html#12345

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {B9E2E44C-EE57-A711-7BB5-5A4816D6A0C1} - C:\WINDOWS\d3fu32.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [Lorraine] C:\WINDOWS\System32\Lorraine.exe (a menos que tú haya sinstalado algo con este nombre)

Parece que tienes, o has tenido el virus mapson, revisa esta página para su eliminación. Aparte de marcar para reparar esa línea en el hijackthis, asegúrate de que se borra ese archivo de tu disco.

Esto también lo deberás eliminar
O4 - HKLM\..\Run: [zango] c:\program files\zango\zango.exe

Luego trata de eliminar desde agregar o quitar programas cualquier cosa relacionada con 180 solutions y tras reiniciar en modo seguro, cerciórate de eliminar esta carpeta: c:\program files\zango

O4 - HKLM\..\Run: [Dns Resolver] dnsrslve.exe
O4 - HKLM\..\RunServices: [Dns Resolver] dnsrslve.exe
Y revisa esta página, sigue las instrucciones de eliminación y trata de instalar los parches de microsoft que recomiendan.

O4 - HKLM\..\RunOnce: [apife.exe] C:\WINDOWS\system32\apife.exe
C:\WINDOWS\system32\apife.exe

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurokazaa3\local.htm (file missing)

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} - http://t058.com/cabtest/counter.cab

Además, tienes montones de servicios funcionando que seguramente no necesitas, así que yo te recomiendo que los deshabilites a menos que realmente los requieras, esto lo haces desde las herramientas administrativas > servicios. Deshabilita: Escritorio remoto de netmeeting, registro remoto, tarjeta inteligente y su ayuda, instatáneas de volumen, snmp, publicación en web y smtp.

Recuerda, debes hacer los cambios teniendo la restauración del sistema deshabilitada, de lo contrario, las cosas que elimines, volverán a aparecer.

Sobre los servicios, si notas alguna cosa rar en tu máquina, puede que debas rehabilitaralguno, pero en principio, no lo creo y por el momento tienes muchas puertas abiertas en tu máquina

También veo que tienes el yahoo messenger y el msn messenger, además con montones de acceosrios, tal vez sea mejor que los slimines dado que son muy susceptibles de ataques y que instales Trillian, este programa te permite conectarte a todas las redes de mensajería instantánea existenes.

De igual forma, revisa tu agregar o quitar programas y todo aquello que veas extraño, elimínalo o si prefieres, pregúntanos.

Finalmente, deberías usar el regseeker para limpiar un poco tu registro, ejecútalo hasta que no aparezca nada en la copción de "cleanup the registry"

Suerte

Felicidad

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.