Hola a todos soy nuevo en este foro y le pido su ayuda...

este es el problema tengo problemas con un virus o spyware no se que sea por que me lo deetecta como los dos...

en la ventana de administrador de tareas me aparece un proceso que al momento de terminarlo vuelve a aparecer en cuestion de segundos, en los elementos de arranque tambien esta y me dice que esta en la carpeta de C:/windows/system32/"............".exe, tambien se encuentra en el disco duro (C:) hay dos archivos uno que es un instalador que dice que es de microsoft corporation install shield el nombre esta generado al azar y cada ves que se borra o termina el proceso o se corre el antivirus y lo elimina se remplasa con otro archivo igual con un nombre diferente (los nombres de los archivos y de los procesos estan generados al azar asi que nunca es el mismo nombre el que aparece) aparte de un archivo que dece "Autorun" que dice lo siguiente:

[AutoRun]
open=pafcsdwxl.exe
shellexecute=pafcsdwxl.exe
shell\Auto\command=pafcsdwxl.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1

he corrido el antivirus y me detecta que es el virus W32.IRCbot, le he dado eliminar y eliminia el virus y al cabo de unos segundos vuelve a aparecer he corrido un anti-spyware y tambien me detecta el archivo como spyware y lo elimina y vuelve a aparecer...

he seguido los paso para la eliminacion del virus W32.IRCbot que vienen en la pagina de symantec y tampoco, he borrado la entrada que hace en el registro y tampoco no puedo eliminarlo...

y lo pero es que me hace muy lenta la coneccion a internet no puedo abrir ninguna pagina tengo que intentarlo por lo menos unas 3 veces...

por favor ayudenme ya estoy desesperado...

de antemano les agradesco su ayuda....

Hola

Iniciá en Modo Seguro y realizá un escaneo con:

• Dr. Web Cure-IT
• SuperAntispyware

Luego eliminá temporales y limpiá el registro con CCleaner.

Por último, analizá con Panda ActiveScan en modo normal y peganos su reporte.

Salu2

hola hardrive una duda en el super antispyware tengo que escanearla con todos o con solo alguno de ellos...

gracias por contestar...

Si te refieres a que discos tienes que analizar, seleccioná la opción de análisis completo, podes encontrar el manual del programa en la sección manuales de este foro.

Salu2

no me referia a si tengo que escanear la maquina con cada unos de los programas que hay ahi o solo la escaneo con uno de ellos...

Preferiblemente con ambos de ellos.

Análisis del archivo yjysxsxas.exe
recibido el 05.09.2007 17:28:22 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 23/32 (71.88%)
Cargando información del servidor..

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.9.5.0 2007.09.05 -
AntiVir 7.6.0.5 2007.09.05 TR/Crypt.FKM.Gen
Authentium 4.93.8 2007.09.05 W32/Ircbot.1!Generic
Avast 4.7.1029.0 2007.09.05 -
AVG 7.5.0.485 2007.09.05 IRC/BackDoor.SdBot3.REI
BitDefender 7.2 2007.09.05 GenPack:Generic.Sdbot.D04BA928
CAT-QuickHeal 9.00 2007.09.05 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.05 Exploit.DCOM.Gen
DrWeb 4.33 2007.09.05 BACKDOOR.IRC.Trojan
eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm
eTrust-Vet 31.1.5111 2007.09.05 Win32/Rbot!generic
Ewido 4.0 2007.09.05 Heuristic.Win32.Exploit
FileAdvisor 1 2007.09.05 -
Fortinet 3.11.0.0 2007.09.05 W32/RBot.IA!tr.bdr
F-Prot 4.3.2.48 2007.09.05 W32/Ircbot.1!Generic
F-Secure 6.70.13030.0 2007.09.05 W32/Malware
Ikarus T3.1.1.12 2007.09.05 Trojan.Win32.Crypt.D
Kaspersky 4.0.2.24 2007.09.05 -
McAfee 5112 2007.09.04 -
Microsoft 1.2803 2007.09.05 Backdoor:Win32/Rbot.gen!A
NOD32v2 2507 2007.09.05 probably a variant of Win32/Rbot
Norman 5.80.02 2007.09.05 W32/Malware
Panda 9.0.0.4 2007.09.05 Suspicious file
Prevx1 V2 2007.09.05 -
Rising 19.39.22.00 2007.09.05 Backdoor.SdBot.wkz
Sophos 4.21.0 2007.09.05 Mal/IRCBot-B
Sunbelt 2.2.907.0 2007.09.05 -
Symantec 10 2007.09.05 -
TheHacker 6.1.9.178 2007.09.05 -
VBA32 3.12.2.3 2007.09.04 Backdoor.Win32.VanBot.ee
VirusBuster 4.3.26:9 2007.09.05 Worm.RBot.Gen.21
Webwasher-Gateway 6.0.1 2007.09.05 Trojan.Crypt.FKM.Gen

Información adicional

Tama?rchivo: 80384 bytes
MD5: 673a200251e41dabf21d1397d4c3acdc
SHA1: e8ae071e2a74fa8612527fbd2869e05a9401eb5a
packers: UPX
packers: UPX
packers: UPX

norman sandbox: [ General information ]<br /> * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<br /> * Anti debug/emulation code present.<br /> * **Locates window \"NULL [class Shell_TrayWnd]\" on desktop.<br /> * File length: 80384 bytes.<br /><br /> [ Changes to filesystem ]<br /> * Creates file C:\woot.wink.<br /> * Creates file C:\WINDOWS\SYSTEM32\xagwxzyrx.exe.<br /> * Deletes file C:\woot.wink.<br /><br /> [ Process/window information ]<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-8.<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-6.1.<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-7.<br /> * Creates a mutex sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-7.1.<br /> * Modifies other process memory.<br /> * Creates a remote thread.<br /><br />

analize el archivo que esta en el disco duro (el *.exe que esta acompa;ado del autorun) con el virus total y esto es lo que me resulto...

Hola:

Este es mi primer posteo en este foro y me da mucho gusto que sea para participar.

Mira yo tuve exactamente el mismo virus que tú... Parece ser que ya lo solucioné bajando el AVG antivirus que es gratuito y detectó y reparó los problemas y ahora ya puedo salir a internet...

El hecho de que tu máquina haya estado prácticamente inservible es porque el 98% del CPU lo estaba tomando dicho virus para tomar información y sacarla de tu PC... eso lo pude detectar con el Monitor de procesos (lo bajas de internet creo se llama monproc o algo asi) y también con un sniffer me dí cuenta de que existía una cantidad de tráfico inusual por mi router...

Espero tengas suerte.