• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 12

    Virus Ukash (Terminado)

    Resumen del tema: Virus Ukash (Terminado) - Sobre el virus Ukash de la policía. He borrado el archivo que decís en otro hilo "mahmud.exe", luego he pasado el Avira que no ha encontrado ningún problema y he reiniciado en modo normal. Ya ...

      
    1. #1
      Usuario Avatar de Morenower
      Registrado
      nov 2011
      Ubicación
      valencia
      Mensajes
      4

      Pregunta Virus Ukash (Terminado)

      Sobre el virus Ukash de la policía. He borrado el archivo que decís en otro hilo "mahmud.exe", luego he pasado el Avira que no ha encontrado ningún problema y he reiniciado en modo normal. Ya no aparece la pantalla de la policía pidiendo 100 dólares pero se me queda el fondo de pantalla sin iconos ni barra de tareas.

      Entonces abro el Administrador de Tareas y ejecuto el explorer.exe ...pero sólo aparece la ventana de carpeta por la que puedo navegar. Ni rastro del escritorio ni la barra de tareas.

      ¿Qué hacemos? Si cargo la última configuración buena conocida lo mismo me vuelve a meter el virus....


      Utilizo XP:

      Si HKCU:Run ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
      Si HKCU:RunOnce FlashPlayerUpdate C:\WINDOWS\system32\Macromed\Flash\FlashUtil10q_Plugin.exe -update plugin
      Si HKLM:Run Broadcom Wireless Manager UI C:\WINDOWS\system3\WLTRAY
      Si HKLM:Run SiSPower Rundll32.exe SiSPower.dll,ModeAgent
      Si HKLM:Run SiS Windows KeyHook C:\WINDOWS\system32\keyhook.exe
      Si HKLM:Run SoundMan SOUNDMAN.EXE
      Si HKLM:Run LManager C:\Archivos de programa\LaunchManage\QtZgAcer.EXE
      Si HKLM:Run SynTPLpr C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
      Si HKLM:Run SynTPEnh C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
      Si HKLM:Run avgnt "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
      Si Startup Common Utility Tray.lnk C:\WINDOWS\system32\sistray.exe
      Reporte añadido en el post anterior.

      Por si no hablamos del mismo virus, esta es la captura de la imagen que me aparece:
      [IMG]http://3.bp.*************/-tZdPgrZLiIw/TtET42MN3RI/AAAAAAAACAY/cwgulQ3SuBM/spanish_ransom.jpg[/IMG]

      Hijos de p*!!!
      Última edición por Morenower fecha: 26/11/11 a las 15:40:24

    2. #2
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Re: Virus Ukash

      Bienvenido Morenower al Foro de InfoSpyware:


      Antes de empezar te hago algunas recomendaciones respecto al foro:

      Consejos para antes de publicar un nuevo mensaje
      Políticas del Foro de InfoSpyware


      Realiza los pasos dados en Cómo eliminar el "Virus de la Policía" (Ransomware).

      Salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    3. #3
      Usuario Avatar de Morenower
      Registrado
      nov 2011
      Ubicación
      valencia
      Mensajes
      4

      Re: Virus Ukash

      Gracias por la bienvenida! Es un gran foro que de vez en cuando visito pero nunca me había registrado. Ahora lo he hecho por la urgencia del tema: es el portátil de mi padre y está de los nervios


      Y ahora sí, muchas gracias por la info!!! El polifix ha sido mano de santo. Ya aparece el escritorio como siempre.

      He pasado el Spybot y no ha encontrado nada. También he pasado el Ccleaner que ha limpiado todo el registro.

      Un saludo y gracias!!

    4. #4
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Re: Virus Ukash

      Hola,

      Todo en orden

      Si eliminaste el archivo, PoliFix hizo el resto

      >> Podrías dejarnos igualmente el reporte de PoliFix

      Salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    5. #5
      Usuario Avatar de Morenower
      Registrado
      nov 2011
      Ubicación
      valencia
      Mensajes
      4

      Re: Virus Ukash

      ¿Se guarda el reporte en algún lado?
      Lo que he visto durante un segundo es: "no se ha encontrado...(no me ha dado tiempo a leerlo todo)"
      Última edición por Morenower fecha: 26/11/11 a las 16:09:50

    6. #6
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Re: Virus Ukash

      Hola,

      Puede que haya quedado en tu unidad principal C:\

      Si no está, no pasa nada

      Nos comentas si restan dudas y/o problemas con el pc...

      Salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    7. #7
      Usuario Avatar de Morenower
      Registrado
      nov 2011
      Ubicación
      valencia
      Mensajes
      4

      Re: Virus Ukash

      Ah vale. Se ha creado en el pen:

      #################################################### PoliFix - Search by InfoSpyware ############


      Microsoft Windows XP [Versi¢n 5.1.2600]
      Versión de PoliFix - Search: 1.0.4
      Fecha: 26/11/2011
      Hora: 21:47:34,59

      --------------------------------- Malware eliminado by PoliFix ---------------------------------



      --------------------------------- Valores WINLOGON y USERINIT ---------------------------------


      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      Shell REG_SZ C:\Documents and Settings\Administrador\Datos de programa\mahmud.exe


      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,


      -------------------------------------- Valores claves RUN -------------------------------------


      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      Broadcom Wireless Manager UI REG_SZ C:\WINDOWS\system32\WLTRAY
      SiSPower REG_SZ Rundll32.exe SiSPower.dll,ModeAgent
      SiS Windows KeyHook REG_SZ C:\WINDOWS\system32\keyhook.exe
      SoundMan REG_SZ SOUNDMAN.EXE
      LManager REG_SZ C:\Archivos de programa\Launch Manager\QtZgAcer.EXE
      SynTPLpr REG_SZ C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
      SynTPEnh REG_SZ C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
      avgnt REG_SZ "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
      FlashPlayerUpdate REG_SZ C:\WINDOWS\system32\Macromed\Flash\FlashUtil10q_Plugin.exe -update plugin

      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

      ------------------------------------------- LISTING -----------------------------------------

      - Carpeta temporal -

      El volumen de la unidad C no tiene etiqueta.
      El n£mero de serie del volumen es: 7155-4455

      Directorio de C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp

      26/11/2011 21:47 <DIR> .
      26/11/2011 21:47 <DIR> ..
      26/11/2011 19:01 2.048.000 Acr58D1.tmp
      26/11/2011 21:11 47.673 chrome_installer.log
      26/11/2011 19:01 7.110.290 fla25.tmp
      26/11/2011 21:47 <DIR> polifix
      3 archivos 9.205.963 bytes

      Directorio de C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\polifix

      26/11/2011 21:47 <DIR> .
      26/11/2011 21:47 <DIR> ..
      24/11/2011 19:58 11.957 PoliFix.cmd
      23/08/2011 22:11 9.662 PoliFix.ico
      2 archivos 21.619 bytes

      Total de archivos en la lista:
      5 archivos 9.227.582 bytes
      5 dirs 25.723.998.208 bytes libres

      #################################################### PoliFix - Search Log -Finalizado- ############
      Un saludo!

    8. #8
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Re: Virus Ukash

      Hola,

      Es normal, los pasos al hacerse desde Símbolo de Sistema, impiden (dificultan) sacar el reporte y más si el pc sigue secuestrado; de ahí que el soft mueva el log al Pendrive

      Y sí, efectivamente el malware tomó el valor de Shell en Winlogon para evitar que cargara el Explorer.exe y por tanto el Escritorio...

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      Shell REG_SZ C:\Documents and Settings\Administrador\Datos de programa\mahmud.exe
      Si eliminaste el archivo:

      C:\Documents and Settings\Administrador\Datos de programa\mahmud.exe
      El pc ya está libre del malware

      >> Nos comentas si restan dudas...

      Salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    9. #9
      Usuario Avatar de mdavidmoreno
      Registrado
      ene 2012
      Ubicación
      españa
      Mensajes
      11

      Re: Virus Ukash

      Hola:

      Enhorabuena por el foro porque es realmente impresionante la cantidad de problemas solucionados.

      Mi PC está infectado con el "Ukash" de los coj...

      He realizado todos los pasos, pero al llegar al final (exit intro) me indica:

      "El sistema no puede encontrar la clave de acceso..."

      Me sale una ventana de el sistema se reiniciara en 20 segundos y no puedo hacer nada para eliminarlo. Luego reinicia y el virus sigue ahí dando por...

      ¿Que puedo hacer, por favor AYUDA!!

      Gracias

    10. #10
      Usuario Avatar de wptelecom
      Registrado
      ene 2012
      Ubicación
      GIRONA
      Mensajes
      2

      Re: Virus Ukash

      Hola,

      yo, despues de seguir todos los pasos, veia que en el winlogon el valor del shell ya habia cambiado a explorer, pero me seguia saliendo el virus.
      Al final opte por provar un disco de rescate de avast, el avast rescue disc, que habia comprado hace tiempo, le pase todas las opciones, hasta que elimino el virus.
      Despues volvi a ejecutar el antivius, y el tune up 2012 y asi consegui que se quitara.
      Por cierto, si te bajas el tune up 2012 en www.serials.ws, encontraras un serial, para hacerlo definitivo.
      Espero que esta informacion te pueda servir.
      Saludos,

    Página 1 de 2 12 ÚltimoÚltimo