• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    Falso antivirus System Restore

    Hola buenas tardes! Me he registrado ahora mismo en el foro así que supongo que lo estoy haciendo correctamente xD Este mediodía ha saltado en mi otro pc un aviso de un "antivirus" llamado System ...

    1. #1
      Usuario Avatar de eriii89
      Registrado
      feb 2013
      Ubicación
      España
      Mensajes
      4

      Atención Falso antivirus System Restore

      Hola buenas tardes! Me he registrado ahora mismo en el foro así que supongo que lo estoy haciendo correctamente xD Este mediodía ha saltado en mi otro pc un aviso de un "antivirus" llamado System Restore, al cual se le han añadido muchas ventanas de error que no paran de saltar y dar el coñazo... Se han ocultado todos los programas y archivos del pc y me ha bloqueado la conexión a Internet. He probado a iniciarlo en Modo Seguro y desde allí instalar varios programas pero, o no me dejaba completar la instalación, o lo ha hecho y no ha servido de nada... He intentado buscar información por Internet y me he guardado un programa llamado SpyHunter pero ni siquiera completa la instalación. También he probado a poner comandos en "ejecutar" desde el Modo Seguro para poder descargarlos, pero es inútil; me ha bloqueado completamente la conexión a Internet. Si alguien sabe qué más opciones puedo probar lo agradecería infinitamente, empiezo a estar desesperada ><

      Muchísimas gracias por adelantado, un saludo!

    2. #2
      Ex-Colaborador Avatar de Anleg_30
      Registrado
      dic 2007
      Ubicación
      Bna-Venezuela
      Mensajes
      10.545

      Re: Falso antivirus System Restore

      Buenas eriii89, bienvenido al foro.

      1.-Descarga la herramienta ComboFix.exe y guárdala en el escritorio. (Ver solo Video)


      2. Ejecuta ComboFix siguiendo estas instrucciones:
      • Desactiva temporalmente el Antivirus y/o Antispyware. (importante)
      • Cierra todos los programas y ventanas que tengas abiertas.
      • Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
        Si te muestra que hay una "new version available" la confirmas y si te solicita instalar la "Recovery Console" se lo permites.
      • Cuando termine, generara un reporte en C:\ComboFix.txt.

      o Nota_1: Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
      o Nota_2: ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

      3. Reinicia y pega el reporte de C:\ComboFix.txt en tu siguiente Post.

      Ejecutalo desde Modo Seguro si en Modo Normal no te deja.



      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de eriii89
      Registrado
      feb 2013
      Ubicación
      España
      Mensajes
      4

      Re: Falso antivirus System Restore

      Gracias por la respuesta. Te comento; he abierto el programa tal y como me has dicho. Parecía que estaba cargando pero de repente han saltado dos ventanas de error, se ha abortado la instalación y ha desaparecido el icono de ComboFix del escritorio... Si quieres repito el proceso e intento copiarte lo que dice en las pantallitas de error.


      Erika

    4. #4
      Ex-Colaborador Avatar de Anleg_30
      Registrado
      dic 2007
      Ubicación
      Bna-Venezuela
      Mensajes
      10.545

      Re: Falso antivirus System Restore

      Ok,

      Entonces realiza esto otro:

      Descarga RKill (iExplore) al escritorio.

      Descarga DDS y guardarlo en el escritorio.

      Cierra absolutamente todos los programas y ventanas abiertas (Importante)
      Ejecuta RKILL (iExplore) dando doble clic, el proceso durará solo segundos.

      Luego Has doble clic en ddspara ejecutar la herramienta y espere a que finalice y muestre el reporte.
      • Cuando haya terminado, DDS, se abriran dos reportes:
        1. DDS.txt
        2. Attach.txt
      • Guardar los dos informes en su escritorio y pegue únicamente el reporte del archivo DDS.txt en su próximo Post.

      *Nota* Guarde reporte del archivo Attach.txt y péguelo únicamente si se le solicita.


      Al finalizar copia y pega el reporte que mostró DDS.txt



      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de eriii89
      Registrado
      feb 2013
      Ubicación
      España
      Mensajes
      4

      Re: Falso antivirus System Restore

      Te pego el reporte DDS.txt



      DDS (Ver_2012-11-20.01) - NTFS_x86 MINIMAL
      Internet Explorer: 8.0.6001.18702
      Run by Administrador at 1:44:27 on 2013-02-10
      Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.1983.1725 [GMT 1:00]
      .
      AV: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
      AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
      FW: ActiveArmor Firewall *Disabled*
      .
      ============== Running Processes ================
      .
      C:\Archivos de programa\AVAST Software\Avast\AvastUI.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\svchost.exe -k netsvcs
      .
      ============== Pseudo HJT Report ===============
      .
      BHO: AVG Safe Search: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - c:\archivos de programa\avg\avg2012\avgssie.dll
      BHO: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - c:\archivos de programa\avast software\avast\aswWebRepIE.dll
      BHO: Windows Live Aplicación auxiliar de inicio de sesión: {9030D464-4C02-4ABF-8ECC-5164760863C6} - c:\archivos de programa\archivos comunes\microsoft shared\windows live\WindowsLiveLogin.dll
      BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\archivos de programa\java\jre6\bin\jp2ssv.dll
      BHO: JQSIEStartDetectorImpl Class: {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      TB: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - c:\archivos de programa\avast software\avast\aswWebRepIE.dll
      uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
      mRun: [RTHDCPL] RTHDCPL.EXE
      mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
      mRun: [nwiz] nwiz.exe /install
      mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
      mRun: [SunJavaUpdateSched] "c:\archivos de programa\archivos comunes\java\java update\jusched.exe"
      mRun: [AVG_TRAY] "c:\archivos de programa\avg\avg2012\avgtray.exe"
      mRun: [dbheuPYTtA.exe] c:\documents and settings\all users.windows\datos de programa\dbheuPYTtA.exe
      mRun: [avast] "c:\archivos de programa\avast software\avast\avastUI.exe" /nogui
      dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
      uPolicies-Explorer: NoDriveTypeAutoRun = dword:323
      uPolicies-Explorer: NoDriveAutoRun = dword:67108863
      mPolicies-Explorer: NoDriveAutoRun = dword:67108863
      mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
      mPolicies-System: DisableTaskMgr = dword:1
      mPolicies-Windows\System: Allow-LogonScript-NetbiosDisabled = dword:1
      mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
      mPolicies-Explorer: NoDriveAutoRun = dword:67108863
      IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
      IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\archivos de programa\messenger\msmsgs.exe
      DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
      DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
      DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
      DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
      DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} - hxxp://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
      TCP: NameServer = 80.58.61.250 80.58.61.254
      TCP: Interfaces\{68CC9C2E-15F3-4634-9486-6BD2E0076027} : DHCPNameServer = 80.58.61.250 80.58.61.254
      TCP: Interfaces\{C11F7854-9744-47AB-9137-04BF2CC4BD0D} : DHCPNameServer = 80.58.61.250 80.58.61.254
      Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\archivos de programa\avg\avg2012\avgpp.dll
      SecurityProviders: SecurityProviders = msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, AdfosxuPfuwq.dll
      .
      ============= SERVICES / DRIVERS ===============
      .
      R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [2011-7-11 23120]
      R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [2011-9-13 32592]
      S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2013-2-8 738504]
      S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2013-2-8 361032]
      S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [2011-10-7 230608]
      S1 Avgmfx86;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\drivers\avgmfx86.sys [2011-8-8 40016]
      S1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [2011-7-11 295248]
      S2 54Mbps Wireless Network;54Mbps Wireless Network Service;c:\archivos de programa\wmonitor\WLService.exe [2010-1-18 49152]
      S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2013-2-8 21256]
      S2 avast! Antivirus;avast! Antivirus;c:\archivos de programa\avast software\avast\AvastSvc.exe [2013-2-8 44808]
      S2 AVGIDSAgent;AVGIDSAgent;c:\archivos de programa\avg\avg2012\AVGIDSAgent.exe [2011-10-12 4433248]
      S2 avgwd;WatchDog de AVG;c:\archivos de programa\avg\avg2012\avgwdsvc.exe [2011-8-2 192776]
      S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2010-1-23 1691480]
      S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [2011-7-11 134608]
      S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [2011-7-11 24272]
      S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [2011-10-4 16720]
      S3 PAC207;VideoCAM GE111;c:\windows\system32\drivers\PFC027.sys [2005-4-8 162176]
      .
      =============== Created Last 30 ================
      .
      2013-02-08 18:42:05 738504 ----a-w- c:\windows\system32\drivers\aswSnx.sys
      2013-02-08 18:41:50 41224 ----a-w- c:\windows\avastSS.scr
      2013-02-08 17:14:47 -------- d--h--w- c:\documents and settings\administrador\datos de programa\GlarySoft
      2013-02-08 17:12:07 -------- d--h--w- c:\archivos de programa\Glary Utilities
      2013-02-08 17:07:51 -------- d--h--w- c:\archivos de programa\VS Revo Group
      2013-02-08 16:41:26 -------- d--h--w- C:\TDSSKiller_Quarantine
      2013-02-08 15:59:26 -------- d-sh--w- c:\documents and settings\administrador\PrivacIE
      2013-02-08 15:35:04 -------- d--h--w- c:\documents and settings\all users.windows\datos de programa\PC Tools
      2013-02-08 15:35:04 -------- d--h--w- c:\documents and settings\administrador\datos de programa\TestApp
      2013-02-08 14:44:40 -------- d--h--w- c:\archivos de programa\NoVirusThanks
      2013-02-08 13:57:22 -------- d-sh--w- c:\documents and settings\administrador\IETldCache
      2013-02-08 13:24:40 294912 ---ha-w- c:\documents and settings\all users.windows\datos de programa\dbheuPYTtA.exe
      .
      ==================== Find3M ====================
      .
      .
      ============= FINISH: 1:44:40,26 ===============

    6. #6
      Ex-Colaborador Avatar de Anleg_30
      Registrado
      dic 2007
      Ubicación
      Bna-Venezuela
      Mensajes
      10.545

      Re: Falso antivirus System Restore

      Bien,

      Descarga OTM + MANUAL

      Ejecuta la Herramienta OTM:

      • Haz doble clic sobre OTM para ejecutarlo.
      • Copia el texto que te dejo en el recuadrado de abajo, y
        pega el texto en el marco izquierdo de OTM llamado "Paste Standard List of Files / Folders to be Moved"


      Código HTML:
      :Reg
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
      "DisableTaskMgr"=-
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "dbheuPYTtA.exe"=-
      
      :Files
      c:\documents and settings\all users.windows\datos de programa\dbheuPYTtA.exe
      
      :Commands
      [emptytemp]
      [resethosts]
      
      • Pulsa sobre MoveIt!para lanzar la supresión.
      • Cuando el resultado aparezca en el marco derecho Results, pulsa en Exit
      • Si no reinicia automáticamente, entonces debes Reiniciar (muy importante para eliminar todo)
      • Se creará un reporte en C: \ _ OTM\MovedFiles es un archivo de texto con la extensión ".log" lo
        buscas y lo dejas en tu siguiente Post.



      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de eriii89
      Registrado
      feb 2013
      Ubicación
      España
      Mensajes
      4

      Re: Falso antivirus System Restore

      Vale, te comento. He hecho los pasos que me has dicho, he podido reiniciar y ya no aparece el virus, lo único es que siguen todos los programas ocultos. Me he metido a Mi PC desde la tecla windows+E y desde ahí he podido acceder a la unidad C: y copiarte el texto. Te lo pego a continuación:


      All processes killed
      ========== REGISTRY ==========
      Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\\DisableTaskMgr deleted successfully.
      Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\dbheuPYTtA.exe deleted successfully.
      ========== FILES ==========
      c:\documents and settings\all users.windows\datos de programa\dbheuPYTtA.exe moved successfully.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: Administrador
      ->Temp folder emptied: 5641434 bytes
      ->Temporary Internet Files folder emptied: 205451 bytes
      ->Flash cache emptied: 456 bytes

      User: All Users

      User: All Users.WINDOWS

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: Default User.WINDOWS
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: Erika
      ->Temp folder emptied: 2933658 bytes
      ->Temporary Internet Files folder emptied: 688753496 bytes
      ->Java cache emptied: 187320 bytes
      ->Flash cache emptied: 435671 bytes

      User: LocalService
      ->Temp folder emptied: 66016 bytes
      ->Temporary Internet Files folder emptied: 113013 bytes

      User: LocalService.NT AUTHORITY
      ->Temp folder emptied: 115616 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: NetworkService.NT AUTHORITY
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: PC
      ->Temp folder emptied: 458670898 bytes
      ->Temporary Internet Files folder emptied: 50912584 bytes
      ->Java cache emptied: 29516305 bytes
      ->FireFox cache emptied: 10179773 bytes
      ->Flash cache emptied: 135994 bytes

      User: UpdatusUser
      ->Temporary Internet Files folder emptied: 32768 bytes

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 2134225 bytes
      %systemroot%\System32 .tmp files removed: 2909 bytes
      %systemroot%\System32\dllcache .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 131072 bytes
      RecycleBin emptied: 102316273 bytes

      Total Files Cleaned = 1.290,00 mb

      C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
      HOSTS file reset successfully

      OTM by OldTimer - Version 3.1.21.0 log created on 02102013_143336




      Muchísimas gracias nuevamente por tu ayuda