Ayuda con NewHeur_PE Virus, entre otros... (!!!)

**G_Type** · 30/12/06, 13:23:28

Primero, y antes que nada, buenas tardes...

Paso a comentar mi problema:

Antes, aclaro, mi Sistema Operativo es Windows 2000.

Hace 2 días que tengo banda ancha en mi casa, y digamos que cometí el error de entrar a Internet sin más protección que el Symantec Antivirus Client. De todos modos, estaba informado de las vulnerabilidades de IE y rápidamente baje el Ad Aware SE Personal y el Mozilla Firefox (Tratando de entrar a la menor cantidad de paginas posibles). Desde ese momento empece a usar el Firefox (Por cierto, la version 2, si es que es necesario indicarlo. Tengo entendido que posee algunas fallas, pero no creo que sean en este momento el problema) Evidentemente el corto tiempo que estuve utilizando IE, algun spyware y/o virus ingresó a mi maquina. La cuestión es que me aparecía una ventana de información (Como esas que suele usar Windows) diciendome que habia un problema en el registro y que debía bajar un programa de una página que por cierto, siempre era diferente. Obviamente no le presté atención ya que sabía que se trataba de un PopUp. Lo que me parecía raro es que me seguían apareciendo cada tanto esas ventanas (Siempre con un mensaje sobre que andaba mal el sistema e invitandome a entrar a una pagina diferente) incluso bajo Firefox. Empezaron a surgir diferentes errores raros en mi pc:

* No podía copiar ni mover archivos de un lado al otro,
* No podía ver el contenido de algunas carpetas, como por ejemplo, Archivos de Programa, pero los archivos están de todos modos...
* En el Paint, no podía copiar y pegar cosas porque aparecía un error diciendo "Servidor RPC no disponible"
* En el Administrador de Dispositivos y otras utilidades de Windows en las que puedo ver propiedades, las mismas no aparecían y cuando quería cerrar la utilidad, me decia que cierre primero las ventanas de propiedades...
* Se creaban en diferentes carpetas archivos .exe de 8 letras al azar, todos pesando 56,5 kb.
* Se notaba una lentitud en el sistema...

Gracias a un amigo logre bajarme el Nod32, con él pude escanear mejor que el Symantec, que por cierto pasaba esos archivos .exe por encima y no detectaba nada... Para empeorar las cosas, quise eliminar el Symantec para proceder con el Nod32, pero el programa de desinstalación me decía que Windows Installer tenía una falla... que era por que, o estaba en modo a prueba de fallos (cosa que no) o porque Windows Installer estaba mal instalado. Elimine manualmente el Symantec y procedí con el Nod32, que detecto las posibles amenazas. Las que recuerdo en este momento, eran "alg.exe" ubicado en Winnt/System, que estaba infectada con un Troyano. Mediante estos foros y otras webs entendí que alg.exe es el "firewall" de la pc... me pareció extraño.
Tambien "iexplore.exe" estaba infectado.
La cuestión es que los supuestos virus fueron eliminados, pero ahora haciendo un Análisis Profundo en el Nod32, el mismo descubrió esos archivos de 8 letras al azar, y me dice lo siguiente:

(Ejemplo)
El archivo C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\Content\Reference\CSS\lhkkrjqs.exe está infectado con Probablemente desconocido NewHeur_PE (Virus).

Este mensaje me aparece miles de veces, siempre con un archivo diferente. A ver si me explico... estos archivos se reprodujeron en varias de mis carpetas y la verdad, son DEMASIADOS. Lo que hago con cada uno es "Eliminar", pero temo que se sigan reproduciendo por la pc... Las carpetas en las que están estos archivos son:

* Photoshop CS
* Macromedia Dreamweaver 8
* Microsoft Shared
* dPowerAmp

Aclaro, hablo de las carpetas y subcarpetas pertenecientes a estos programas... hasta ahora sigo eliminando cada archivo que el Nod32 me indica... y la verdad son demasiados y no creo terminar pronto... he intentado eliminar manualmente los virus buscando en Archivos de Programa pero ahora resulta que vuelve a pasarme el error de que no se ven los íconos (Los archivos están de todos modos)

Quisiera saber que debo hacer al respecto, necesito gran ayuda, he superado muchos problemas con mi pc pero la verdad, este me inquieta demasiado, es la primera vez que tengo banda ancha y todavía no me perdono el haberme protegido antes de tenerla... Desde ya, muchas gracias...

**Sprite** · 30/12/06, 13:50:43

Hola

Que tal?

Descargar y/o actualiza estos programas

Inicia el Sistema a Modo a Prueba de Fallos

Analiza con las herramientas anti-spyware mencionadas y elimina lo que encuentren.

Usa el DiskCleanerpara limpiar cookies y temporales

Reinicia en Modo Normal

Pasa el Kaspersky y el Ewido Online y nos pegas el reporte que te genere.
*Tal vez tengas que reinstalar algunos programas ya que algunos archivos de esos estan infectados y tendran que ser eliminados*

* Te recomiendo tener el SpywareBlaster (Manual) para protegerte de ActiveX maliciosos y tener un cortafuegos como el ZoneAlarm*

Salu2
Alex

**G_Type** · 30/12/06, 14:50:30

Me dispongo a hacer lo que me sugieres, pero tengo un problema mas: Tal parece que ahora no puedo usar Internet Explorer porque aparece el mensaje de "Nueva Conexion a Internet"... esa ventana que aparece cuando NO tenes internet... raro porque SI tengo Internet... estoy usando el Firefox ahora, pero ya veo que los antivirus online no funcionan con Firefox... me pregunto por qué...

**Sprite** · 30/12/06, 14:58:36

Hola

Haz el analisis con el Trend Micro ya que se puede hacer en FireFox.
**Instala el IE Tab + Manualcque simulara el internet explorer y trata de hacer los analisis del Kaspersky y el Ewido

Salu2
*Pienso que estan infectado con un spyware ,virus que odia microsoft xD!

**G_Type** · 30/12/06, 15:01:22

Ahora yo tambien empeizo a odiar a microsoft... :p
Bueno, procedere a seguir tus consejos... desde ya gracias!
En cuanto tenga el log, te lo pasaré, por cierto, el Trend Micro también genera un log al igual que el Ewido y el Kaspersky?

**Sprite** · 30/12/06, 15:19:44

Hola

De seguro debe hacer un LOG .
No olvides que si logras pasar el ewido tiene la funcion de eliminar algnas cosas , nos pegas el log del ewido de las cosas que no pudo eliminar

Salu2

**G_Type** · 30/12/06, 22:39:12

Bueno, por suerte no tuve problemas con el Ewido...

, borró todos los virus que encontró, por las dudas te paso el log...

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________

Name: Backdoor.SdBot.aad
Path: [736] C:\WINNT\services.exe
Risk: High

Name: Dialer.PlayGames.l
Path: C:\Documents and Settings\Default User.WINNT\Configuración local\Archivos temporales de Internet\Content.IE5\G16VKLEZ\adult1[1].exe
Risk: High

Name: TrackingCookie.Adtech
Path: :mozilla.12:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies-1.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.13:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies-1.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.15:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies-1.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.16:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies-1.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.17:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies-1.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.19:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.20:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.21:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.22:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.23:C:\Documents and Settings\GuST01\Datos de programa\Mozilla\Firefox\Profiles\z6ckw709.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\GuST1\Cookies\gust1@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.40:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.41:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.45:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.54:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.55:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: :mozilla.56:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.57:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.58:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.60:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.61:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.62:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.63:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: :mozilla.64:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: :mozilla.65:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: :mozilla.86:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Cqcounter
Path: :mozilla.90:C:\Documents and Settings\GuST1\Datos de programa\Mozilla\Firefox\Profiles\jdm6fykg.default\cookies.txt
Risk: Medium

Name: Backdoor.SdBot.aad
Path: C:\WINNT\services.exe
Risk: High

Name: Backdoor.SdBot.aad
Path: C:\WINNT\system32\eaz.exe
Risk: High

Name: Backdoor.SdBot.aad
Path: C:\WINNT\system32\gjc.exe
Risk: High

Name: Backdoor.SdBot.aad
Path: C:\WINNT\system32\kts.exe
Risk: High

Name: Backdoor.SdBot.aad
Path: C:\WINNT\system32\rvk.exe
Risk: High

Name: Backdoor.SdBot.aad
Path: C:\WINNT\system32\uag.exe
Risk: High

Name: Backdoor.SdBot.aad
Path: C:\WINNT\system32\yok.exe
Risk: High

**Hardrive** · 30/12/06, 23:18:57

Hola G_Type

Por las dudas, asegurate de que estos archivos no existan:
C:\WINNT\services.exe
C:\WINNT\system32\eaz.exe
C:\WINNT\system32\gjc.exe
C:\WINNT\system32\kts.exe
C:\WINNT\system32\rvk.exe
C:\WINNT\system32\uag.exe
C:\WINNT\system32\yok.exe
Si existen, borralos con el Killbox.

Quedamos a la espera del reporte del Kaspersky o Trend Micro

Salu2

**G_Type** · 31/12/06, 10:16:33

Estoy procediendo a usar el Trend Micro y luego el Kaspersky, pero antes queria consultarles algo:

Hay un archivo que particularmente me parece raro, y q se inicia en el startup. No había oído de ese archivo hasta que me conecte a internet por primera vez... el nombre es winl0g0.exe. Me parece bastante extraño el nombre... no se, tal vez se trate de un virus... ustedes q dicen?

**<¡D3vIL!>** · 31/12/06, 10:52:09

Hola G_Type

Ese archivo es un malware:

winl0g0.exe <<--lo que paseren o(letra) son 0(numero)

El legitimo es:

winlogon

Como tú sistema es 2000,la ubicacion del malware debe estar acá:

C:\WINNT\system32\winl0g0.exe este archivo lo debes borrar,pero no lo confundas con ¡¡winlogo!!

Pero mejor que peges los reporte de los antivirus online ,para ver si lo detecta y ver exactamente la ubicacion o donde esta alojado el malware....

Salu2

Recuerda volver

Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Herramientas

Ayuda con NewHeur_PE Virus, entre otros... (Log de Kaspersky completado)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)

Re: Ayuda con NewHeur_PE Virus, entre otros... (!!!)