Necesito ayuda con el virus REG/Zapchast porfavor!

**fabian_sl** · 25/04/07, 19:30:48

Mis sintomas son los siguientes:

-se intenta crear un archivo C:\a.bat (pero mi antivirus NOD32 no lo permite)
-muchas paginas de internet no se cargan o algunas otras cuesta trabajo cargarlas al primer intento, es decir, tengo que darle en "Actualizar" para q se carguen bien (se cargan con errores, incompletas, sin algunas fotos, etc)
-el centro de seguridad de windows se desactiva

Este problema ocurrio desde q abri un zip bajado de Ares (he aprendido la leccion, no lo volvere a hacer!) y luego luego marco error mi NOD32 pero pues no sirvio d mucho pq la infeccion ocurrio como sea.

He investigado y me he dado cuenta q existen 2 procesos en mi maquina q no habia visto: C:\windows\system32\antiwarezz.exe y C:\windows\system32\avg23.exe

Lo q se me hace extraño es que no encuentro en internet informacion alguna sobre ninguno de los 2 archivos. Ademas, al terminar el proceso "avg23.exe", las paginas q no cargaban, ya se pueden cargar (un ejemplo d esta pagina es www.yahoo.com) Y el aviso de virus "a.bat" es ocasionado por el programa "antiwarezz.exe", segun NOD32

Les agradezco muchooo su atencion y espero alguien me pueda ayudar!!

**axl456** · 26/04/07, 03:30:20

hola te recomiendoque busques en tu pc para ver si tienes instalado alguno de estos codec o programas que en estas listas aparecen..

ahora descargate e instala estos programas..

spyware blaster este es el manual
Ad-Aware 1.06 SE Personal o el spybot search & destroy (preferiblemente el spybot)
ccleaner este es el manual

pimero usa el ccleaner y entra en la casilla de herramientas, ahora busca en la lista que te aparece en desintalar programas los programas o codecs que tengas en tu pc y aparescan en las listas que coloque arriba, luego usa el ccleaner en la opcion de limpiador haz click en analizar y luego en ejecutar limpiador, luego entra en la casilla de registro haz click en buscar problemas y luego en reparar selecionadas haciendo una copia de seguridad y guardandola en caso de borrar una entrada necesaria para poder regresar a esa configuracion, ahora utiliza el ad-aware o el spybot search & destroy y revisa y elimina lo que te encuentre..

Ahora haz un scan online en estas paginas en este orden que te estoy colocando

ewido has click en remove infections, este es el manual
kaspersky (pega el log que te genere el escaneo aqui para revisarlo), este es el manual

recuerda usar internet explorer para pasar los antivirus.. si usas firefox puedes usar el Ietab
suerte recuerda colocar el log de kaspersky aqui para revisarlo..

**fabian_sl** · 26/04/07, 18:42:11

pues antes q nada axl456, gracias por tu atencion.

Y bueno, pues hice todo lo q me indicaste y debo mencionar que no tengo ningun antispyware, codecs falsos o programas p2p. Busque en la lista del Ccleaner y habia unicamente programas legitimos y saludables.

Luego corri los antivirus y no detectaron nada. Eso es lo q me sorprende.. ni mi NOD32 ni el Kaspersky detectan nada. (te pegare al final el reporte del kaspersky, pero hasta donde puedo entender, detecto unicamente 2 archivos y son archivos q se encuentran en cuarentena por el NOD32)

En cuanto a mi computadora, el comportamiento sigue siendo el mismo.. las paginas no cargan a la primera, algunas paginas cargan sin fotos (hay q dar "actualizar" para q carguen bien) y noto cierto lag o como q d repente corren lentos tanto internet explorer como msn messenger.

Me atrevi a borrar el archivo c:\windows\system32\antiwarezz.exe y se volvio a crear en el siguiente reinicio. Estoy casi seguro q los archivos avg23.exe y antiwarezz.exe son parte d mi problema, pero no encuentro nada d informacion en internet.

Ademas mi computadora esta supuestamente protegida con Spyware Doctor y NOD32 (con ultimas actualizaciones y practicamente maxima seguridad en opciones).

Aqui esta el log del Kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
jueves, 26 de abril de 2007 17:27:08
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 27/04/2007
Registros en la base antivirus: 285826
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 40209
Virus encontrados: 2
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 00:22:40

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked saltado
C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado
C:\Archivos de programa\ESET\infected\BBVCFZCA.NQF Infectados: Trojan.Win32.VB.ol saltado
C:\Archivos de programa\ESET\infected\W1SWCSAA.NQF Infectados: Trojan-Downloader.Win32.Agent.awf saltado
C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado
C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_3E68_6827_6867_DBE1\dfsr.db Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_3E68_6827_6867_DBE1\fsr.log Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_3E68_6827_6867_DBE1\fsrtmp.log Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_3E68_6827_6867_DBE1\tmp.edb Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\[email protected]\real\members.stg Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\[email protected]\shadow\members.stg Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012007042620070427\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\Perflib_Perfdata_17a0.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\Perflib_Perfdata_26c.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\~DF723D.tmp Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\~DF7251.tmp Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\~DF7CF3.tmp Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\~DF7CF8.tmp Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\kspydoc.log Object is locked saltado
C:\WINDOWS\system32\Sweeper.cfg Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

**Aяcαиgєℓ** · 26/04/07, 18:53:02

Hola

Realiza lo siguiente.

Vacia la cuarentena de tu antivirus.

Descarga y ejecuta el DrWebCure-it.

Lee estos enlaces y sigue lo que mencionan alli.

Eliminar lentitud de windows

Desfragmenta tu Disco Duro.

Trucos para que Windows sea mas rapido.

y realizale un Scann Disck A tu disco duro.

//Sobre el archivo que mencionas hiciste bien ya que busque y no encontre , sube ese archivo a virus total el reporte lo copias y lo pegas aqui mismo//

salu2
Nos comentas si te funciono.

**fabian_sl** · 26/04/07, 19:50:36

Pues gracias Angel, lei tus links pero mi problema no es sobre hacer mas rapido el windows xp o desfragmentar el disco duro, ya que esas tareas las hago regularmente. Sobre el DrWebcure-it no lo he instalado porque ya le instale muchos programas antispyware y tengo se supone q un buen antivirus (NOD32) ademas de la proteccion del Spyware Doctor y del HijackThis y ni asi eliminan o detectan mi problema. Y pues creo que en lugar de beneficiarme, provocare algun tipo de complicacion al tener tantos programas anti-malware instalados al mismo tiempo.

El log de VirusTotal es el siguiente:

para antiwarezz.exe:

STATUS: FINISHEDComplete scanning result of "antiwarezz.exe", received in VirusTotal at 04.27.2007, 01:27:49 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.26.0 04.26.2007 no virus found
AntiVir 7.4.0.15 04.26.2007 HEUR/Crypted
Authentium 4.93.8 04.26.2007 no virus found
Avast 4.7.981.0 04.26.2007 no virus found
AVG 7.5.0.464 04.26.2007 no virus found
BitDefender 7.2 04.27.2007 DeepScan:Generic.Malware.G!SKI!!FLMPWX!!BVPkprng.0478BE87
CAT-QuickHeal 9.00 04.26.2007 no virus found
ClamAV devel-20070416 04.26.2007 no virus found
DrWeb 4.33 04.26.2007 no virus found
eSafe 7.0.15.0 04.25.2007 no virus found
eTrust-Vet 30.7.3597 04.26.2007 no virus found
Ewido 4.0 04.26.2007 no virus found
FileAdvisor 1 04.27.2007 no virus found
Fortinet 2.85.0.0 04.26.2007 suspicious
F-Prot 4.3.2.48 04.26.2007 no virus found
F-Secure 6.70.13030.0 04.27.2007 no virus found
Ikarus T3.1.1.5 04.26.2007 Backdoor.VB.EV
Kaspersky 4.0.2.24 04.26.2007 no virus found
McAfee 5018 04.26.2007 no virus found
Microsoft 1.2405 04.26.2007 no virus found
NOD32v2 2222 04.26.2007 no virus found
Norman 5.80.02 04.26.2007 no virus found
Panda 9.0.0.4 04.26.2007 no virus found
Prevx1 V2 04.27.2007 no virus found
Sophos 4.16.0 04.23.2007 no virus found
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.27.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.26.2007 no virus found
VirusBuster 4.3.7:9 04.26.2007 no virus found
Webwasher-Gateway 6.0.1 04.26.2007 Heuristic.Crypted

Aditional Information
File size: 1307136 bytes
MD5: 68e4e62b5aa81ff05cabda01ecfa2daa
SHA1: ecc626acd4505e8e168aa41dc0c1844971bacbaf
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

*********************************************************

para avg23.exe:

STATUS: FINISHEDComplete scanning result of "avg23.exe", received in VirusTotal at 04.27.2007, 01:41:57 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.26.0 04.26.2007 no virus found
AntiVir 7.4.0.15 04.26.2007 HEUR/Crypted
Authentium 4.93.8 04.26.2007 no virus found
Avast 4.7.981.0 04.26.2007 no virus found
AVG 7.5.0.464 04.26.2007 no virus found
BitDefender 7.2 04.27.2007 no virus found
CAT-QuickHeal 9.00 04.26.2007 no virus found
ClamAV devel-20070416 04.26.2007 no virus found
DrWeb 4.33 04.26.2007 no virus found
eSafe 7.0.15.0 04.25.2007 no virus found
eTrust-Vet 30.7.3597 04.26.2007 no virus found
Ewido 4.0 04.26.2007 no virus found
FileAdvisor 1 04.27.2007 no virus found
Fortinet 2.85.0.0 04.26.2007 suspicious
F-Prot 4.3.2.48 04.26.2007 no virus found
F-Secure 6.70.13030.0 04.27.2007 no virus found
Ikarus T3.1.1.5 04.26.2007 no virus found
Kaspersky 4.0.2.24 04.26.2007 no virus found
McAfee 5018 04.26.2007 no virus found
Microsoft 1.2405 04.26.2007 no virus found
NOD32v2 2222 04.26.2007 no virus found
Norman 5.80.02 04.26.2007 no virus found
Panda 9.0.0.4 04.26.2007 no virus found
Prevx1 V2 04.27.2007 no virus found
Sophos 4.16.0 04.23.2007 no virus found
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.27.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.4 04.26.2007 no virus found
VirusBuster 4.3.7:9 04.26.2007 no virus found
Webwasher-Gateway 6.0.1 04.26.2007 Heuristic.Crypted

Aditional Information
File size: 619075 bytes
MD5: e097a2a5bb94d975980cb353c40edc8a
SHA1: b166f558d870cf914d5bdae9f71eac642c3f6e8b
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

**Aяcαиgєℓ** · 26/04/07, 19:58:54

Hola.

Mira el echo de que tengas muchos antispywares instalados en tu pc , no importan tanto a menos que tengas todos en proteccion residente , si ,si los tienes una de las razones de la lentitud puede ser esa , ya que solo debes tener uno en proteccion residente .

En cuanto al DrWeb , es necesario que lo pases este no chupa recursos ya que es solo una herramienta complemento de los antispyware , no tiene proteccion residente en memeria asi que yo te recomiendo que lo ejecutes por favor .en modo seguro.

YA sabes si tienes mas de una proteccion residente de antispyware desactivala y solo deja una al igual con el antivirus,

Elimina los archivos con el FileASSASIN en modo seguro y ya sabes pasas el Drweb y lo demas de mi post anterior.

salu2!

**axl456** · 27/04/07, 01:14:26

hola fabian_sl..
en lo que corresponde al log de kaspersky que peguaste, solo te consiguio 2 virus pero son archivos .NQF los cuales son archivos en cuarentena del NOD32 eliminalos vaciando la cuarentena del nod..
ahora en cuanto a los procesos:

avg23.exe
antiwarezz.exe

la unica informacion que encontre fue una de otro caso que vi en un foro en ingles, que me sorprendio lo identico a tu problema, y despues me di cuenta que eras tu mismo buscando solucion

..
pero bueno al caso, si esos procesos se inician con windows deshabilitalos con el ccleaner en la casilla de herramientas en la parte de inicio, al menos asi cuando reinicies no se iniciaran los procesos.. del resto si sigue tu problema avisanos..
suerte..

**fabian_sl** · 29/04/07, 07:35:02

pues ya elimine los archivos esos, y al parecer ya regreso a la normalidad el internet explorer y el messenger. Ya no esta tan lento. Pero aun no me siento al 100% porque como que la solucion fue demasiado simple para q sea un virus, no?

Ademas tambien note que si le doy en la opcion de "soporte" a mi conexion d red, y luego le pico en "reparar" marca el siguiente error:

"windows no puede terminar de reparar el error porque la siguiente accion no puede finalizar:
Borrar lista NetBT"

y eso no pasaba antes! Lei en otro tema abierto por ciberjazz (con el mismo problema del netbt), que Patomas le comento q hiciera algo con el registro. Yo abri mi registro y en mis valores de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetBT

yo tengo:
1
6
1
respectivamente a como el lo tiene. Para que son esos valores, sabras axl? Para saber si lo pongo como Patomas dice... o a q creen q se deba mi problema?

**axl456** · 29/04/07, 10:53:22

bueno si leiste el post en el que patomas decia eso y se parece a tu problema ponlo como el lo dice sus recomendaciones son buenas

por algo es parte de los grandes de aqui

Necesito ayuda con el virus REG/Zapchast porfavor!

Herramientas

Necesito ayuda con el virus REG/Zapchast porfavor!

Re: Necesito ayuda con el virus REG/Zapchast porfavor!

el virus REG/Zapchast sigue igual

Re: Necesito ayuda con el virus REG/Zapchast porfavor!

Re: Necesito ayuda con el virus REG/Zapchast porfavor!

Re: Necesito ayuda con el virus REG/Zapchast porfavor!

Re: Necesito ayuda con el virus REG/Zapchast porfavor!

Re: Necesito ayuda con el virus REG/Zapchast porfavor!

Re: Necesito ayuda con el virus REG/Zapchast porfavor!