Hola gente, resulta que ayer me puse el kaspersky original, despues de analizar y encontrar centenares de troyanos y virus, lo elimino todo, el pc se volvio fluido, y todo perfecto, hasta que me salto esta molesta pantalla que adjunto, le doy a transferir, y a enviar y nada, me sigue saliendo, y es molesta porque estoy escribiendo y me salta, navegando y me salta, y nunca desaparece.
No la puedo cerrar, el sistema (xp sp3) no me lo permite, ni por el administrador de tareas, ni intentando cargarme el proceso a lo bestia, no puedo cerrar el pc, ni reiniciarlo....
porfavor, alguna sugerencia/ayuda.
Gracias
aparte el "Enviando el paquete a Kaspersky lab" se queda al 0% todo el rato, y no se envia, y lugo me salta con que no se puede cerrar, cuando ni lo intento cerrar, solo quiero que se envie y me deje de molestar.
Full Version: me salta en pantalla un cartel molesto
Revisa las normas del foro:
http://forum.kaspersky.com/index.php?showtopic=84034
Danos más información de versión exacta de KIS/KAV 2009 instalada, genera un GSI (getsysteminfo) por si tienes aún software incompatible con K. y un AVZ log por si aún sigues contaminado, y nos subes los informes, siguiendo las instrucciones en las normas.
Saludos.
http://forum.kaspersky.com/index.php?showtopic=84034
Danos más información de versión exacta de KIS/KAV 2009 instalada, genera un GSI (getsysteminfo) por si tienes aún software incompatible con K. y un AVZ log por si aún sigues contaminado, y nos subes los informes, siguiendo las instrucciones en las normas.
Saludos.
Postea la información que se pide en las normas del foro, para que te podamos ayudar (gsi, avzlog, etc...).
Aunque estando el sistema tan infectado como indicas, el mejor consejo es que formatees completamente el equipo, y hagas una instalacion en limpio del S.O., programas, etc... nada mas tengas instalado el S.O., instala la ultima versión de Kaspersky v8.0.0.454 para Xp o v8.0.0.506 para Vista.
Saludos
QUOTE(zerokus @ 21.01.2009 14:06) 
Hola gente, resulta que ayer me puse el kaspersky original, despues de analizar y encontrar centenares de troyanos y virus, lo elimino todo
Aunque estando el sistema tan infectado como indicas, el mejor consejo es que formatees completamente el equipo, y hagas una instalacion en limpio del S.O., programas, etc... nada mas tengas instalado el S.O., instala la ultima versión de Kaspersky v8.0.0.454 para Xp o v8.0.0.506 para Vista.
Saludos
Antes de formatear, puedes probar crear un GSI y AVZ como se te pide en las normas, aunque no tiene buena pinta.
1. Kaspersky Antivirus (KAV)
2. Kaspersky Antivirus 2009 v8.0.0.454
3. Windows xp profesional sp3
tengo hecho el gsi, pero es 1'64 mb, y no me deja subirlo al foro...
a ver si encuentro la forma, y lo del avz, no he encontrado como hacerlo en las normas.
encontré el link, a ver si os sirve
http://gsi.kaspersky.fr/read.php?hl=es&...amp;Microsoft=0
el bluesoleil.exe tengo entendido que es el bluetooth, y no es peligroso
2. Kaspersky Antivirus 2009 v8.0.0.454
3. Windows xp profesional sp3
tengo hecho el gsi, pero es 1'64 mb, y no me deja subirlo al foro...
a ver si encuentro la forma, y lo del avz, no he encontrado como hacerlo en las normas.
encontré el link, a ver si os sirve
http://gsi.kaspersky.fr/read.php?hl=es&...amp;Microsoft=0
el bluesoleil.exe tengo entendido que es el bluetooth, y no es peligroso
QUOTE(zerokus @ 22.01.2009 10:50)
1. Kaspersky Antivirus (KAV)
2. Kaspersky Antivirus 2009 v8.0.0.454
3. Windows xp profesional sp3
tengo hecho el gsi, pero es 1'64 mb, y no me deja subirlo al foro...
a ver si encuentro la forma, y lo del avz, no he encontrado como hacerlo en las normas.
encontré el link, a ver si os sirve
http://gsi.kaspersky.fr/read.php?hl=es&...amp;Microsoft=0
el bluesoleil.exe tengo entendido que es el bluetooth, y no es peligroso
2. Kaspersky Antivirus 2009 v8.0.0.454
3. Windows xp profesional sp3
tengo hecho el gsi, pero es 1'64 mb, y no me deja subirlo al foro...
a ver si encuentro la forma, y lo del avz, no he encontrado como hacerlo en las normas.
encontré el link, a ver si os sirve
http://gsi.kaspersky.fr/read.php?hl=es&...amp;Microsoft=0
el bluesoleil.exe tengo entendido que es el bluetooth, y no es peligroso
Tienes software incompatible:
QUOTE
Software potencialmente incompatible
Procesos en ejecución
=> Nombre del archivo teatimer.exe ( find it!) - Spybot - Search & Destroy
Controladores ejecutados por ...
advcheck.dll ( find it!) [1]
=> Nombre del archivo advcheck.dll ( find it!) - Spybot - Search & Destroy
sdhelper.dll ( find it!) [1]
=> Nombre del archivo sdhelper.dll ( find it!) - Spybot - Search & Destroy
Registro
*\Software\Microsoft\Windows*\CurrentVersion\Run* [1]
=> Nombre del archivo teatimer.exe ( find it!) - Spybot - Search & Destroy
*\SOFTWARE\Microsoft\Internet Explorer\Extensions\* [1]
=> Nombre del archivo sdhelper.dll ( find it!) - Spybot - Search & Destroy
Procesos en ejecución
=> Nombre del archivo teatimer.exe ( find it!) - Spybot - Search & Destroy
Controladores ejecutados por ...
advcheck.dll ( find it!) [1]
=> Nombre del archivo advcheck.dll ( find it!) - Spybot - Search & Destroy
sdhelper.dll ( find it!) [1]
=> Nombre del archivo sdhelper.dll ( find it!) - Spybot - Search & Destroy
Registro
*\Software\Microsoft\Windows*\CurrentVersion\Run* [1]
=> Nombre del archivo teatimer.exe ( find it!) - Spybot - Search & Destroy
*\SOFTWARE\Microsoft\Internet Explorer\Extensions\* [1]
=> Nombre del archivo sdhelper.dll ( find it!) - Spybot - Search & Destroy
Desinstala o al menos desactiva la protección del SpyBotS&D residente: TeaTimer.
Saludos.
Respecto al bluesoleil, comprimelo en zip con contraseña infected y envialo a newvirus@kaspersky.com Quizá haya sido modificaco.
Además tienes software incompatible. Desinstala Spybot - Search & Destroy o al menos desactiva la opcion tea timer. Yo por ahora lo desinstalaría, puedes reinstalarlo después.
Además tienes un virus en el incio: olhrwef.exe Elimina el archivo y la entrada del inicio.
Desactiva el servicio sptd.sys. en principio es un controlador del Alcohool 120 pero no lo tienes instalado. Haz lo mismo que con bluesoleil y mándalo a Kaspersky por correo.
Luego busca en las normas como hacer el log del AVZ para publicarlo aquí.
El Spybot mejor desinstalalo completamente, emplea mejor superantispyware y/o malwarebytes.
Si lo quieres emplear desactiva completamente las opciones de teatimer, Inmunizacion, y Sdhelper.
Postea tu avzlog como se indica en las normas del foro, porque tienes unos bonitos regalitos:
C:\WINDOWS\system32\nmdfgds1.dll (Cloaked Malware), puede que tambien tengas un C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL, etc...
c:\windows\system32\olhrwef.exe
Saludos
Si lo quieres emplear desactiva completamente las opciones de teatimer, Inmunizacion, y Sdhelper.
Postea tu avzlog como se indica en las normas del foro, porque tienes unos bonitos regalitos:
C:\WINDOWS\system32\nmdfgds1.dll (Cloaked Malware), puede que tambien tengas un C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL, etc...
c:\windows\system32\olhrwef.exe
Saludos
he quitado el Spy bot y quitado de inicio el owhl.exe, pero lo que es el cartelito, me sigue saliendo
"Transferir los archivos de volcado de la memoria y trazas de depuracion a los servidores de KASPERSKY LAB"
ahora he bajado el superantispyware, y voy analizar el pc.
GRACIAS
por cierto aun no me habia dado cuenta, pero el KAV no me actualiza la base de virus... aun tengo la del dia 20, y estamos a 22, por mas que le doy a actualizar.... nada de nada
"Transferir los archivos de volcado de la memoria y trazas de depuracion a los servidores de KASPERSKY LAB"
ahora he bajado el superantispyware, y voy analizar el pc.
GRACIAS
por cierto aun no me habia dado cuenta, pero el KAV no me actualiza la base de virus... aun tengo la del dia 20, y estamos a 22, por mas que le doy a actualizar.... nada de nada
Como te he comentado en varias ocasiones, postea tu avz log para que lo podamos revisar, y enviarte un script para limpiar tu equipo.
QUOTE(zerokus @ 22.01.2009 11:58)
he quitado el Spy bot y quitado de inicio el owhl.exe, pero lo que es el cartelito, me sigue saliendo
"Transferir los archivos de volcado de la memoria y trazas de depuracion a los servidores de KASPERSKY LAB"
ahora he bajado el superantispyware, y voy analizar el pc.
GRACIAS
por cierto aun no me habia dado cuenta, pero el KAV no me actualiza la base de virus... aun tengo la del dia 20, y estamos a 22, por mas que le doy a actualizar.... nada de nada
"Transferir los archivos de volcado de la memoria y trazas de depuracion a los servidores de KASPERSKY LAB"
ahora he bajado el superantispyware, y voy analizar el pc.
GRACIAS
por cierto aun no me habia dado cuenta, pero el KAV no me actualiza la base de virus... aun tengo la del dia 20, y estamos a 22, por mas que le doy a actualizar.... nada de nada
Además del log del AVZ, danos los datos de tus servidores dns .Inicio ejecutar cmd (aceptar). Escribe ipconfig /all
Ahí salen.
se que me has dicho lo del avz log, pero no se como sacarlo... y he mirado en las normas. 
ipconfig /all
ipconfig /all
C:\Documents and Settings\Administrador>ipconfig /all
Configuración IP de Windows
Nombre del host . . . . . . . . . : desktop
Sufijo DNS principal . . . . . . :
Tipo de nodo . . . . . . . . . . : desconocido
Enrutamiento habilitado. . . . . .: No
Proxy WINS habilitado. . . . . : No
Lista de búsqueda de sufijo DNS: lan
Adaptador Ethernet Conexión de área local :
Sufijo de conexión específica DNS : lan
Descripción. . . . . . . . . . . : NVIDIA nForce Networking Controller
Dirección física. . . . . . . . . : 00-19-66-84-BE-20
DHCP habilitado. . . . . . . . . : No
Autoconfiguración habilitada. . . : Sí
Dirección IP. . . . . . . . . . . : 192.168.0.135
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.0.1
Servidor DHCP . . . . . . . . . . : 192.168.0.1
Servidores DNS . . . . . . . . . .: 192.168.0.1
Concesión obtenida . . . . . . . : jueves, 22 de enero de 2009 12:25:46
Concesión expira . . . . . . . . .: viernes, 23 de enero de 2009 12:25:4
6
Adaptador Ethernet Conexión de área local 2 :
Estado de los medios. . . .: medios desconectados
Descripción. . . . . . . . . . . : Bluetooth PAN Network Adapter
Dirección física. . . . . . . . . : 00-11-67-65-36-39
Configuración IP de Windows
Nombre del host . . . . . . . . . : desktop
Sufijo DNS principal . . . . . . :
Tipo de nodo . . . . . . . . . . : desconocido
Enrutamiento habilitado. . . . . .: No
Proxy WINS habilitado. . . . . : No
Lista de búsqueda de sufijo DNS: lan
Adaptador Ethernet Conexión de área local :
Sufijo de conexión específica DNS : lan
Descripción. . . . . . . . . . . : NVIDIA nForce Networking Controller
Dirección física. . . . . . . . . : 00-19-66-84-BE-20
DHCP habilitado. . . . . . . . . : No
Autoconfiguración habilitada. . . : Sí
Dirección IP. . . . . . . . . . . : 192.168.0.135
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.0.1
Servidor DHCP . . . . . . . . . . : 192.168.0.1
Servidores DNS . . . . . . . . . .: 192.168.0.1
Concesión obtenida . . . . . . . : jueves, 22 de enero de 2009 12:25:46
Concesión expira . . . . . . . . .: viernes, 23 de enero de 2009 12:25:4
6
Adaptador Ethernet Conexión de área local 2 :
Estado de los medios. . . .: medios desconectados
Descripción. . . . . . . . . . . : Bluetooth PAN Network Adapter
Dirección física. . . . . . . . . : 00-11-67-65-36-39
QUOTE(zerokus @ 22.01.2009 12:50)
se que me has dicho lo del avz log, pero no se como sacarlo... y he mirado en las normas.
http://forum.kaspersky.com/index.php?showt...mp;#entry678326
Saludos.
QUOTE(zerokus @ 22.01.2009 12:50)
se que me has dicho lo del avz log, pero no se como sacarlo... y he mirado en las normas.
ipconfig /all
ipconfig /all
Si revisas las normas, veras que te pone:
QUOTE
* Envía el log de AVZ para saber si el malware no se puede eliminar:
* Si usas la versión 2009 de Kaspersky sigue estas instrucciones.
* Si utilizas una versión anterior o no puedes acceder al programa de Kaspersky sigue estas instrucciones.
* El análisis on-line de la web de Kaspersky no elimina el malware detectado. Si el análisis on-line detecta malware, descarga e instala la última versión de la Herramienta de Eliminación de Malware de Kaspersky (AVPTool) desde aquí
Instálala siguiendo el asistente y haz un análisis eliminando las amenazas detectada. Si el problema persiste, usa el método Manual Cure para generar un log de AVZ y adjúntalo en tu mensaje. Recuerda incluir la ruta y el nombre del malware de los elementos eliminados por el análisis de AVPTool.
* Si usas la versión 2009 de Kaspersky sigue estas instrucciones.
* Si utilizas una versión anterior o no puedes acceder al programa de Kaspersky sigue estas instrucciones.
* El análisis on-line de la web de Kaspersky no elimina el malware detectado. Si el análisis on-line detecta malware, descarga e instala la última versión de la Herramienta de Eliminación de Malware de Kaspersky (AVPTool) desde aquí
Instálala siguiendo el asistente y haz un análisis eliminando las amenazas detectada. Si el problema persiste, usa el método Manual Cure para generar un log de AVZ y adjúntalo en tu mensaje. Recuerda incluir la ruta y el nombre del malware de los elementos eliminados por el análisis de AVPTool.
Con los enlaces en negrita al avzlog, dependiendo si tienes kaspersky 2009 o no, seleccionas una opción u otra.
tienes toda la razon, esta ahi, debajo de lo de la amenza, fallé leyendo algo del escanner online, que esta debajo, y me salté ese paso...
a ver si os sirve eso para detectar esta anomalia
a ver si os sirve eso para detectar esta anomalia
QUOTE(zerokus @ 22.01.2009 13:38)
tienes toda la razon, esta ahi, debajo de lo de la amenza, fallé leyendo algo del escanner online, que esta debajo, y me salté ese paso...
a ver si os sirve eso para detectar esta anomalia
a ver si os sirve eso para detectar esta anomalia
Revisando por encima tu avz log, tiene pinta de que tienes contaminado el sistema:
QUOTE
Objetos sospechosos
C:\autorun.inf
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto (alto grado de probabilidad)
C:\w98.com
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto C:\autorun.inf [Autorun\Open]
D:\autorun.inf
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto (alto grado de probabilidad)
D:\w98.com
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto D:\autorun.inf [Autorun\Open]
J:\autorun.inf
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto (alto grado de probabilidad)
J:\w98.com
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anб
C:\autorun.inf
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto (alto grado de probabilidad)
C:\w98.com
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto C:\autorun.inf [Autorun\Open]
D:\autorun.inf
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto (alto grado de probabilidad)
D:\w98.com
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto D:\autorun.inf [Autorun\Open]
J:\autorun.inf
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anбlisis heurнstico HSC: sospecha de autorun oculto (alto grado de probabilidad)
J:\w98.com
Script: Cuarentena, Eliminar, Eliminar BC Sospecha del anб
Otros archivos sospechosos en el Autorun (autoarranque dl esistema):
logon.scr
stobject.dll
nmdfgds0.dll sospechoso también
Si tienes activo el residente del Superantypyware, desactivalo.
Seguramente tendrás algunos regalos más ...
Esperamos a alguno de los moderadores que te genera un avz script para eliminar la contaminación.
Saludos.
(harlan4096 @ 22.01.2009 15:52)
Revisando por encima tu avz log, tiene pinta de que tienes contaminado el sistema:
Otros archivos sospechosos en el Autorun (autoarranque dl esistema):
logon.scr
stobject.dll
nmdfgds0.dll sospechoso también
Si tienes activo el residente del Superantypyware, desactivalo.
Seguramente tendrás algunos regalos más ...
Esperamos a alguno de los moderadores que te genera un avz script para eliminar la contaminación.
Saludos.
Otros archivos sospechosos en el Autorun (autoarranque dl esistema):
logon.scr
stobject.dll
nmdfgds0.dll sospechoso también
Si tienes activo el residente del Superantypyware, desactivalo.
Seguramente tendrás algunos regalos más ...
Esperamos a alguno de los moderadores que te genera un avz script para eliminar la contaminación.
Saludos.
pues he analizado con el kaspersky y no me ha encontrado nada con un analisis completo, mejor espero a los moderadores como me has dicho
el superantispayware tambien me encontro unas 30 cosas, y ahora he quitado la proteccion residente.
Algo mas compañeros?
una cosa, el cartel, que es el problema que me importa, si le doy a transferir tampoco lo llega a enviar nunca, eso es normal?
QUOTE(zerokus @ 22.01.2009 14:11)
pues he analizado con el kaspersky y no me ha encontrado nada con un analisis completo, mejor espero a los moderadores como me has dicho
el superantispayware tambien me encontro unas 30 cosas, y ahora he quitado la proteccion residente.
Algo mas compañeros?
una cosa, el cartel, que es el problema que me importa, si le doy a transferir tampoco lo llega a enviar nunca, eso es normal?
el superantispayware tambien me encontro unas 30 cosas, y ahora he quitado la proteccion residente.
Algo mas compañeros?
una cosa, el cartel, que es el problema que me importa, si le doy a transferir tampoco lo llega a enviar nunca, eso es normal?
Con el Winrar accede a c:\ y comprimes esos archivos .inf y .exe . com y los envías a newvirus@kaspersky.com
SAludos.
gmail por razones de seguridad no me deja enviar el .zip con exe's dentro....
QUOTE(zerokus @ 22.01.2009 14:43)
gmail por razones de seguridad no me deja enviar el .zip con exe's dentro....
Con el winrar vuelve a comprimir los archivos con la contraseña infected, y los envías a la misma dirección de antes indicando en el cuerpo del mensaje la contraseña.
Saludos.
QUOTE(zerokus @ 22.01.2009 14:11)
pues he analizado con el kaspersky y no me ha encontrado nada con un analisis completo, mejor espero a los moderadores como me has dicho
el superantispayware tambien me encontro unas 30 cosas, y ahora he quitado la proteccion residente.
Algo mas compañeros?
una cosa, el cartel, que es el problema que me importa, si le doy a transferir tampoco lo llega a enviar nunca, eso es normal?
el superantispayware tambien me encontro unas 30 cosas, y ahora he quitado la proteccion residente.
Algo mas compañeros?
una cosa, el cartel, que es el problema que me importa, si le doy a transferir tampoco lo llega a enviar nunca, eso es normal?
Ejecuta este script:
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('J:\w98.com','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('D:\w98.com','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\w98.com','');
QuarantineFile('C:\autorun.inf','');
StopService('sptd');
QuarantineFile('C:\WINDOWS\system32\nmdfgds0.dll','');
DeleteFile('C:\WINDOWS\system32\nmdfgds0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\w98.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\w98.com');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\w98.com');
BC_ImportDeletedList;
ExecuteSysClean;
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('J:\w98.com','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('D:\w98.com','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\w98.com','');
QuarantineFile('C:\autorun.inf','');
StopService('sptd');
QuarantineFile('C:\WINDOWS\system32\nmdfgds0.dll','');
DeleteFile('C:\WINDOWS\system32\nmdfgds0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\w98.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\w98.com');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\w98.com');
BC_ImportDeletedList;
ExecuteSysClean;
end.
Despues de ejecutar el script, pon el log del Combofix ( http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Antes de guardarlo en el escritorio renombralo, por ejemplo a 1234.exe
Cierra todos los programas, incluido el Kaspersky
Ejecuta el combofix y sigue sus instrucciones. No hagas nada, ni click en el raton mientras trabaja.
Te desconectará de internet y quizá los iconos del escritorio desaparezcan. Es normal, luego vuelven.
Combofix crea un log que te mostrará una vez reinicie el equipo. Generalmente está en c:\combofix.txt
Publica ese log aqui comprimido en zip.
El envío de esa información a Kaspersky, la del informe de errores, puede tardar bastante. Son muchos megas y depende de la velocidad de internet que tengas para subir, no para descargar. La velocidad de subida suele estár muy muy limitada.
Por eso es normal que esa pantalla este bastantes minutos.
Hola que tal, además si se dan cuenta; se puede observar una enorme lista de paginas webs en "archivo HOSTS" (AVZLOG), y obviamente esas paginas estan infectadas.
Saludos
Saludos
QUOTE(Yami Nemesis @ 22.01.2009 17:41)
Hola que tal, además si se dan cuenta; se puede observar una enorme lista de paginas webs en "archivo HOSTS" (AVZLOG), y obviamente esas paginas estan infectadas.
Saludos
Saludos
Hum creo que esa lista la crea el SpyBotS&D cuando activas la Inmunización, lo que hace es redireccionarlas a 127.0.0.1 para evitar precisamente que infecten el sistema, pero yo no activaría tal protección teniendo KIS/KAV.
Saludos.
Correcto.
Existen ficheros host preparados que agregan paginas de malware, etc... para evitar que se conecten a ellas.
Información en Ingles:
Existen ficheros host preparados que agregan paginas de malware, etc... para evitar que se conecten a ellas.
Información en Ingles:
QUOTE
You can use a HOSTS file to block ads, banners, 3rd party Cookies, 3rd party page counters, web bugs, and even most hijackers. This is accomplished by blocking the connection(s) that supplies these little gems.
Example - the following entry 127.0.0.1 ad.doubleclick.net blocks all files supplied by that DoubleClick Server to the web page you are viewing. This also prevents the server from tracking your movements. Why? ... because in certain cases "Ad Servers" like Doubleclick (and many others) will try to open a separate connection on the webpage you are viewing.
Example - the following entry 127.0.0.1 ad.doubleclick.net blocks all files supplied by that DoubleClick Server to the web page you are viewing. This also prevents the server from tracking your movements. Why? ... because in certain cases "Ad Servers" like Doubleclick (and many others) will try to open a separate connection on the webpage you are viewing.
(RadarpSP @ 22.01.2009 17:17)
Ejecuta este script:
Despues de ejecutar el script, pon el log del Combofix ( http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Antes de guardarlo en el escritorio renombralo, por ejemplo a 1234.exe
Cierra todos los programas, incluido el Kaspersky
Ejecuta el combofix y sigue sus instrucciones. No hagas nada, ni click en el raton mientras trabaja.
Te desconectará de internet y quizá los iconos del escritorio desaparezcan. Es normal, luego vuelven.
Combofix crea un log que te mostrará una vez reinicie el equipo. Generalmente está en c:\combofix.txt
Publica ese log aqui comprimido en zip.
El envío de esa información a Kaspersky, la del informe de errores, puede tardar bastante. Son muchos megas y depende de la velocidad de internet que tengas para subir, no para descargar. La velocidad de subida suele estár muy muy limitada.
Por eso es normal que esa pantalla este bastantes minutos.
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('J:\w98.com','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('D:\w98.com','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\w98.com','');
QuarantineFile('C:\autorun.inf','');
StopService('sptd');
QuarantineFile('C:\WINDOWS\system32\nmdfgds0.dll','');
DeleteFile('C:\WINDOWS\system32\nmdfgds0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\w98.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\w98.com');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\w98.com');
BC_ImportDeletedList;
ExecuteSysClean;
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('J:\w98.com','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('D:\w98.com','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\w98.com','');
QuarantineFile('C:\autorun.inf','');
StopService('sptd');
QuarantineFile('C:\WINDOWS\system32\nmdfgds0.dll','');
DeleteFile('C:\WINDOWS\system32\nmdfgds0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\w98.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\w98.com');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\w98.com');
BC_ImportDeletedList;
ExecuteSysClean;
end.
Despues de ejecutar el script, pon el log del Combofix ( http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Antes de guardarlo en el escritorio renombralo, por ejemplo a 1234.exe
Cierra todos los programas, incluido el Kaspersky
Ejecuta el combofix y sigue sus instrucciones. No hagas nada, ni click en el raton mientras trabaja.
Te desconectará de internet y quizá los iconos del escritorio desaparezcan. Es normal, luego vuelven.
Combofix crea un log que te mostrará una vez reinicie el equipo. Generalmente está en c:\combofix.txt
Publica ese log aqui comprimido en zip.
El envío de esa información a Kaspersky, la del informe de errores, puede tardar bastante. Son muchos megas y depende de la velocidad de internet que tengas para subir, no para descargar. La velocidad de subida suele estár muy muy limitada.
Por eso es normal que esa pantalla este bastantes minutos.
hecho, aqui os dejo el log
he desinstalado el antivirus, y me he bajado la Version 2009 (8.0.0.506)
y ahora tengo otro problema... no tengo el serial, porque la caja y el cd, lo tiene el usuario....
que hago? activo la version de evaluacion de 30 dias?
y ahora tengo otro problema... no tengo el serial, porque la caja y el cd, lo tiene el usuario....
que hago? activo la version de evaluacion de 30 dias?
QUOTE(zerokus @ 23.01.2009 11:34)
he desinstalado el antivirus, y me he bajado la Version 2009 (8.0.0.506)
y ahora tengo otro problema... no tengo el serial, porque la caja y el cd, lo tiene el usuario....
que hago? activo la version de evaluacion de 30 dias?
y ahora tengo otro problema... no tengo el serial, porque la caja y el cd, lo tiene el usuario....
que hago? activo la version de evaluacion de 30 dias?
Puedes activar la evaluación de forma temporal y cuando tengas el código de activación la activas y andando.
Pero ándate con cuidado, la 506 sólo funciona bien en sistema con Windows Vista, en XP mejor instala por ahora la 454 que puedes encontrar en el tablero fijo de posts de las normas, etc... del foro.
Saludos.
ya he puesto el antivirus de nuevo, he actualizado la base de virus sin problemas, y de momento no me salta la pantallita, (el cartelito molesto)
no se si es por la nueva version o porque es la version de 30 dias y no le puesto aun el serial.
Bueno gente, ahora como le pongo el serial que tenia anteriormente? si no lo tengo... aparte, cuando el cliente lo ponga, le va a consumir otra activacion como si el antivirus estuviera en 2 ordenadores distintos?
Gracias
p.d. deciros que soy un chico en practicas en una tienda de informatica, y llevo ya 2 dias locos con este ordenador y el kaspersky...
a ver si lo resuelvo cuanto antes.
no se si es por la nueva version o porque es la version de 30 dias y no le puesto aun el serial.
Bueno gente, ahora como le pongo el serial que tenia anteriormente? si no lo tengo... aparte, cuando el cliente lo ponga, le va a consumir otra activacion como si el antivirus estuviera en 2 ordenadores distintos?
Gracias
p.d. deciros que soy un chico en practicas en una tienda de informatica, y llevo ya 2 dias locos con este ordenador y el kaspersky...
a ver si lo resuelvo cuanto antes.
QUOTE(zerokus @ 23.01.2009 11:50)
ya he puesto el antivirus de nuevo, he actualizado la base de virus sin problemas, y de momento no me salta la pantallita, (el cartelito molesto)
no se si es por la nueva version o porque es la version de 30 dias y no le puesto aun el serial.
Bueno gente, ahora como le pongo el serial que tenia anteriormente? si no lo tengo... aparte, cuando el cliente lo ponga, le va a consumir otra activacion como si el antivirus estuviera en 2 ordenadores distintos?
Gracias
p.d. deciros que soy un chico en practicas en una tienda de informatica, y llevo ya 2 dias locos con este ordenador y el kaspersky...
a ver si lo resuelvo cuanto antes.
no se si es por la nueva version o porque es la version de 30 dias y no le puesto aun el serial.
Bueno gente, ahora como le pongo el serial que tenia anteriormente? si no lo tengo... aparte, cuando el cliente lo ponga, le va a consumir otra activacion como si el antivirus estuviera en 2 ordenadores distintos?
Gracias
p.d. deciros que soy un chico en practicas en una tienda de informatica, y llevo ya 2 dias locos con este ordenador y el kaspersky...
a ver si lo resuelvo cuanto antes.
El serial, si no lo tenías apuntado, no lo puedes recuperar, supongo que el cliente debe tenerlo si viene con la caja, etc... no es problema, no le va a consumir ninguna activación, porque si vuelve a activar un KIS en el ordenador que sea con ese código, le restará el tiempo de licencia que le corresponda y punto.
Da igual en qué ordenadores instales el código de activación, siempre que no lo instales en más PC's de los que tiene la licencia, por ejemplo, en 1, en 2 o en 3, podrás instalar una licencia de 3 pcs en los 3 ordenadores que quieras, pero siempre que esa licencia no esté en más de 3 a la vez, como te pases, la licencia entrará en lista negra y será desactivada.
Además el tiempo de licencia empezará a contar desde que se active la primera vez en el ordenador que sea.
Saludos.
entonces perfecto, le dire que lo active cuando este en casa, con su serial.
Gracias, de momento sigue sin salirme el cartelito... antes era un no parar, cada minuto
Gracias, de momento sigue sin salirme el cartelito... antes era un no parar, cada minuto
Ok, todo arreglado 
Saludos.
Saludos.
de momento, no me salta nada, el cliente vendra dentro de unos minutos a recogerlo, no me cierren el pos por si acaso le vuelve a ocurrir, ya os aviso
gracias por todo
gracias por todo
El Kaspersky conviene activarlo desde el principio, ya que así dispones de licencia legal para
solicitar soporte técnico en Helpdesk.
solicitar soporte técnico en Helpdesk.
QUOTE(zerokus @ 23.01.2009 12:34)
de momento, no me salta nada, el cliente vendra dentro de unos minutos a recogerlo, no me cierren el pos por si acaso le vuelve a ocurrir, ya os aviso
gracias por todo
gracias por todo
Deberías eliminar estos ficheros:
2009-01-23 10:16 . 2009-01-23 10:16 95,744 -r-hs---- c:\windows\system32\nmdfgds1.dll
2009-01-23 10:15 . 2009-01-23 10:15 95,744 --------- c:\windows\system32\nmdfgds0.dll
2
2009-01-22 12:24 . 2009-01-22 12:24 244 --ah----- C:\sqmnoopt19.sqm
2009-01-22 12:24 . 2009-01-22 12:24 232 --ah----- C:\sqmdata19.sqm
2009-01-22 11:46 . 2009-01-23 10:16 107,385 -r-hs---- C:\w98.com
2009-01-22 11:38 . 2009-01-22 11:38 268 --ah----- C:\sqmdata18.sqm
2009-01-22 11:38 . 2009-01-22 11:38 244 --ah----- C:\sqmnoopt18.sqm
2009-01-22 11:22 . 2009-01-22 11:22 268 --ah----- C:\sqmdata17.sqm
2009-01-22 11:22 . 2009-01-22 11:22 244 --ah----- C:\sqmnoopt17.sqm
2009-01-21 12:10 . 2009-01-21 12:10 268 --ah----- C:\sqmdata16.sqm
2009-01-21 12:10 . 2009-01-21 12:10 244 --ah----- C:\sqmnoopt16.sqm
2009-01-21 11:54 . 2009-01-21 11:54 268 --ah----- C:\sqmdata15.sqm
2009-01-21 11:54 . 2009-01-21 11:54 244 --ah----- C:\sqmnoopt15.sqm
2009-01-21 10:50 . 2009-01-21 10:50 268 --ah----- C:\sqmdata14.sqm
2009-01-21 10:50 . 2009-01-21 10:50 244 --ah----- C:\sqmnoopt14.sqm
2009-01-20 22:39 . 2009-01-20 22:39 268 --ah----- C:\sqmdata13.sqm
2009-01-20 22:39 . 2009-01-20 22:39 244 --ah----- C:\sqmnoopt13.sqm
2009-01-20 21:13 . 2009-01-20 21:13 268 --ah----- C:\sqmdata12.sqm
2009-01-20 21:13 . 2009-01-20 21:13 244 --ah----- C:\sqmnoopt12.sqm
2009-01-20 17:57 . 2009-01-20 17:57 268 --ah----- C:\sqmdata11.sqm
2009-01-20 17:57 . 2009-01-20 17:57 244 --ah----- C:\sqmnoopt11.sqm
2009-01-20 17:13 . 2009-01-20 17:13 268 --ah----- C:\sqmdata10.sqm
2009-01-20 17:13 . 2009-01-20 17:13 244 --ah----- C:\sqmnoopt10.sqm
2009-01-20 12:27 . 2009-01-20 12:27 268 --ah----- C:\sqmdata09.sqm
2009-01-20 12:27 . 2009-01-20 12:27 244 --ah----- C:\sqmnoopt09.sqm
2009-01-20 10:35 . 2009-01-20 10:35 268 --ah----- C:\sqmdata08.sqm
2009-01-20 10:35 . 2009-01-20 10:35 244 --ah----- C:\sqmnoopt08.sqm
2009-01-20 10:13 . 2009-01-20 23:07 108,869 -r-hs---- C:\gy.exe
2009-01-20 10:13 . 2009-01-23 10:16 107,882 -r-hs---- c:\windows\system32\olhrwef.exe
2009-01-20 10:09 . 2009-01-20 10:09 268 --ah----- C:\sqmdata07.sqm
2009-01-20 10:09 . 2009-01-20 10:09 244 --ah----- C:\sqmnoopt07.sqm
2009-01-20 09:56 . 2009-01-20 09:56 268 --ah----- C:\sqmdata06.sqm
2009-01-20 09:56 . 2009-01-20 09:56 244 --ah----- C:\sqmnoopt06.sqm
2009-01-19 20:26 . 2009-01-19 20:26 268 --ah----- C:\sqmdata05.sqm
2009-01-19 20:26 . 2009-01-19 20:26 244 --ah----- C:\sqmnoopt05.sqm
2009-01-19 18:21 . 2009-01-19 18:21 268 --ah----- C:\sqmdata04.sqm
2009-01-19 18:21 . 2009-01-19 18:21 244 --ah----- C:\sqmnoopt04.sqm
2009-01-19 18:11 . 2009-01-23 10:10 244 --ah----- C:\sqmnoopt03.sqm
2009-01-19 18:11 . 2009-01-23 10:10 232 --ah----- C:\sqmdata03.sqm
y estas entradas del registro:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
-r-hs---- 2009-01-23 10:16 107882 c:\windows\system32\olhrwef.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\1gk8ha.bat
\Shell\explore\Command - C:\1gk8ha.bat
\Shell\open\Command - C:\1gk8ha.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\1gk8ha.bat
\Shell\explore\Command - D:\1gk8ha.bat
\Shell\open\Command - D:\1gk8ha.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{259574ba-cb84-11dd-84b7-00196684be20}]
\Shell\AutoRun\command - J:\2u.com
\Shell\explore\Command - J:\2u.com
\Shell\open\Command - J:\2u.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d4050ba-b097-11dd-847b-00196684be20}]
\Shell\AutoRun\command - J:\1gk8ha.bat
\Shell\explore\Command - J:\1gk8ha.bat
\Shell\open\Command - J:\1gk8ha.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cb105d0-a012-11dd-8458-00196684be20}]
\Shell\AutoRun\command - J:\xlk9.com
\Shell\explore\Command - J:\xlk9.com
\Shell\open\Command - J:\xlk9.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{949f3741-e726-11dd-84cc-00196684be20}]
\Shell\AutoRun\command - J:\gy.exe
\Shell\open\Command - J:\gy.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5a840f3-a29f-11dd-8461-00196684be20}]
\Shell\AutoRun\command - J:\gy.exe
\Shell\open\Command - J:\gy.exe
Luegos en modo seguro pasas el superantispyware y el kaspersky.
O ejecuta este script:
Los ficheros C:\sqmdata13.sqm ...... que te ha indicado RadarpSP eliminalos a mano simplemente.
QUOTE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\windows\system32\olhrwef.exe','');
QuarantineFile('c:\gy.exe','');
QuarantineFile('c:\w98.com','');
QuarantineFile('c:\windows\system32\nmdfgds1.dll','');
QuarantineFile('c:\windows\system32\nmdfgds0.dll','');
DeleteFile('c:\windows\system32\olhrwef.exe');
DeleteFile('c:\gy.exe');
DeleteFile('c:\w98.com');
DeleteFile('c:\windows\system32\nmdfgds1.dll');
DeleteFile('c:\windows\system32\nmdfgds0.dll');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\windows\system32\olhrwef.exe','');
QuarantineFile('c:\gy.exe','');
QuarantineFile('c:\w98.com','');
QuarantineFile('c:\windows\system32\nmdfgds1.dll','');
QuarantineFile('c:\windows\system32\nmdfgds0.dll','');
DeleteFile('c:\windows\system32\olhrwef.exe');
DeleteFile('c:\gy.exe');
DeleteFile('c:\w98.com');
DeleteFile('c:\windows\system32\nmdfgds1.dll');
DeleteFile('c:\windows\system32\nmdfgds0.dll');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Los ficheros C:\sqmdata13.sqm ...... que te ha indicado RadarpSP eliminalos a mano simplemente.
Es posible que el ComboFix los haya eliminado ya, de todas formas creo que ya ha entregado el sistema al cliente
Saludos.
Saludos.
Segun su combofix, esos ficheros no han sido eliminados, de todas maneras le puede enviar el script y como ejecutarlo a su cliente, si ya se lo ha entregado, para que quede mas limpio el equipo.
Saludos
Saludos
hola gente, efectivamente, el ordenador el cliente se lo llevo ayer por la tarde, mientras yo estaba en clase, naturalmente, no le cobramos, aunque me tiré horas ahi 
pero bueno, lo importante, de momento es que no salio el cartelito, no se si por el combofix, por desinstalarlo y poner la nueva version, o porque, pero no sale.
Gracias por todo
pero bueno, lo importante, de momento es que no salio el cartelito, no se si por el combofix, por desinstalarlo y poner la nueva version, o porque, pero no sale.
Gracias por todo
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.