Cada vez que abro el explorador de archivos o el internet explorer me salen esos 4 avisos en el Kaspersky 2009...
11/01/2009 15:42:36 http://77.74.48.105/dl/kmicp0wi.dll.html?c...s_ver=261]h t tp://77.74.48.105/dl/kmicp0wi.dll.html?c...&os_ver=261 Generic Host Process for Win32 Services Denegado: 77.74.48.105/* Bases de datos
11/01/2009 15:42:03 http://77.74.48.105/dl/kmicp0wi.dll.html?c...&os_ver=261 Internet Explorer Denegado: 77.74.48.105/* Bases de datos
11/01/2009 15:41:55 http://77.74.48.105/dl/laf1x9.dll.html?cui...&os_ver=261 Explorador de Windows Denegado: 77.74.48.105/* Bases de datos
11/01/2009 13:00:00 http://85.12.43.75/go/?cmp=k7v2&uid=AE...p;bi=0&ai=0 Ejecutar un archivo DLL como una aplicación Denegado: 85.12.43.75/* Bases de datos
Nota: He leído las normas y conozco que esta prohibido poner enlaces directos a archivos maliciosos, pero que tengo que hacer si ese es el único mensaje que me aparece con el kaspersky????
Quiero acabar con esos avisos y no se como hacerlo!!! Ayudarme porfavor.
Antivirus KIS 2009
Versión 8.0.0.454(a)
Fecha bases: 11/01/09 14:35
Sistema operativo: XP SP2 (2600)
Adjunto archivo sysinfo.zip
Saludos!
Full Version: Descarga de archivos maliciosos al abrir el explorer
Ejecuta este script:
Además hay ficheros sospechosos:
C:\pitupitu.bat
registrar.bat
C:\WINDOWS\system32\ruludoji.dll
Este ultimo parece de ESet (nod) Desisntala lo que tengas de Nod y si el fichero no desaparece renombralo a 12344.xll (por ejemplo)
Despues de ejecutar el script, postea tu combofix log:
Descargarlo aquí -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('K:\autorun.inf','');
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
DelBHO('{36870916-b698-4714-8e7b-28146416eba7}');
QuarantineFile('C:\WINDOWS\system32\ruludoji.dll','');
QuarantineFile('c:\windows\system32\saheloju.dll','');
QuarantineFile('C:\WINDOWS\system32\subalavi.dll','');
QuarantineFile('C:\WINDOWS\system32\nabukeyu.dll','');
DeleteFile('C:\WINDOWS\system32\nabukeyu.dll');
DeleteFile('C:\WINDOWS\system32\subalavi.dll');
DeleteFile('c:\windows\system32\saheloju.dll');
DeleteFile('C:\WINDOWS\system32\ruludoji.dll');
DeleteFile('C:\WINDOWS\wc98pp.dll');
DeleteFile('K:\autorun.inf');
end.
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('K:\autorun.inf','');
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
DelBHO('{36870916-b698-4714-8e7b-28146416eba7}');
QuarantineFile('C:\WINDOWS\system32\ruludoji.dll','');
QuarantineFile('c:\windows\system32\saheloju.dll','');
QuarantineFile('C:\WINDOWS\system32\subalavi.dll','');
QuarantineFile('C:\WINDOWS\system32\nabukeyu.dll','');
DeleteFile('C:\WINDOWS\system32\nabukeyu.dll');
DeleteFile('C:\WINDOWS\system32\subalavi.dll');
DeleteFile('c:\windows\system32\saheloju.dll');
DeleteFile('C:\WINDOWS\system32\ruludoji.dll');
DeleteFile('C:\WINDOWS\wc98pp.dll');
DeleteFile('K:\autorun.inf');
end.
Además hay ficheros sospechosos:
C:\pitupitu.bat
registrar.bat
C:\WINDOWS\system32\ruludoji.dll
Este ultimo parece de ESet (nod) Desisntala lo que tengas de Nod y si el fichero no desaparece renombralo a 12344.xll (por ejemplo)
Despues de ejecutar el script, postea tu combofix log:
Descargarlo aquí -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.
Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.
Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.
Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.
Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.
He seguido todos los pasos indicados.
Ejecute el script. Supongo que se tenía que ejecutar con el Kaspersky, la opción que ponía "Ejecutar script AVZ"
Al copiarlo en la casilla en blanco y ejecutarlo, me apareció un mensaje que decía que el script se había ejecutado correctamente.
Descargué la herramienta "combofix.exe" y la guardé en la c:\ con el nombre de "123.exe".
Luego desconecté Internet y cerré todos los programas abiertos, incluso el KIS 2009.
Ejecuté la herramienta y despues de hacer muchas etapas con un reinicio de PC incluído se generó el archivo c:\combofix.txt.
Nota: la ventana del programa "combofix.exe" aún no se ha cerrado. Se ha quedado con el siguiente mensaje:
--------------------
Por favor espere
No se encuentra c:\windows\system32\drivers\combo-fix.sys
-------------------
La puedo cerrar?
Nota: Cada vez que abro el navegador siempre me lleva a la página www.megaclick.com. por suerte esta página no existe. Pero como puedo evitar que me cargue esta página cada vez, si como página de inicio tengo puesta el google?
Adjunto archivo combofix.txt
Ejecute el script. Supongo que se tenía que ejecutar con el Kaspersky, la opción que ponía "Ejecutar script AVZ"
Al copiarlo en la casilla en blanco y ejecutarlo, me apareció un mensaje que decía que el script se había ejecutado correctamente.
Descargué la herramienta "combofix.exe" y la guardé en la c:\ con el nombre de "123.exe".
Luego desconecté Internet y cerré todos los programas abiertos, incluso el KIS 2009.
Ejecuté la herramienta y despues de hacer muchas etapas con un reinicio de PC incluído se generó el archivo c:\combofix.txt.
Nota: la ventana del programa "combofix.exe" aún no se ha cerrado. Se ha quedado con el siguiente mensaje:
--------------------
Por favor espere
No se encuentra c:\windows\system32\drivers\combo-fix.sys
-------------------
La puedo cerrar?
Nota: Cada vez que abro el navegador siempre me lleva a la página www.megaclick.com. por suerte esta página no existe. Pero como puedo evitar que me cargue esta página cada vez, si como página de inicio tengo puesta el google?
Adjunto archivo combofix.txt
Para la página de inicio descarga este programa y ejecutalo: http://antisecuestro.softonic.com/
Reinicia el equipo en modo seguro y elimina estos ficheros.
Haz una copia de ellos.
c:\windows\system32\yujukumi.dll
C:\StrationFix.exe
c:\windows\system32\sokofosu.dll
c:\windows\system32\hojahuge.dll
c:\windows\system32\yuyobiso.dll
c:\windows\system32\vemumise.dll
C:\windows\system32\nuviyapi.dll
c:\windows\system32\kenehuro.dll
c:\windows\system32\yowokifo.dll
c:\windows\system32\vawuhofe.dll
c:\windows\system32\gulobimu.dll
c:\windows\system32\jiwewena.dll
c:\windows\system32\darunuwe.dll
c:\windows\system32\sebiniha.dll
c:\windows\system32\siyesohi.dll
c:\windows\system32\wipoveku.dll
c:\windows\QTFont.for
c:\windows\QTFont.qfn
c:\windows\system32\wajivegu.dll
c:\windows\system32\yatehaje.dll
c:\windows\system32\pigobuze.dll
c:\windows\system32\mevavega.dll
c:\windows\popcinfot.dat
c:\windows\system32\tuvumuge.dll
c:\windows\system32\medemovo.dll
c:\windows\popcinfo.dat
c:\windows\system32\pakiguwu.dll
c:\windows\system32\sunapija.dll
c:\windows\system32\diwevari.dll
c:\windows\system32\genahowa.dll
c:\windows\system32\lumuheze.dll
c:\windows\system32\kivumolo.dll
c:\windows\system32\peluloge.dll
c:\windows\system32\negimeka.dll
c:\windows\system32\timijapu.dll
c:\windows\system32\zumidiba.dll
c:\windows\system32\kopasado.dll
c:\windows\system32\hikenile.dll
c:\windows\system32\deploytk.dll
c:\windows\system32\herifolu.dll
C:\wtorxpl.exe
C:\ddpp.exe
c:\windows\system32\bedamifu.dll
c:\windows\system32\bihonede.dll
c:\windows\system32\dakomira.dll
c:\windows\system32\lawariko.dll
c:\windows\system32\midamuhi.dll
c:\windows\system32\sidenohe.dll
c:\windows\system32\tigefeki.dll
c:\windows\system32\tuneyevi.dll
Elimina la clave del registro (regedit) y el fichero:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\windows\system32\subalavi.dll
Revisa estos a ver si son legítimos.
C:\launch.exe
c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
registrar.bat
Reinicia el equipo en modo seguro y elimina estos ficheros.
Haz una copia de ellos.
c:\windows\system32\yujukumi.dll
C:\StrationFix.exe
c:\windows\system32\sokofosu.dll
c:\windows\system32\hojahuge.dll
c:\windows\system32\yuyobiso.dll
c:\windows\system32\vemumise.dll
C:\windows\system32\nuviyapi.dll
c:\windows\system32\kenehuro.dll
c:\windows\system32\yowokifo.dll
c:\windows\system32\vawuhofe.dll
c:\windows\system32\gulobimu.dll
c:\windows\system32\jiwewena.dll
c:\windows\system32\darunuwe.dll
c:\windows\system32\sebiniha.dll
c:\windows\system32\siyesohi.dll
c:\windows\system32\wipoveku.dll
c:\windows\QTFont.for
c:\windows\QTFont.qfn
c:\windows\system32\wajivegu.dll
c:\windows\system32\yatehaje.dll
c:\windows\system32\pigobuze.dll
c:\windows\system32\mevavega.dll
c:\windows\popcinfot.dat
c:\windows\system32\tuvumuge.dll
c:\windows\system32\medemovo.dll
c:\windows\popcinfo.dat
c:\windows\system32\pakiguwu.dll
c:\windows\system32\sunapija.dll
c:\windows\system32\diwevari.dll
c:\windows\system32\genahowa.dll
c:\windows\system32\lumuheze.dll
c:\windows\system32\kivumolo.dll
c:\windows\system32\peluloge.dll
c:\windows\system32\negimeka.dll
c:\windows\system32\timijapu.dll
c:\windows\system32\zumidiba.dll
c:\windows\system32\kopasado.dll
c:\windows\system32\hikenile.dll
c:\windows\system32\deploytk.dll
c:\windows\system32\herifolu.dll
C:\wtorxpl.exe
C:\ddpp.exe
c:\windows\system32\bedamifu.dll
c:\windows\system32\bihonede.dll
c:\windows\system32\dakomira.dll
c:\windows\system32\lawariko.dll
c:\windows\system32\midamuhi.dll
c:\windows\system32\sidenohe.dll
c:\windows\system32\tigefeki.dll
c:\windows\system32\tuneyevi.dll
Elimina la clave del registro (regedit) y el fichero:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\windows\system32\subalavi.dll
Revisa estos a ver si son legítimos.
C:\launch.exe
c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
registrar.bat
Eliminado todos los archivos indicados en el post anterior, pero tengo que indicar, que al reiniciar en modo seguro e intentar eliminar los archivos, ya no existia casi ninguno de los archivos. Los únicos archivos que existían y que si he podido eliminar eran:
23/12/2008 18:13 410.984 deploytk.dll
06/01/2009 23:51 62 popcinfo.dat
07/01/2009 02:23 300 popcinfot.dat
06/01/2009 18:38 1.409 QTFont.for
26/09/2006 17:37 67.584 StrationFix.exe
De los archivos DLL con esos nombres tan curiosos ya no existía ninguno. Quien había eliminado los archivos, si yo aún no los había eliminado? Puede ser que fuera el combofix.exe?
Tambien eliminé esa clave del registro.
Y finalmente tambien ejecuté el programa de "Secuestro de Internet explorer" cuyos autores son la Asociación de internautas, pero ese programa no solucionó el problema, aun sigue abriendo la página de megaclick.com.
Cada vez que abro el internet explorer me aparece la siguiente direccion: http://www.megaclick.com/404/error.html
Los archivos "launch.exe" es un programa gratis antispyware que me bajé para solucionar el problema. Me encontró y eliminó bastantes troyanos que el Kaspersky 2009 no me había detectado, pero no me solucionó el problema.
Launch.exe -> Dr. Web Cure It -> http://www.freedrweb.com/cureit/
Y el "registrar.bat", es un pequeño BAT que me creé para registrar unas librerías de creación propia, asi que es de total confianza.
Tengo que indicar que el problema de los 4 avisos se ha solucionado. Ya no aparecen los mensajes de descarga de archivos maliciosos y el ordenador me va mucho más fluído tanto de forma local como en internet.
Ahora, solo queda pendiente lo de "http://www.megaclick.com/404/error.html"
Saludos y gracias!
23/12/2008 18:13 410.984 deploytk.dll
06/01/2009 23:51 62 popcinfo.dat
07/01/2009 02:23 300 popcinfot.dat
06/01/2009 18:38 1.409 QTFont.for
26/09/2006 17:37 67.584 StrationFix.exe
De los archivos DLL con esos nombres tan curiosos ya no existía ninguno. Quien había eliminado los archivos, si yo aún no los había eliminado? Puede ser que fuera el combofix.exe?
Tambien eliminé esa clave del registro.
Y finalmente tambien ejecuté el programa de "Secuestro de Internet explorer" cuyos autores son la Asociación de internautas, pero ese programa no solucionó el problema, aun sigue abriendo la página de megaclick.com.
Cada vez que abro el internet explorer me aparece la siguiente direccion: http://www.megaclick.com/404/error.html
Los archivos "launch.exe" es un programa gratis antispyware que me bajé para solucionar el problema. Me encontró y eliminó bastantes troyanos que el Kaspersky 2009 no me había detectado, pero no me solucionó el problema.
Launch.exe -> Dr. Web Cure It -> http://www.freedrweb.com/cureit/
Y el "registrar.bat", es un pequeño BAT que me creé para registrar unas librerías de creación propia, asi que es de total confianza.
Tengo que indicar que el problema de los 4 avisos se ha solucionado. Ya no aparecen los mensajes de descarga de archivos maliciosos y el ordenador me va mucho más fluído tanto de forma local como en internet.
Ahora, solo queda pendiente lo de "http://www.megaclick.com/404/error.html"
Saludos y gracias!
Independientemente de lo que estés viendo con RadarpSP, no debes tener ningún otro programa de seguridad residente,
solamente on-demand.
En cuanto el problema que queda por solucionar, no está disponible. ¿Puedes subirlo de nuevo y postear el link?
solamente on-demand.
En cuanto el problema que queda por solucionar, no está disponible. ¿Puedes subirlo de nuevo y postear el link?
QUOTE(Visconti12 @ 13.01.2009 12:04) 
Independientemente de lo que estés viendo con RadarpSP, no debes tener ningún otro programa de seguridad residente,
solamente on-demand.
En cuanto el problema que queda por solucionar, no está disponible. ¿Puedes subirlo de nuevo y postear el link?
solamente on-demand.
En cuanto el problema que queda por solucionar, no está disponible. ¿Puedes subirlo de nuevo y postear el link?
Hola!
No entiendo lo que me indicas.
De antivirus residentes sólo tengo uno, el Kaspersky 2009, ninguno más. El Dr. Web Cure It es una pequeña herramienta, al igual que el combofix.exe. La ejecutas 1 vez y ya está.
Y no entiendo que es lo que quieres que suba?
Saludos!
QUOTE(greatmamut @ 13.01.2009 13:04)
Hola!
No entiendo lo que me indicas.
De antivirus residentes sólo tengo uno, el Kaspersky 2009, ninguno más. El Dr. Web Cure It es una pequeña herramienta, al igual que el combofix.exe. La ejecutas 1 vez y ya está.
Y no entiendo que es lo que quieres que suba?
Saludos!
No entiendo lo que me indicas.
De antivirus residentes sólo tengo uno, el Kaspersky 2009, ninguno más. El Dr. Web Cure It es una pequeña herramienta, al igual que el combofix.exe. La ejecutas 1 vez y ya está.
Y no entiendo que es lo que quieres que suba?
Saludos!
Entendido en cuanto a la herramienta, pero el link del problema que comentabas como "pendiente de solucionar" no funciona.
¿Puede subirlo de nuevo a la web?
QUOTE(greatmamut @ 13.01.2009 13:04)
Hola!
No entiendo lo que me indicas.
De antivirus residentes sólo tengo uno, el Kaspersky 2009, ninguno más. El Dr. Web Cure It es una pequeña herramienta, al igual que el combofix.exe. La ejecutas 1 vez y ya está.
Y no entiendo que es lo que quieres que suba?
Saludos!
No entiendo lo que me indicas.
De antivirus residentes sólo tengo uno, el Kaspersky 2009, ninguno más. El Dr. Web Cure It es una pequeña herramienta, al igual que el combofix.exe. La ejecutas 1 vez y ya está.
Y no entiendo que es lo que quieres que suba?
Saludos!
¿has probado la opcion restaurar sistema de Kaspersky?
Aqui se explica como bloquearla y por ende como desbloquearla:http://www.batiburrillo.net/adivina/adivina_int16.php
QUOTE(Visconti12 @ 13.01.2009 18:01)
Entendido en cuanto a la herramienta, pero el link del problema que comentabas como "pendiente de solucionar" no funciona.
¿Puede subirlo de nuevo a la web?
¿Puede subirlo de nuevo a la web?
No hay que subir nada.
Lo que indico en el mensaje es que aún está pendiente que cada vez que abro el internet explorer para navegar siempre me carga esa página de inicio.
"http://www.megaclick.com/404/error.html" <-- página que me carga el navegador de internet cada vez que lo abro.
Y la pagína por suerte no existe!!!
Hay alguna forma de eliminar esa página de inicio?¿
Saludos!
QUOTE(RadarpSP @ 13.01.2009 20:50)
¿has probado la opcion restaurar sistema de Kaspersky?
No, no he probado con la opción de "Restaurar Sistema" de Kaspersky.
Si que probé con la opción de "Restaurar Sistema" de XP y no me solucionó nada.
Como hago para poder usar la opción de"Restaurar Sistema" de Kaspersky ?
Saludos!
Click to view attachment
Mira tab mi post anterior que lo he editado para añadir una cosa.
Si no funciona prueba este programa : http://www.4shared.com/file/47414575/64ee5...rified=117f3efe
Mira tab mi post anterior que lo he editado para añadir una cosa.
Si no funciona prueba este programa : http://www.4shared.com/file/47414575/64ee5...rified=117f3efe
Hola, de nuevo.
Aún no he probado lo último que has indicado.
Pero teneis que ayudarme lo más rápido posible!!!
No se porque razón, pero ahora la página de internet que no existía, ahora si existe, y cada vez que entro a Internet Explorer para navegar ahora me descarga archivos de publicidad.
Ahora la página de inicio de internet es:
Enlace editado por moderador.
Y esta página si existe!!!
Teneis que ayudarme.
Saludos!
Aún no he probado lo último que has indicado.
Pero teneis que ayudarme lo más rápido posible!!!
No se porque razón, pero ahora la página de internet que no existía, ahora si existe, y cada vez que entro a Internet Explorer para navegar ahora me descarga archivos de publicidad.
Ahora la página de inicio de internet es:
Enlace editado por moderador.
Y esta página si existe!!!
Teneis que ayudarme.
Saludos!
QUOTE(RadarpSP @ 13.01.2009 21:45)
Click to view attachment
Mira tab mi post anterior que lo he editado para añadir una cosa.
Si no funciona prueba este programa : http://www.4shared.com/file/47414575/64ee5...rified=117f3efe
Mira tab mi post anterior que lo he editado para añadir una cosa.
Si no funciona prueba este programa : http://www.4shared.com/file/47414575/64ee5...rified=117f3efe
Gracias, gracias, gracias!!!
Eres un Maestro!!!!
Por fin pude solucionar el problema de la maldita página de inicio!!!
Lo solucioné con esa magnífica herramienta que indicaste!!! La IniRem 2.0.3!!!!
Eso si, tuve que ejecutarla en modo seguro, porque en modo normal no solucionaba el problema!!!!!
Muchísimas gracias, el ordenador ahora funciona perfecto!!!
Saludos!!!
Creo que grité victoria demasiado rápido!!!
Ya no me aparece esa página de inicio, pero me sigue cargando esa página de internet cada vez que intento entrar en una página que no existe.
O sea, si yo en la direccion de internet, escribo una pagina de forma incorrecta, por ejemplo
htp:/ww,google.,es <--- pagina de internet mal escrita
Si hago esto, luego siempre me carga esa maldita página de inicio!!!
La página de inicio se llama "Megaclick Adevertisement 2.0"
Ayudarme a liberarme de esta jodida página de troyanos!!
Saludos!
Ya no me aparece esa página de inicio, pero me sigue cargando esa página de internet cada vez que intento entrar en una página que no existe.
O sea, si yo en la direccion de internet, escribo una pagina de forma incorrecta, por ejemplo
htp:/ww,google.,es <--- pagina de internet mal escrita
Si hago esto, luego siempre me carga esa maldita página de inicio!!!
La página de inicio se llama "Megaclick Adevertisement 2.0"
Ayudarme a liberarme de esta jodida página de troyanos!!
Saludos!
Desinstala la barra de Megaupload.
QUOTE(RadarpSP @ 14.01.2009 16:53)
Desinstala la barra de Megaupload.
Gracias genio!!
Era la barra de megaupload!!!
Todo solucionado, POST CERRADO!
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.