Jump to content
aserc

Seguro Que Estoy Infectado con Algo.... Pues El Comportamiento No Es Normal

Recommended Posts

Enviame por mensaje privado comprimidos con winrar y con contraseña "infected" (sin las comillas), los siguiente ficheros:

H:\FXDrv32.sys

J:\autorun.inf

 

Subelos a http://www.rapidshare.com o http://www.megaupload.com , y envíame el enlace de descarga por mensaje privado.

 

Ten cuidado con el gameguard, revisa:

http://en.wikipedia.org/wiki/Gameguard

 

No me gusta nada, esta linea en autoruns:

.exe

Script: Cuarentena, Eliminar, Eliminar BC -- Clave de Registro HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

Share this post


Link to post

Donde loS consigo? como los busco

 

H:\FXDrv32.sys = Este No Me Permite Abrirlo cuando pego la direccion asi......

J:\autorun.inf = Este Es De Un Pendrive creo, Por Que Me Abrio Un Documento Txt

 

Es Malo el gameguard ? si me dices que lo borre lo borro, jugaba gunz , pero si le hace daño a la pc lo borro......

 

________________________________________________________________________________

______________________

No me gusta nada, esta linea en autoruns:

QUOTE

.exe

Script: Cuarentena, Eliminar, Eliminar BC -- Clave de Registro HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

 

Que Es Eso ? : :huh: :huh: :huh:

Share this post


Link to post

Tienes que buscarlos en las rutas que te he indicado, no tienes que abrirlos, sino comprimirlos con winrar con contraseña "infected" como te he indicado, y enviarmelos por mensaje privado para su revisión.

 

El gameguard no es que sea malo, sino que puede tener problemas con otros programas, tienes que valorar tu si lo necesitas o no.

 

.exe, es una linea que tienes en tu autorun, seguramente un resto de algún programa malicioso o similar.

 

 

Share this post


Link to post

El autorun es del programa para pensuites que tienes, con lo que no lo considero peligroso, si es el original del programa que empleas.

 

Revisa que el otro fichero no este oculto, y que sea por eso que no lo veas.

 

Por si acaso, postea tu combofix log:

Descargalo de aquí

 

Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

 

Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar

manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

 

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.

Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto

puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.

 

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es

normal y apareceran en cuanto la exploración haya terminado.

 

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en

c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

Share this post


Link to post

Aqui Esta lo Que Encontre En c:\combofix.txt

 

Es Extraño No Tardo Ni 15 MInutos El Proceso...... Hice Todo COmo Dijiste

ComboFix.txt

Share this post


Link to post

Arranca el equipo en modo seguro y elimina estos bichos:

c:\windows\system32\B785A4057A.sys

c:\windows\iun6002.exe

c:\windows\system32\DLLDEV32i.dll

 

Luego elimina del registro esta clave:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

 

Quita del arranque el SUPERAntiSpyware

Share this post


Link to post

Saludos , Disculpa Como Arranco El Equipo En Modo Seguro, Yo No Se Mucho De Pc y Eso

 

Y Podrias Indicarme El procedimiento para eliminar (no vaya a eliminar otra cosa por no saber)

 

c:\windows\system32\B785A4057A.sys

c:\windows\iun6002.exe

c:\windows\system32\DLLDEV32i.dll

 

Luego elimina del registro esta clave:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

 

Ya que nose mucho y me han dicho que si elimino cosas del registro q no sean las que deba eliminar , puedo dañar la pc,disculpa mi ignorancia

 

y a que te refieres con

Quita del arranque el SUPERAntiSpyware

 

 

 

Share this post


Link to post

Hola,

 

@Mods: Perdón el atrevimiento, pero no hubiese sido mejor que se le generara un script AVZ para eliminar lo que RadarpSP ha indicado?

 

@aserc: A lo que RadarpSP se refiere con quitar al SUPERAntispyware del arranque es que desactives el inicio de este programa junto a Windows, si no me equivoco está en las preferencias/configuración del SUPERAntispyware.

 

Saludos.

Share this post


Link to post

Kikesan:

 

Cualquiera de las opciones es buena, con script o eliminandolos manualmente, depende de cada uno hacerlo de una manera o de otra.

 

Script para eliminar los mounpoints2:

 

begin

RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2');

end.

 

aserc:

 

Enviame la cuarentena del combofix por mensaje privado, comprimela con winrar y protegela con contraseña "infected" .

La encontraras en C:\qoobox\quarantine .

 

Una vez que me hayas enviado la cuarentena y realizada la limpieza, terminado de usar el ComboFix, se recomienda desinstalarlo, sigue los siguientes pasos:

Ve a Inicio -> Ejecutar -> Teclea o copia y pega el siguiente comando ComboFix /u y pulsa Entrar (enter)

 

Saludos

Edited by Caos

Share this post


Link to post
Hola,

 

@Mods: Perdón el atrevimiento, pero no hubiese sido mejor que se le generara un script AVZ para eliminar lo que RadarpSP ha indicado?

Me pareció que era mas sencillo para el usuario.

Para arrancar en modo seguro, pulsa varias veces la tecla F8 al arrancar el equipo.

cuando salga un manu con las flechas elige modo seguro.

Luego busca esos archivos y eliminalos, si tienes problemas generamos un script

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.