10/08/2004, 12:50
| |||
| |||
| archivo alevir.exe con virus w32.opaserv.worm  de antemanom gracias por su ayudatengo un problema con esto archivo alevir.exe con virus w32.opaserv.worm alguno de ustedes gurus podría decirme como desaparezco a este maldito virus tambien me aparece un archivo infectado llamado brasil :-p :-p :-p gracias por sua ayuda y en lo q pueda ayudarles atte.lestat  |
|
10/08/2004, 13:34
| ||||
| ||||
| Bueno para el w32.opaserv.worm hay una herramienta de Symantec bajala http://securityresponse.symantec.com...r/FixOpsrv.exe Desconecta tu antivirus temporalmente y importante apaga el Restaurar Sistema. Proba primero con la herramienta y si no lo podes sacar te paso la manera de hacerlo manualmente ok. Para el Alevir.exe pertenece a otro virus Opasoft.F para borrarlo tenes que editar el Win.ini y el registro de windows. busca primero este archivo y borralo C:\Windows\ALEVIR.EXE En el Win.ini busca y borra esta entrada. run = C:\Windows\ALEVIR.EXE Despues en el regedit busca y borra esto HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Alevir = C:\Windows\ALEVIR.EXE PAsale tambien el PAnda Online. Salu2
__________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com | ForoSpyware.com Última edición por elpiedra; 10/08/2004 a las 13:42 |
|
10/08/2004, 14:51
| |||
| |||
| ahora se cambia de nombre el maldito primero me aparecia q ese nombre ahora me aparece un archivo infectado de nombre brasil.pif despues uno con nombre marco!.scr y despues sersvr.exe q hago atte. lestat  |
|
10/08/2004, 18:15
| ||||
| ||||
| Como eliminar el virus W32/Opasoft.A. y todas sus variantes Todos esos archivos pertenecen a las diferentes variantes del virus "Opasoft". Por ej: Opasoft.E Se copia como "Brasil.pif o Brasi.exe" Opasoft.H. Se copia como "MARCO!.SCR" Para eliminarlos es importante antes instalar el parche de seguridad Microsoft Security Bulletin (MS00-072) y una ves instalado apagar el Restaurar Sistema de las propiedades de MiPC (win 2000 o Me.) Luego pásale las herramientas que te pongo a continuación W32.Opaserv.Worm Removal Tool (Symantec) (156 Kb) http://securityresponse.symantec.com...r/FixOpsrv.exe PQRemove (Panda) (1.2 Mb) http://updates.pandasoftware.com/pq/...v/pqremove.com Para la eliminación manual busca estos archivos y eliminarlos C:\ScrSin.dat C:\ScrSout.dat C:\tmp.ini C:\Windows\ScrSvr.exe C:\Windows\ScrSin.dat C:\Windows\ScrSout.dat C:\Windows\ScrLog C:\Windows\ScrLog2 C:\Windows\BRASIL.PIF C:\Windows\BRASIL.EXE C:\put.ini C:\BRASIL.DAT C:\BRASIL!.DAT C:\Windows\ALEVIR.EXE C:\Windows\PUTA!!.EXE C:\Windows\MARCO!.SCR C:\GAY.INI C:\Mane!!.dat C:\FDP!!!!.dat C:\vaisef.exe C:\Windows\INSTIT.BAT C:\INSTITU C:\GUSTAV.SAP C:\INSTITU.VAT C:\WIN.INI C:\Windows\MQBKUP.EXE C:\Windows\MSBIND.DLL C:\Windows\MSCAT32.DLL C:\MSLICENF.COM \BOOT.EXE \BOOTSECT.DOS C:\Windows\MSTASK.EXE C:\Windows\System\WINSRV.EXE C:\Windows\System\SCR.SCR C:\Windows\MSLOAD.EXE C:\Windows\MSBIND.DLL Si existe algún archivo en el formato C:\nombre.INI en el raíz de cada unidad C:, diferente a los mencionados en la lista anterior, borralo Editar el registro "REGEDIT" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run En la carpeta "Run" y en el panel de la derecha busca y borre las siguientes entradas (aparece una sola, de acuerdo a la versión del gusano): ScrSvr ScrSvrOld Brasil Alevir Puta!! cronos Cuzao!Old instit mqbkup mstask Winsrv scr Despues anda a esta entrada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \RunServices En la carpeta "RunServices" y en el panel de la derecha busca y borre las siguientes entradas (aparece una sola, de acuerdo a la versión del gusano): LoadManager Salí del registro guardando los cambios Reinicia la PC Editar el archivo WIN.INI (Windows 95, 98 y Me) 1. Desde Inicio, Ejecutar, teclea WIN.INI y pulse Enter. 2. Busca la siguiente (de acuerdo a la versión aparece una sola de las siguientes entradas): [Windows] run = C:\tmp.ini [Windows] run = C:\Windows\ScrSvr.exe [Windows] run = C:\Windows\BRASIL.PIF [Windows] run = C:\Windows\BRASIL.EXE [Windows] run = C:\Windows\ALEVIR.EXE [Windows] run = C:\Windows\PUTA!!.EXE [Windows] run = C:\put.ini [Windows] run = C:\Windows\MARCO!.SCR [Windows] run = C:\GAY.INI [Windows] run = C:\Windows\Instit.bat [Windows] Run = C:\Windows\MQBKUP.EXE [Windows] Run = C:\Windows\MSTASK.EXE Debe quedar como: [Windows] run= 3. Graba los cambio y salí de block de notas. Salu2
__________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com | ForoSpyware.com |
|
11/08/2004, 13:39
| ||||
| ||||
| Es que antes de borrarlos tenes que Bajarte el PARCHE DE SEGURIDAD de Micro$oft que puese en el mensaje anteriro y despues apagar el Restaurar Sistema. Y ahi recien empezar a borrar todo lo referente al virus.
__________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com | ForoSpyware.com |
|
28/01/2005, 11:31
| ||||
| ||||
| Me ha servido muchísimo la información que pusiste aquí, gracias
__________________ "Un experto es una persona que ha cometido todos los errores que se pueden cometer en un determinado campo" - Niels Bohr :cool: 0!)!u!/\ :patada: |
|
28/01/2005, 11:46
| ||||
| ||||
| De nuevo muchas gracias, tenía como 5 de esos archivos, ahora tengo un problema, hoy en la mañana el antivirus (mcafee) detectó uno de estos virus (o archivos malignos) y lo limpió, bajé la actuaización, pero cuando la estaba instalando me tiró este error: "Scan32 probocó un error en MCSCAN32.DLL" ¿Puede que este virus me haya dañado el antivirus? ¿cómo pudo haber entrado este virus? (formatié la PC hace una semana...) Gracias por la ayuda!
__________________ "Un experto es una persona que ha cometido todos los errores que se pueden cometer en un determinado campo" - Niels Bohr :cool: 0!)!u!/\ :patada: |
|
14/02/2005, 11:33
| ||||
| ||||
| Buenas maestros! tengo un problema con algunos spywares y worms... instalé el Ad-Aware SE, me limpió la máquina bastante bien, pero me dí cuenta que no me estaba limpiando todo(tengo las actualizaciones), bajé el NoAdware, este me encontró(no tengo la licencia, así que sólo los encuentra no los elimina): marco!.scr BRASIL.pif instit.bat system.exe SYSTEM.EXE (aparece 2 veces en mayúscula y 1 en minúscula) runwin32.exe wininet32.exe mstasks1.exe lo curioso es que si sigo la ruta (casi todos en c:\Windows\, o c:\Windows\system\) no aparecen ahí, tengo activado el ver archivos ocultos. también estaba lleno de cosas en el registro, pero esas ya las logré borrar. ¿Alguien me podía dar una idea? Gracias
__________________ "Un experto es una persona que ha cometido todos los errores que se pueden cometer en un determinado campo" - Niels Bohr :cool: 0!)!u!/\ :patada: |
|
14/02/2005, 11:43
| ||||
| ||||
| Te recomendaría que cuando pongas una nueva pregunta en el foro lo hagas creando un nuevo tema ya que si lo pones asi dentro de otro puede que nadie lo vea y no tengas respuestas. Bueno el caso directamente es que te aconsejo que desinstales el NoAdware cuanto antes ya que este es un falso antispywares que no solo te va a dar falsos positivos sino que también puede que te instale mas spyware. Te recomiendo que mires este articulo donde tenes todos los antispyware que no podes instalar en tu pc y los que si. AntiSpywares que agregan Spyware Actualizado 2005 http://www.forospyware.com/showthread.php?t=5 Salu2
__________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com | ForoSpyware.com |
|
14/02/2005, 16:12
| ||||
| ||||
| Cita: Utilicé el mismo ya que hablaban de los mismos spywares (marco!.scr, Brasil.pif), además me pareció que había gente que conoce del tema y esto les llegaría directo a su correo, jeje.
Iniciado por elpiedra Te recomendaría que cuando pongas una nueva pregunta en el foro lo hagas creando un nuevo tema ya que si lo pones asi dentro de otro puede que nadie lo vea y no tengas respuestas. Salu2  Gracias por el consejo del NoAdware. ¿qué me recomiendas usar para ver si tengo spyware? (algunas cosas que el NoAdware encontró si estaban y el Ad-Aware SE no las encontró).
__________________ "Un experto es una persona que ha cometido todos los errores que se pueden cometer en un determinado campo" - Niels Bohr :cool: 0!)!u!/\ :patada: |
|
14/02/2005, 17:17
| ||||
| ||||
| El tema es que justamente al ser un FALSO ANTISPYWARE te da FALSOS POSITIVOS. Este antispyware en particular que es el mismo que el "Sin-Espias" lo que hace justamente es mostrarte a tu pc infectada para que al momento de qureer limpiarla tengas que comprar su licencia. Tenes unos cuantos antispyware buenos y gratuitos como: Ad-Aware Se SpyBot S&D Spy Sweeper [este no es gratis pero si por 30 dias] Microsoft AntiSpyware. Salu2
__________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com | ForoSpyware.com |
|
15/02/2005, 10:57
| ||||
| ||||
| yo tengo el Ad-Aware SE, cada vez que reinicio me detecta 24 o 25 archivos o llaves de registro infectadas. el problema es que las limpia y luego vuelven a aparecer. cada vez que abro internet explorer me aparece about:blank y es una página de SEARCH FOR, y me salen pop-ups diciendo que tengo spyware(como tu dices para que compre). el archivo speedy.scr lo he borrado 2 veces y sigue apareciendo. hay una barra buscadora instalada(supuestamente) pero no la encuentro, el agregar y quitar programas aparece, pero no lo puedo quitar y no encuentro el desinstalador(lo busqué en google), casi no puedo usar internet, cada vez que entro en una página tengo que apurarme a apretar "STOP" para que no me la redireccione a "SEARCH FOR", alguna idea de donde puede estar alojado este visitante no agradable? Gracias por tu ayuda
__________________ "Un experto es una persona que ha cometido todos los errores que se pueden cometer en un determinado campo" - Niels Bohr :cool: 0!)!u!/\ :patada: |
|
15/02/2005, 11:37
| ||||
| ||||
| Ya para eliminar todos los parásitos de tu sistema es muy difícil que lo puedas hacer con un solo programa automáticamente si no que ya lo tendrías que hacer con el HijackThis. Pásate por este enlace descarga el HijackThis 1.99 y en ese mismo foro tenes el Foro de HijackThis donde podes pegar tu log para que lo analicen. http://www.forospyware.com/announcement.php?f=14 Salu2
__________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com | ForoSpyware.com |
|
16/02/2005, 10:35
| ||||
| ||||
| Gracias elpiedra Me registré en el forospyware, pero no me dejaba postear, así que aquí te pongo el log a ver si me ayudas, hay algunos que reconozco de inediato, como los de mysearch bar, o el se.dll,sp.dll o "about:blank"(es la pag. de search for"), pero hay algunos que no se que son, a ver si me das una ayudita. gracias Logfile of HijackThis v1.99.0 Scan saved at 10:29:52 a.m., on 16/02/2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {45368477-F30C-48C0-8FBC-A6FEF90B7AD0} - C:\WINDOWS\SYSTEM\GECOMA.DLL O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Archivos de programa\Network Associates\VirusScan\AVSYNMGR.EXE O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted IP range: 67.19.185.246 O15 - Trusted IP range: (HKLM) O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O18 - Filter: text/html - {F6511D69-CBD7-4995-9923-C490E49AFF0A} - C:\WINDOWS\SYSTEM\GECOMA.DLL O18 - Filter: text/plain - {F6511D69-CBD7-4995-9923-C490E49AFF0A} - C:\WINDOWS\SYSTEM\GECOMA.DLL
__________________ "Un experto es una persona que ha cometido todos los errores que se pueden cometer en un determinado campo" - Niels Bohr :cool: 0!)!u!/\ :patada: |
