win32.efewe.h ¿cómo lo quito?

Amigos foreros:

Pues nada, me trajeron una computadora porque trabajaba muy lenta y no podían entrar a algunos lugares de internet que les interesa.

Habían cometido todos los errores basicos, el resultado fue una infección importante de spyware y no muy grande de virus.

El problema es que después de eliminar casi todo, resulta que está infectada con el WIN32.EFEWE.H (reporte del eTrust EZ Antivirus), pero no puedo eliminarlo.

Ya intenté hacer scaneos en linea, pero no me deja conectarme a los sitios de panda o cualquier otro.

¿Me pueden ayudar a eliminar este problema?

Muchas gracias.

Ve aquí: http://listas.vsantivirus.com/lista/...e/901/msg/920/

Salu2

Primero que nada GRACIAS por tu apoyo.

Ya intenté lo que se recomienda, el problema es que en modo a prueba de fallos no lo encuentra, pero si entro en modo normal, lo detecta constantemente indicandome un mensaje de infección y limpieza del archivo:

c:\windows\system32\orans.sys

claro que si busco ese archivo no lo encuentro (incluyendo la opción de ver los archivos ocultos).

¿alguien tiene otra opción que me pueda ayudar?

Te dejo unas en inglés:

http://www.techsupportforum.com/show...052#post334052

http://www.c-enter.hu/center/0253915.html

Como último recurso puedes usar el troyan explore http://www.troyan.tk/

Salu2

En la computadora del problema, "misteriosamente" no puedo entrar en los sitios de revisión en linea de panda, pc-cillin, ewido, NINGUNO.

Gracias, intentaré avanzar con tu ayuda y te platico como me fue.

Has tratado de quitar el archivo por MsDos (cmd)?... no significa que tengas que encontrar el archivo, solo escribir por MsDos esto

-----------> del c:\windows\system32\orans.sys

Salu2, suerte

se te cierran esas ventanas al rato de ingresar?? a mi tio le pasó algo similar pero con el DARBY. Tambien te bloquea las aplicaciones??

salu2

Desafortunadamente todo sigue igual, lo presento más a detalle, espero explicarme de manera clara:

Si arranco en modo seguro, todo trabaja sin indicar ningún problema, el antivirus no encuentra nada sospechoso y tampoco ad-aware ni spybot search & destroy.

Si arranco en modo normal es cuando vienen los problemas:

De inmediato el antivirus (eTrust EZ Antivirus totalmente actualizado) presenta contantemente el mensaje de detección y eliminación del virus en el archivo c:\windows\system32\orans.sys (una vez lo elimina y la siguiente me indica solamente que lo detectó sin eliminarlo, este ciclo de mensajes se repite contantemente) y no deja trabajar.

Después de 51 detecciones deja de detectarlo y ya puedo trabajar, pero no me puedo conectar a ninguna revisión en linea.

Ya instalé ewido y trojan explore y no detectan virus ninguno de los 2.

Nunca he trabajado con hijackthis, si lo que tengo que hacer va por ahí, por favor sean lo más explícitos posible.

Gracias

Entro en el administrador de tareas y al revisar la lista de procesos encuentro uno que me ocupa la capacidad total de procesamiento, es uno que se llama SPOOLSV.EXE indica que es utilizado por SYSTEM y tiene un rtamaño de 6,471 KB.

Lo puedo eliminar y la utilización de inmediato baja a 0%, pasados unos minutos la utilización vuelve al 100% y otra vez está este proceso en la lista tal como estaba antes de eliminarlo.

¿tiene que ver esto con el problema o ya estoy todo confundido?

¡AUXILIOOOOOOOOOOOOOOO!

Empieza a respaldar archivos, y juntar los software que necesitas, hay que considerar aunque desinfectes tu computadora siempre quedan secuelas del virus, y lo mejor es empezar de cero antes de estar ahogado en un vaso de agua... talves no sea la mejor solucion a tu problema, pero asi cortas por raiz, y no te complicas con algo que pudistes haber evitado antes.

Es solo una opinion personal mia, que no puede estar muy lejos de la realidad...

salu2....

Antes de llamarme la atención por un descuido que YO NO COMETÍ, sería bueno que leyeras completa mi consulta, el equipo que tiene el problema no es mío, me lo trajero así.

El problema mayor es que no quieren que ponga su equipo como nuevo, no creo que por un virus así deba ser necesario volver a cero, no ha dañado (al parecer) los sistemas ni la información, tampoco impide el funcionamiento de windows, y según los fabricantes de antivirtus que he revisado tampoco se trata de un virus altamente dañino.

De cualquier manera agradezco tu tiempo y recomendaciones.

y les platicaré como me va.

aqui http://www.techsupportforum.com/show...052#post334052 encontrarás algo relacionado a tu caso... leelo. Tambien te suguiero poner tu LOG con el HIJACKTHIS.
No es GRAN COSA saber usarlo, una vez q lo hayas descargado lo ejecutas y le das al botón q dice Do a system scan and save logfile luego te generará un documento en BLOC DE NOTAS lo copias todo y lo pegas como un mensaje. recuerda NO TOCAR NADA en el HIJACKTHIS y lo cierras usando la tradicional X

Espero haber podido ayudarte alguito mas..

nos comentas q tal t fue

salu2

Gracias causita

Aquí te presento el resultado del hijackthis, espero que me puedas ayudar

Logfile of HijackThis v1.99.1
Scan saved at 11:58:42 a.m., on 12/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-mx\msnappau.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Administrador\Configuración local\Temp\Directorio temporal 2 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-mx\msnappau.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BackupNotify] C:\Archivos de programa\HP\Digital Imaging\bin\backupnotify.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycmap.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108290984970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: telecable - Unknown owner - C:\WINDOWS\telecable.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

OK!..lo q me olvidé de decirte, y t pido disculpas, es el HIJACKTHIS lo dbs pasar con todos los programas cerrados. Espero q lo hayas hecho asi. Ahora, yo no veo lo q es el analisis el LOG, es un tema delicado y es mejor q uno de los moderadores lo vea, cosas q pronto lo harán y t orientarán acerca de lo q dbs hacer con tu LOG

Un abrazo

por favor ayudenme, de verdad me urge encontrar la solución.

gracias

- Hola 68genaro, el log no tiene nada sospechoso, pero es necesario que pases al menos 2 Antivirus Online.

- No se si tenga que ver con tu problema de no poder pasar los Antivirus Online pero tu sistema no está actualizado, el mínimo recomendado es actualizarlo a SP1, es muy importante visitar windowsupdate con regularidad para mantener actualizado el sistema, este paso es muy importante porque va a proveer a nuestro sistema de los parches de seguridad necesarios y actualizaciones criticas luego de realizar este paso intenta pasar los Antivirus Online.

- Busca y elimina el archivo:

c:\windows\system32\orans.sys

Si no se deja eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega el archivo para que los elimine al reiniciar.

- Pasa el Regseeker para Limpiar el Registro pasalo hasta q no quede nada para eliminar.

- Reinicia la maquina y nos cuentas los resultados.

Saludos