Al acceder a un foro cualquiera al que llegué desde google mientras cargaba la página el navegador se "colgó" durante unos instantes y luego continuó normal (Firefox 3.5.7)
Tengo instalado el antivirus Avast! y no me detectó nada.
Al cabo de unos minutos me saltó una de esas alertas de "windows security alert" y se abrió una ventana ejecutando un escaneo de mi disco de un supuesto antivirus que no tengo en busca de virus. Se siguieron abriendo alertas del tipo "Application cannot be executed the file wscntfy.exe is infected" y una invitación a solucionarlo que enviaba a una web de un antivirus para comprar.
Hasta aquí nada nuevo que no le haya pasado a tanta gente. Pero se comenzaron a abrir alertas a 1 por segundo. No me dejaba hacer nada. Cualquier aplicación que intentara abrir me la abortaba diciendo que estaba infectada (ni contro alt sup, ni acceso al msconfig, ni panel de control ...)
cerré el sistema y busqué info desde otro pc y llegué hasta aquí http://www.forospyware.com/t299227.html
al iniciar mi pc tenía sólo unos pocos segundos (el tiempo en iniciarse el programa desde el ini) para poder hacer algo "instalar, actualizar ....". A lo largo de tropecientas reiniciadas logré instalar, actualizar y ejecutar todo lo que se sugiere en el link que he dejado.
El resultado: No estaba win32/olmarik en mi sistema, según malwarebytes (updated) y tras un escaneo completo de una hora no se encontró ningún archivo infectado.
En otro thread del mismo foro (infospyware) encontré que también sugerían el programa Dr.Web para sistemas ya infectados. Lo descargué, lo instalé y tras una hora de escaneo completo encontró 0 archivos infectados.
A todo esto, mientras tanto, cientos de ventanitas, alertas y otras yerbas se lanzaban cada segundo y se abría el IE y buscaba porno punto com (tenía el cable de red desconectado y se quedaba en blanco)
entré en modo a prueba de fallos y volví a escanear con dr.web y de nuevo me dijo que tenía 0 archivos infectados.
Ya con más calma en modo seguro y sin ventanitas miré el ini y encontré una llamada a un archivo de nombre bien extraño y con fecha de creación de hoy
c:\documents and settings\administrador\configuracion local\datos de programa\tibhjd\rkrisfftav.exe
Nombre del programa: OKEAVFKA
Me cargué la carpeta con el programa dentro y quité esa línea en el ini del sistema, reinicié y se acabaron las ventanitas y parece todo normal.
He buscado ese archivo en google y no hay nada con lo que podría ser algo nuevo. Por eso dejo aquí mi informe por si a alguien más le pasa y le pueda servir.
un saludo
