Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

Help!virus q no puedo eliminar: win32:fraudo,patched (solucionado)

patiflis
2009-08-15 18:19 - Respuestas: 5 - Tema nº: 2613449


Windows XP Home .


Buenas tardes,

Me ha entrado un virus. Cuando enciendo el ordenador aparece un mensaje para que compre un antivirus como si no tuviera un antivirus instalado.

Primero he utilizado cc cleaner para eliminar los archivos temporales y cookies

Después, he pasado el avast antivirus y me ha salido esto:

08/15/2009 13:44
Escanear todas las unidades locales

El archivo C:\Documents and Settings\Eli\Configuración local\Temp\tmp13FB.tmp se encuentra infectado por Win32:Patched-KY [Trj], Eliminado
El archivo C:\Documents and Settings\Eli\Configuración local\Temp\tmp1B44.tmp se encuentra infectado por Win32:Patched-KY [Trj], Eliminado
El archivo C:\Documents and Settings\Eli\Configuración local\Temp\~TM80B.tmp se encuentra infectado por Win32:Rootkit-gen [Rtk], Eliminado
El archivo C:\WINDOWS\Temp\tempo-121329046.tmp se encuentra infectado por Win32:Fraudo [Trj], Eliminado
El archivo C:\WINDOWS\Temp\tempo-13185031.tmp se encuentra infectado por Win32:Fraudo [Trj], Eliminado
Carpetas escaneadas: 4949
Archivos comprobados: 62442
Archivos infectados: 5

Primero los he elimiado pero al reiniciar el ordenador volvía a aparecer el virus. Entonces los he puesto en el "baúl" pero el antivirus no podía eliminarlos.

Os paso el log del hijackthis por si os sirve de algo:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://es.rd.yahoo.com/customize/ycomp/defaults/sb/*http://es.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://es.rd.yahoo.com/customize/ycomp/defaults/sp/*http://es.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ycomp/defaults/su/*http://es.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [WirelessAssistant] C:\Archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QT Lite\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [YSearchProtection] "C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Search Protection] C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [YSearchProtection] C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [kcibj3h5.exe] C:\WINDOWS\system32\kcibj3h5.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [international] International
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{803B93BE-074C-4292-9FB0-3786FA05D340}: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{82A6A826-133C-4F55-A4FD-CCEA051E131A}: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66B86FE-9378-4920-B442-864FCD575A2F}: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.120,85.255.112.83
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\archivos de programa\idt\wdm\STacSV.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Archivos de programa\Yahoo!\SoftwareUpdate\YahooAUService.exe


End of file - 10125 bytes

El micro root kit buster me dice lo siguiente:


+-
| Trend Micro RootkitBuster
| Module version: 2.52.0.1013
+-


== Dump Hidden MBR and Hidden File on C:\ ==
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\drivers\ESQULbnevdnqwhxillxswbimleppjxubxyxns.sys
FullPathLength: 69
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\drivers\ESQULligpvsfyjqupuhahdlmndiewunjcjsua.sys
FullPathLength: 69
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\ESQULonhckqqvqodjrkjdtjeawpudmbualcxk.dll
FullPathLength: 61
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\ESQULpljnoedkyhwupahstbxxrqvcalsutvjv.dll
FullPathLength: 61
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\ESQULzxspectrum
FullPathLength: 35
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
5 hidden files found.

== Dump Hidden Registry Value on HKLM ==
No hidden registry entries found.


== Dump Hidden Process ==
No hidden processes found.

== Dump Hidden Driver ==
No hidden drivers found.

El problema es que no puedo localizar estos archivos porque estan ocultos pero tengo activada la opción de mostrar archivos y carpetas ocultos. Entonces debería poder encontrarlos.

No puedo instalar otros antivirus q no sean online porque cada vez tengo más problemas con mi ordenador.

Necesito poder eliminar estos archivos y que no vuelvan a aparecer al reiniciar. No me sirven de mucho todos estos programas que me dicen los virus que tengo si no consiguen eliminarlos.

Que puedo hacer?

Gracias

Comentarios adicionales: No había instalado ningún programa, ni cambiado nada de hardware en el PC.
Posibles soluciones:
Help!virus q no puedo eliminar: win32:fraudo,patched (solucionado)Help!virus q no puedo eliminar: win32:fraudo,patched (solucionado)
Eliminar un virus:win32Eliminar un virus:win32
Eliminar virus win32Eliminar virus win32
Comno eliminar virus win32Comno eliminar virus win32
Eliminar virus win32:malware.genEliminar virus win32:malware.gen
swissman

Re: Help!virus q no puedo eliminar: win32:fraudo,patched (solucionado) - 2009-08-15 18:25 - Respuesta 2

Inicia tu pc en modo seguro con conexiones de red y pasa algún antivirus actualizado on-line

descarga y actualiza los siguientes programas y los vas pasando uno tras otro, un par de veces cada uno:
Malwarebytes' Anti-Malware 1.3
Spyware Doctor 6
Regcleaner
Spybot
cwshredder.exe
ad-aware
SUPERAntiSpyware
Ccleaner (limpiar temporales y registro)
descarga, pero no instales hijackthis versión 2.02
reinicias en modo normal e instalas el hijackthis, lo ejecutas y pulsa “do a system scan and save a log”, se te abrirá un fichero txt, el contenido del cual debes copiar al portapapeles y pegas a continuación.
patiflis

Re: Help!virus q no puedo eliminar: win32:fraudo,patched (solucionado) - 2009-08-15 18:55 - Respuesta 3

He probado el malware bytes pero no me deja utilizarlo porque este virus me da muchos problemas.

ya he probado varios antivirus, he incluido los 3 logs con los archivos especificados y el log que he pegado de hijack this lo he utilizado iniciando windows en modo normal. todos los que me has aconsejado tienen en comun que hacen un scan pero ninguno puede eliminarlos, si no me equivoco.

ahora, con toda esta informacion de cuales son los archivos infectados quería saber como eliminarlos definitivamente.

muchas gracias
swissman

Re: Help!virus q no puedo eliminar: win32:fraudo,patched (solucionado) - 2009-08-15 20:06 - Respuesta 4

los has probado los que he puesto? ademas, el log que has puesto esta incompleto
patiflis

Re: Help!virus q no puedo eliminar: win32:fraudo,patched (solucionado) - 2009-08-15 21:26 - Respuesta 5

Al final he podido solucionarlo. Explico como por si alguien se encuentra con el mismo problema y ve este foro.

En la página de ****** se puede descargar un programa que se llama remove fake antivirus. Lo he instalado pero a mi no me ha funcionado porque no es eficaz contra todos los fake antivirus que existen, solo los que ellos han descubierto.

Después he encontrado en un blog sobre scareware de estados unidos una opción que a mi me ha funcionado. Consiste en ir a inicio/ejectuar y escribir msconfig y en la pestaña de inicio puedes encontrar todos los procesos que se cargan al iniciar windows. Dentro de la lista había 3 de los que empezaban por HKCU que eran un poco sospechosos y los he borrado con el cccleaner. Por favor no borreis nada si no estais seguros. En caso de duda podeis consultar en este foro.

Al reiniciar he podido comprobar que ya no me salen mensajes del supuesto antivirus ni tengo problemas con el internet explorer.

Puede que mi solución sea un poco chapuza pero es lo único que he podido hacer después de pasar horas y horas instalando antivirus que no evitaban que el virus se regenerara cada vez que iniciaba el pc.

A continuación he ido a mi pc/botón derecho/propiedades pestaña restaurar sistema y he activado la opción desactivar restaurar sistema en todas las unidades, de esta manera en principio no se vuelven a modificar los cambios.

Cruzemos los dedos para que este virus no vuelva a aparecer, con lo que me ha costado.

Es genial poder consultar foros para arreglar el ordenador. Hasta ahora siempre los había llevado a tiendas, lo cual no resulta muy económico para los que no somos expertos en informática.

Espero que esta información os haya sido útil

Saludos,


-


[Mensaje editado por swissman con fecha: 15-08-2009 21:30:17].
Página:1 Siguiente

Respuestas relacionadas:

Eliminar win32/mabezat.a virusEliminar win32/mabezat.a virusForo
Eliminar virus trojan win32Eliminar virus trojan win32Foro
No puedo eliminar el virus win32/scryptNo puedo eliminar el virus win32/scryptForo
Eliminar virus win32ctx y el win32 interceptorEliminar virus win32ctx y el win32 interceptorForo
No consigo eliminar el virus troyano upx win32No consigo eliminar el virus troyano upx win32Foro
Como eliminar el virus win32 ayuda!Como eliminar el virus win32 ayuda!Foro
Eliminar el virus win32 trojan-gen {other} de delphiEliminar el virus win32 trojan-gen {other} de delphiForo
Eliminar el virus heur: trojan.win32.genericEliminar el virus heur: trojan.win32.genericForo
Como puedo eliminar el virus win32/adware.hotbar.Como puedo eliminar el virus win32/adware.hotbar.Foro
Por favor ayuda para eliminar este virus.win32.vb.c (solucionado)Por favor ayuda para eliminar este virus.win32.vb.c (solucionado)Foro
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos22 Noviembre 2024