| mgmerlyn |  |
|
2007-10-01 05:43 - Respuestas: 119 - Tema nº: 2472484
He reiniciado el equipo y entrado en modo normal y de nuevo me salta el malware cuando me conecto a internet:
Mensaje del avast:
malware detectado : win32:porndialg.exe
Dandome opcion solo a abortar conexion , que pulso abort y me entra en internet.
Pero en una nueva conexion me vuelve a salir el mensaje del malware.
| |
|
|
| mgmerlyn | |
|
Re: Tengo un virus gay - 2007-10-01 15:32 - Respuesta 42
-En vista que tendo un malware y se me indica que esta en prods128.
Entro en modo a prueba de fallos con red
-Me conecto a internet
Ejecuto el avast y me clasifica como infectados el:
prods123.exe delete
prods125.exe delete
prods127.exe delete
prods128.exe delete
prods131.exe delete
prods134.exe delete
prods154.exe delete
prods165.exe delete
prods166.exe delete
prods172.exe delete
prods180.exe delete
prods195.exe delete
- me desconecto de internet
prods196.exe delete
-Dejo el avast scaneando y examino el pc , por si existen los prods*.*
No me localiza ninguno pero si un archivo
c:\windows\prefetch\PRODS128.EXE-07699F7A.pf
asi que lo elimino tambien, hacia la papelera
- No se pero me da la intencion que abriendo la carpeta contenedora es uno de los
procesos ¿oculto? que se carga en el adminitrador de tareas y por si fuese poco se estuvo replicando a medida que lo iba borrando.
- Le paso el Ccleaner
Elimino 15 MB en entradas
- Le paso el registry del CCleaner
6 entradas que marque y le hice fix , guarde la copia tambien.
Reinicio
Arranco en normal cargo internet , y de nuevo esta el malware found:
file name : http://voovle.info/ES.exe\[UPX]
win32:porndialer.ch[Trj]
Malware: Dialer
Version 00777-4, 30/09/2007
Abort connectio (click)
Comentario : Creo que ahora ya no lo tengo en mi pc , sino que algo intenta mandarmelo ya que el file name ( registrado por el avast ) pone una pagina web y antes el nombre de un proceso que se estaba ejecutando en windows.
Y te envio este post.
PD: Si alguna de la operaciones son incorrentas, mencioname los pasos a seguir por favor.
Gracias.
| |
|
|
| tordanxa |  |
|
Re: Tengo un virus gay - 2007-10-01 16:13 - Respuesta 43
Mira en el registro de windows, si encuetras alguna entrada relacionada con el archivo la eliminas. Pero antes haz una copia del registro por si las moscas
saludos | |
|
|
| mgmerlyn | |
|
Re: Tengo un virus gay - 2007-10-01 16:18 - Respuesta 44
Detalle de interes ( para mi por lo menos)
Inicie una busqueda en la carpeta windows de los prods, nada mas puse prods
me salto el avast de que tenia un malware, mi deducion es que hay algo que lo esta activando.
Entonces elimine el c:\windows\system32\prods127.exe y me aparece otro archivo prods
prodspec ( sin extension ) tambien para la papelera.
Reinicio y sigo con el mismo problema.
Ahora segun tu consejo miro en el registro de windows.Ok.
Se me colo postear este mensaje.
Pretendo especificarte todo con el maximo detalle posible
para que la reparacion sea lo mejor posible.
Si algo es de tu desagrado me lo comentas y " not problem ".
P.D: Buscando en el registro. | |
|
|
| mgmerlyn | |
|
Re: Tengo un virus gay - 2007-10-01 16:44 - Respuesta 45
Bien no se que poner en la busqueda del registro:
Asi que empiezo por prods:
Me localiza HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
cuyo interior tiene una entrada 000 cuyo valor es prods. Lo voy a eliminar
Lo mas extraño es que la carpeta ACMru tiene dos carpetas a su vez;
la \5603 cuyo interior tiene la clave comentada
y la \5604 que no tiene nada, niguna clave tambien la borro
de hecho no se si eliminar ACMru; yo no entiendo de estas cosas
P.D: He hecho una copia del regedit en la otra particion.
| |
|
|
|
