Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La idea de la siguiente post es recopilar las Preguntas mas frecuentes (FAQs) de los
diversos síntomas de infecciones ya que muchas veces suelen confundirse con
problemas ajenos a una infección.
Cita:
De momento este tema solo será tratado por los Miembros del Equipo de
Infospyware
Índice
1. ¿Porque svchost.exe me consume el 99% o 100% de los recursos del sistema?
2. ¿Porque svchost.exe aparece varias veces en el Administrador de tareas?
3. ¿Qué es la carpeta _restore? ¿Por qué mi antivirus encuentra virus allí y no los
puede eliminar?
4. Se desactivó el Firewall y no me deja activarlo
5. Me aparecen mensajes de Messenger Service
6. El Proceso inactivo “consume” mucho CPU ¿esto es normal?
7. El Administrador de Tareas ha sido deshabilitado por el Administrador ¿Cómo
puedo habilitarlo nuevamente?
8. El administrador ha deshabilitado la modificación del Registro ¿Cómo puedo
volver a habilitarlo?
9. Mi página de inicio se cambió y no puedo cambiarla
10. No puedo activar la opción Ver Archivos Ocultos
11. Mi antivirus detecta infecciones en la caché de Java ¿Cómo puedo eliminarlas?
12. Virus en el MSN Messenger
13. ¿Cómo eliminar totour.exe?
14. Se infecto mi memoria USB y la PC ya no la reconoce
15. Me aparecen ventanas de publicidad CID ¿Como puedo eliminarlas?
16. ¿Por qué Windows no inicia en Modo Seguro (Modo a prueba de fallos)?
17. Me aparecen ventanas de publicidad, popups, ventanas emergentes ¿Cómo
puedo eliminarlas?
18. Mantener "Java Runtime Environment" actualizado.
19. Eliminar Malware del DOBLE TILDE (´´)
GPastor
Ver Perfil
Enviar un mensaje privado a GPastor
¡Visita mi Sitio!
G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
Enlace de interés:
GPastor
Ver Perfil
G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
Administrador de Tareas
Administrador de Tareas
Opción 1
- Clic en Inicio--> Ejecutar, escribir regedit y presionar la tecla Enter.
- Dirigirse a esta ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System
Opción 3 (Recomendado)
Existe una herramienta gratuita llamada xp_taskmgrenab.exe que es capaz de
Habilitar / Deshabilitar el Administrador de Tareas de manera automática, evitando así
cambiar valores en el registro o sistema pudiendo causar errores. Descargue y ejecute
esta herramienta para poder solucionar este problema
GPastor
Ver Perfil
¡Visita mi Sitio!
G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
Regedit
Regedit
Respuesta: Este problema puede ser causado por alguna infección, como también
puede haberse cambiado de manera voluntaria.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
GPastor
Ver Perfil
¡Visita mi Sitio!
F
S
-
A
d
m
i
n
Respuesta: Este problema en la gran mayoría de los casos es ocasionado por un virus
llamado SXS que se transmite mediante las memorias USB.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A
dvanced
GPastor
Ver Perfil
¡Visita mi Sitio!
Encontrar todos los Mensajes por GPastor
G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
• Pasos 1
• Pasos 2
GPastor
Ver Perfil
Enviar un mensaje privado a GPastor
¡Visita mi Sitio!
G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
• Foto_Celular.scr
• Foto_Celular.zip
• Foto_Posse.zip
• Bush.exe
• Desnuda.exe
• F0538_jpg.zip
• facebookfoto.zip
• Fotos.zip - Fotos roberto.exe
• fotopara-facebook.com.zip
• fotopara*-facebook.com.zip
• fotopara-facebook*.com.zip
• fotos-facebook.com.zip
• fotosfacebook*.com.zip
• fotoparamyspace.com.zip
• Happy2008.zip
• imag091307.zip
• image.zip
• imageXX.zip
• IMG-XXXX.zip
• img4851.zip
• IMG-0024.zip
• IMG0024.zip
• misfacebook.com.zip
• MessengerSkinner
• MSN Content Plus
• MSN Messenger Guiños
• My_Pictures2007
• MyGallery5156.zip
• myspace-pics.zip
• N039_jpg.zip
• Nokia_19_jpg.zip
• myimage.zip
• new-photos.zip
• New-Year2008-imgaes.zip
• p0017_jpg.zip
• Photos-webcam2007.zip
• picts-XXXX.zip
• PictureAlbum2007.zip
• portaldeayuda - portaldeayudita
• S_00305_jpg.zip
• W139_jpg.zip
• Winks Instalador
• Z058_jpg.zip
• Image-006.JPEG_www.myspace.com
• img2007-12.JPEG.scr
• image114.JPG-scannedby-MSN.com
• misfacebook.com.zip
• myspace-pics.zip
• Happy2008-Card.com
• picture_004-new4myspace.JPEG-scan
• New-year2008-image15.scr
• image134.jpg-www.photoshare.com
• Image-005.JPEG_escudrinado-MSN.com
• New-Year2008-imgaes.zip
• new-photos.zip
• santasuite.jpg.exe
• MenssagemAnoNovo.exe
• W32 LechucK
• Feliz_Natal.exe / feliz.natal.2007
GPastor
Ver Perfil
¡Visita mi Sitio!
G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
Totour.exe
Totour.exe
Respuesta: Esta es una infección que se está dando últimamente, pero gracias a
herramientas gratuitas podemos resolver el problema.
GPastor
Ver Perfil
¡Visita mi Sitio!
E
l
P
i
e
d
r
a
Registrado: ene 2005
Ubicación: Miami
F Mensajes: 31.944
S
-
A
d
m
i
n
Respuesta: Este tipo de infección se propaga infectando los Pendrives con un archivo
autoejecutable al inicio llamado autorun.inf
Algunos de estos malware son:
W32/Perlovga, VBS_RESULOWS.A, "Hacked By Godzilla", W32/Autom-A,
Trojan.Win32.VB.atg, Win32/Dzan, W32/RJump.worm, W32/Jisx.A.worm,
W32/RJump-C, WORM_SIWEOL.B, Worm.Win32.Delf.bf, Worm.WhBoy.y.35328,
Trojan-Downloader.Win32.Small.czl, W32.Fujacks, Worm.Nimaya.d,
Win32.Trojan.QQRobber.nw.22835, Worm_vb.bnr, VBS_RESULOWS.A,
Bha.dll.vbs, Trojan.Vb.Ayo, Generic3.TRR, Trojan.VB.CPB, Trojan.VB-565,
Trojan.Win32.VB.ayo, Trj/Agent.EUM, Trojan.VB.AAAN,
Trojan.VBS.DeltreeY.b#1, VBS.Skywo, Win32/Disnight.worm.421888, DiskKnight,
Worm/Delf.FJT, Win32/DiskKnight.B, Virus.Win32.AutoRun.re,
Virus.Win32.AutoRun.re, Virus.Win32.AutoRun.re, Generic VB.b,
W32/AutoRun.ABF, Mal/Generic-A, W32.SillyFDC, Trojan/Dropper.re,
Virus.Win32.AutoRun.re, Worm.AutoRun.RE, WORM_KNIGHT.AB, , "Virus
Knight", Worm.Win32.AutoRun.blu, Trojan.PWS.OnlineGames.NWJ,
Trojan.Crypt.NSPM.Gen, Disk Knight, autorun.inf, utdetect.com, 80avpo8.com,
semo2x.exe, avpo.exe, avpo0.dll, amvo.exe
Cita:
.- Descargué, Instale y/o actualice estos programas: (pero no los ejecute aun).
Cita:
*Nota*
Gracias por las actualizaciones a Kent Brockman y Angel Doze
ElPiedra
Ver Perfil
¡Visita mi Sitio!
Respuesta: Este problema casi siempre es ocasionado por programas como el patrocinador del Messenger
Plus! si lo tuviera instalado recomendamos su desinstalación luego siga estos pasos:
Cita:
**NOTA** Para ejecutar la herramienta Lop S & D por Eric_71 siga estos pasos:
Pregunta: ¿Por qué Windows no inicia en Modo Seguro (Modo a prueba de fallos)?
Respuesta: Este problema es generado por una técnica utilizada por diversos malwares que consiste en atacar
la siguiente subclave del registro de Windows:
Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
Para solucionar este problema es necesario restaurar la subclave del registro a su estado original.
Siga alguno de los siguientes métodos para reparar el error:
Opción 3: SUPERAntiSpyware
Como tercera opción, el SUPERAntiSpyware posee una reparación similar a la anterior, en la pestaña
"Repairs" ("Reparar" en la versión en español) de las "Preferences" ("Preferencias"), llamada "Repair
broken SafeBoot Key":
Hardrive
Ver Perfil
¡Visita mi Sitio!
G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
Ventanas de publicidad
Ventanas de publicidad
Son diversas variantes de infección que utilizan este método, pero los casos mas
comunes provienen de infecciones como:
• Lop.com
• Vundo
• Look2me
• Adware.Navipromo
Lop.com
Vundo o Virtumonde
Esta infección crea archivos de nombre aleatorios con extensión dll, y algunas
variantes de esta infección no se ven reflejadas en un log de Hijackthis, lo que hace
mas difícil su detección
Look2me
Esta infección al igual que Vundo, crean archivos de nombre aleatorio con extensión
dll, pero a su vez añade direcciones al archivo Hosts de manera que pueda
redireccionarnos a sitios determinados por la infección o inclusive bloquearnos el
acceso a ciertas páginas web.
Adware.Navipromo
C:\WINDOWS\system32\refqxegcn.exe
C:\WINDOWS\system32\refqxegcn.dat
C:\WINDOWS\system32\refqxegcn_nav.dat
C:\WINDOWS\system32\refqxegcn_navps.dat
Ver Perfil
¡Visita mi Sitio!
E
l
P
i
e
d
r
a
Registrado: ene 2005
Ubicación: Miami
F Mensajes: 31.944
S
-
A
d
m
i
n
Que es JAVA ? para que sirve ? y porque tendría que tenerlo actualizado ?
Respuesta:
Este es un punto muy importante ya que las versiones anteriores tiene vulnerabilidades
que los malwares podrían utilizar para infectar su sistema.
ElPiedra
Ver Perfil
¡Visita mi Sitio!
F
S
-
A
d
m
i
n
• C:\WINDOWS\System32\WSNPOEM\AUDIO.DLL
• C:\WINDOWS\System32\WSMPOEM\VIDEO.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe,C:\WINDO
WS\system32\ntos.exe,
Pasos para su eliminación:
Cita:
• SUPERAntiSpyware
En caso de que el problema persista, siempre puede solicitar ayuda en el Foro Oficial
de HijackThis en español.
ElPiedra
Ver Perfil
¡Visita mi Sitio!
Este malware ataca directamente al MBR (Master Boot Record) reemplazándolo por
uno que el mismo malware genera, dificultando su eliminación mediante comandos de
consola de MS-Dos pues los deshabilita, además de abrir una puerta trasera para
recibir comandos de diferentes direcciones : hxxp://dkfhchkb.Xom/ser,
hxxp://gfeptwe.Xom., hxxp://gfkliy.Xxx.\X, entre otras.
• MalwaresBytes' Antimalware
• ESET Mebroot Remover \ EMebRemover.exe
• CCleaner
Cita:
Apagar el Sistema de Restauración , solo para Windows XP/ME.
Cita: