FAQs de Virus y Spywares

La idea de la siguiente post es recopilar las Preguntas mas frecuentes (FAQs) de los
diversos síntomas de infecciones ya que muchas veces suelen confundirse con
problemas ajenos a una infección.

Debido a que la gran mayoría de estas preguntas ya están respondidas en diversos

puntos del foro realizaremos un índice el cual constará de enlaces a los temas ya
desarrollados para que el usuario tenga acceso mas fácil a su duda.

Cita:

De momento este tema solo será tratado por los Miembros del Equipo de
Infospyware

Índice
1. ¿Porque svchost.exe me consume el 99% o 100% de los recursos del sistema?
2. ¿Porque svchost.exe aparece varias veces en el Administrador de tareas?
3. ¿Qué es la carpeta _restore? ¿Por qué mi antivirus encuentra virus allí y no los
puede eliminar?
4. Se desactivó el Firewall y no me deja activarlo
5. Me aparecen mensajes de Messenger Service
6. El Proceso inactivo “consume” mucho CPU ¿esto es normal?
7. El Administrador de Tareas ha sido deshabilitado por el Administrador ¿Cómo
puedo habilitarlo nuevamente?
8. El administrador ha deshabilitado la modificación del Registro ¿Cómo puedo
volver a habilitarlo?
9. Mi página de inicio se cambió y no puedo cambiarla
10. No puedo activar la opción Ver Archivos Ocultos
11. Mi antivirus detecta infecciones en la caché de Java ¿Cómo puedo eliminarlas?
12. Virus en el MSN Messenger
13. ¿Cómo eliminar totour.exe?
14. Se infecto mi memoria USB y la PC ya no la reconoce
15. Me aparecen ventanas de publicidad CID ¿Como puedo eliminarlas?
16. ¿Por qué Windows no inicia en Modo Seguro (Modo a prueba de fallos)?
17. Me aparecen ventanas de publicidad, popups, ventanas emergentes ¿Cómo
puedo eliminarlas?
18. Mantener "Java Runtime Environment" actualizado.
19. Eliminar Malware del DOBLE TILDE (´´)

20. Eliminar MBR Rootkit/Mebroot

GPastor

Ver Perfil
Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #2
13/06/07, 13:59:06

G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n

Proceso inactivo del sistema

Proceso inactivo del sistema

Pregunta: El Proceso inactivo “consume” mucho CPU ¿esto es normal?

Respuesta: El Proceso inactivo del sistema, es justamente eso, la inactividad del

sistema, por ejemplo si el programa A consume 10% y el programa B consume 30%
de los recursos del sistema, quedará 60% de inactividad del sistema. No hay de que
preocuparse, mientras mas inactividad del sistema haya, nuestro sistema andará mas
ligero, por decirlo de alguna manera.

Enlace de interés:

Proceso inactivo de sistema - Wikipedia, la enciclopedia libre

GPastor

Ver Perfil

Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #3
13/06/07, 14:00:00

G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n

Administrador de Tareas
Administrador de Tareas

Pregunta: El Administrador de Tareas ha sido deshabilitado por el

Administrador ¿Cómo puedo habilitarlo nuevamente?

Respuesta: Este problema puede ser debido a la manipulación de la configuración del

sistema, aunque también puede ser a causa de infecciones. Puede habilitarse el
Administrador de Tareas con algunas de estas opciones según sea el caso:

Opción 1
- Clic en Inicio--> Ejecutar, escribir regedit y presionar la tecla Enter.
- Dirigirse a esta ruta:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System

- En esta sección veremos un valor con el nombre DisableTaskMgr, hacemos doble

clic sobre él, si tiene un 1 es porque está deshabilitado, si le ponemos un 0 debería
habilitarlo.

- Después de esto reiniciamos la máquina y verificar los resultados.

Opción 2
- Clic a Inicio ->Ejecutar escribir "GPEDIT.MSC"
- En la sección “Configuración de usuario” ir a Plantillas administrativas--> Sistema--
> Opciones de ctrl+alt+supr, hacemos doble clic en "Quitar administrador de tareas",
dejamos en opción de Habilitada, luego presionamos el botón Aceptar y listo.

Opción 3 (Recomendado)
Existe una herramienta gratuita llamada xp_taskmgrenab.exe que es capaz de
Habilitar / Deshabilitar el Administrador de Tareas de manera automática, evitando así
cambiar valores en el registro o sistema pudiendo causar errores. Descargue y ejecute
esta herramienta para poder solucionar este problema

Tras habilitar el Administrador de Tareas es recomendable analizar el sistema con su

antivirus y un par de Antivirus Online, ya que en la mayoría de los casos este problema
es causado por una infección.

GPastor

Ver Perfil

Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #4
13/06/07, 14:01:01

G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n
Regedit
Regedit

Pregunta: El administrador ha deshabilitado la modificación del Registro ¿Cómo

puedo volver a habilitarlo?

Respuesta: Este problema puede ser causado por alguna infección, como también
puede haberse cambiado de manera voluntaria.

Para habilitar esta opción usaremos la herramienta Hijackthis, la ejecutamos siguiendo

los pasos de su manual, buscamos y seleccionamos estas entradas:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1

Una vez seleccionadas presionamos el botón para poder reparar el

inconveniente, luego reiniciamos el sistema y verificamos los resultados.

Tras estos pasos es recomendable analizar el sistema con su antivirus y un par de

Antivirus Online, ya que en la mayoría de los casos este problema es causado por una
infección.

GPastor

Ver Perfil

Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #5
13/06/07, 14:02:23

G Registrado: mar 2005

P Ubicación: Lima - Perú
a Mensajes: 21.322
s
t
o
r

F
S
-
A
d
m
i
n

Ver Archivos Ocultos

Ver Archivos Ocultos

Pregunta: No puedo activar la opción Ver Archivos Ocultos

Respuesta: Este problema en la gran mayoría de los casos es ocasionado por un virus
llamado SXS que se transmite mediante las memorias USB.

Para poder solucionar este problema seguimos estos pasos:

- Descargar y ejecutar la herramienta RegUnlocker utilizando la opción "Reparar la

visualización de archivos ocultos".

Si el problema continúa seguir estos pasos:

- Ir a Inicio-->Ejecutar, escribir regedit y presionar la tecla Enter.

- En el Editor de registro navegar hasta llegar a esta clave de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A
dvanced

- En el panel de la derecha de la subclave Advanced, buscar el valor Hidden y darle

doble clic.

- Si Hidden tiene asignado el valor 2, significa que NO se mostrarán los archivos o

carpetas ocultos. Por el contrario si Hidden tiene asignado el valor 1, significa que SI
se mostrarán los archivos o carpetas ocultos.

- Cerrar el Editor de Registro y analizar el sistema con su antivirus y un par de

Antivirus Online

- Reiniciar el sistema y verificar los resultados.

GPastor

Ver Perfil

Enviar un mensaje privado a GPastor

¡Visita mi Sitio!
Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #6
13/06/07, 14:12:45

G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n

Virus en la caché de Java

Virus en la caché de Java

Pregunta: Mi antivirus detecta infecciones en la caché de Java ¿Cómo puedo

eliminarlas?

Respuesta: Si las infecciones que ha encontrado su antivirus se encuentran en la caché

de Java:

C:\Documents and Settings\<nombre de usuario>\Application

Data\Sun\Java\Deployment\cache\javapi\v1. 0\jar\

Realizando una limpieza de la caché de Java se soluciona el problema.

Para limpiar la caché de Java seguir estos pasos:

• Pasos 1

• Pasos 2

GPastor

Ver Perfil
Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #7
13/06/07, 14:57:13

G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n

Virus en el MSN Messenger

Virus en el MSN Messenger

Pregunta: El MSN Messenger envía mensajes a mis contactos con enlaces de

descarga de fotos/vídeos, ¿Cómo puedo eliminar esa infección?

• Foto_Celular.scr
• Foto_Celular.zip
• Foto_Posse.zip
• Bush.exe
• Desnuda.exe
• F0538_jpg.zip
• facebookfoto.zip
• Fotos.zip - Fotos roberto.exe
• fotopara-facebook.com.zip
• fotopara*-facebook.com.zip
• fotopara-facebook*.com.zip
• fotos-facebook.com.zip
• fotosfacebook*.com.zip
• fotoparamyspace.com.zip
• Happy2008.zip
• imag091307.zip
• image.zip
• imageXX.zip
• IMG-XXXX.zip
• img4851.zip
• IMG-0024.zip
• IMG0024.zip
• misfacebook.com.zip
• MessengerSkinner
• MSN Content Plus
• MSN Messenger Guiños
• My_Pictures2007
• MyGallery5156.zip
• myspace-pics.zip
• N039_jpg.zip
• Nokia_19_jpg.zip
• myimage.zip
• new-photos.zip
• New-Year2008-imgaes.zip
• p0017_jpg.zip
• Photos-webcam2007.zip
• picts-XXXX.zip
• PictureAlbum2007.zip
• portaldeayuda - portaldeayudita
• S_00305_jpg.zip
• W139_jpg.zip
• Winks Instalador
• Z058_jpg.zip
• Image-006.JPEG_www.myspace.com
• img2007-12.JPEG.scr
• image114.JPG-scannedby-MSN.com
• misfacebook.com.zip
• myspace-pics.zip
• Happy2008-Card.com
• picture_004-new4myspace.JPEG-scan
• New-year2008-image15.scr
• image134.jpg-www.photoshare.com
• Image-005.JPEG_escudrinado-MSN.com
• New-Year2008-imgaes.zip
• new-photos.zip
• santasuite.jpg.exe
• MenssagemAnoNovo.exe
• W32 LechucK
• Feliz_Natal.exe / feliz.natal.2007

• Ver listado completo de archivos que detecta y elimina MSNCleaner

Respuesta: Para ello Forospyware.com ha creado una herramienta llamada
MSNCleaner, utilice esta herramienta siguiendo los pasos de su manual.

GPastor

Ver Perfil

Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #8
13/06/07, 15:00:42

G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n

Totour.exe
Totour.exe

Pregunta: Mi antivirus detecta como infección a totour.exe y no puede eliminarlo.

Respuesta: Esta es una infección que se está dando últimamente, pero gracias a
herramientas gratuitas podemos resolver el problema.

Descargue y ejecute la herramienta SDFix siguiendo los pasos de su manual.

Descargue el SUPERAntiSpyware instálelo y actualízelo luego realizar un

escaneo en Modo Seguro
 Descargue y ejecute el Ccleaner y siguiendo los pasos de su manual utilizar las
opciones Limpiador y Registro.

Reiniciar la máquina y realizar un escaneo con Ewido Online.

Última edición por Kirigi fecha: 30/04/09 a las 20:34:32. Razón: Corregir Enlace de
Modo Seguro

GPastor

Ver Perfil

Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #9
14/06/07, 16:49:25

E
l
P
i
e
d
r
a
Registrado: ene 2005
Ubicación: Miami
F Mensajes: 31.944
S
-
A
d
m
i
n

Virus en Pendrive (FlashMemory) USB

Virus en Pendrive (FlashMemory) USB

Pregunta: Se infecto mi memoria USB y la PC ya no la reconoce.

Respuesta: Este tipo de infección se propaga infectando los Pendrives con un archivo
autoejecutable al inicio llamado autorun.inf
Algunos de estos malware son:
W32/Perlovga, VBS_RESULOWS.A, "Hacked By Godzilla", W32/Autom-A,
Trojan.Win32.VB.atg, Win32/Dzan, W32/RJump.worm, W32/Jisx.A.worm,
W32/RJump-C, WORM_SIWEOL.B, Worm.Win32.Delf.bf, Worm.WhBoy.y.35328,
Trojan-Downloader.Win32.Small.czl, W32.Fujacks, Worm.Nimaya.d,
Win32.Trojan.QQRobber.nw.22835, Worm_vb.bnr, VBS_RESULOWS.A,
Bha.dll.vbs, Trojan.Vb.Ayo, Generic3.TRR, Trojan.VB.CPB, Trojan.VB-565,
Trojan.Win32.VB.ayo, Trj/Agent.EUM, Trojan.VB.AAAN,
Trojan.VBS.DeltreeY.b#1, VBS.Skywo, Win32/Disnight.worm.421888, DiskKnight,
Worm/Delf.FJT, Win32/DiskKnight.B, Virus.Win32.AutoRun.re,
Virus.Win32.AutoRun.re, Virus.Win32.AutoRun.re, Generic VB.b,
W32/AutoRun.ABF, Mal/Generic-A, W32.SillyFDC, Trojan/Dropper.re,
Virus.Win32.AutoRun.re, Worm.AutoRun.RE, WORM_KNIGHT.AB, , "Virus
Knight", Worm.Win32.AutoRun.blu, Trojan.PWS.OnlineGames.NWJ,
Trojan.Crypt.NSPM.Gen, Disk Knight, autorun.inf, utdetect.com, 80avpo8.com,
semo2x.exe, avpo.exe, avpo0.dll, amvo.exe

Este archivos que involuntariamente se nos copian en nuestro pen-drive al insertarlo en

una máquina infectada, por lo que al cambiar el pen de pc el autorrun arranca llamando
Copy.exe y host.exe infectando así el sistema.

Cita:

.- Apagar el "Restaurar Sistema"

.- Descargué, Instale y/o actualice estos programas: (pero no los ejecute aun).

• Flash_Disinfector.exe (al final del post)

• Malwarebytes' Anti-Malware
• CCleaner

.- Reiniciar eh iniciar en "Modo a prueba de fallos" (modo seguro)

.- Ejecutar Flash_Disinfector.exe en el PC y luego Colocar el Pendrive en el

puerto USB y ejecutarlo nuevamente.

Cita:

Nota: Flash_Disinfector creará una carpeta oculta llamado "autorun.inf" en

cada partición y cada unidad USB que se encuentre conectado al momento de
ejecutar este. No elimine esta carpeta ... eso le ayudara a proteger sus dispositivos
USB de futuras infecciones.
 Al terminar haga un escaneo general del sistema con Malwarebytes' Anti-Malware.

.- Ejecute CCleaner usando primero su opción de "Limpiador" para borrar

cookies, temporales de Internet y todos los archivos que este te muestre como
obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de
Windows (haciendo copia de seguridad).

.- Realice un escaneo completo con Kaspersky Antivirus Online.

.- Reinicia y comprobar el sistema.

*Nota*
Gracias por las actualizaciones a Kent Brockman y Angel Doze

Descargar Flash_Disinfector (update 24/6/2009)

Archivos Adjuntos
Flash_Disinfector.exe (131,8 KB, 1562 visitas)

ElPiedra

Ver Perfil

Enviar un mensaje privado a ElPiedra

¡Visita mi Sitio!

Encontrar todos los Mensajes por ElPiedra

Agregar a ElPiedra a tus Contactos

post #10
16/06/07, 21:35:10
Hardrive
Registrado: abr 2006
Ex-Colaborador Ubicación: N/A
Mensajes: 4.667
Ventanas CID
Ventanas CID

Pregunta: Me aparecen ventanas de publicidad CID ¿Como puedo eliminarlas?

Respuesta: Este problema casi siempre es ocasionado por programas como el patrocinador del Messenger
Plus! si lo tuviera instalado recomendamos su desinstalación luego siga estos pasos:

1. - Instalá y actualizá las siguientes herramientas:

 • Lop S & D por Eric_71
• SUPERAntiSpyware
• Ccleaner.

2. - Reiniciá en Modo Seguro.

3. - Ejecutá la herramienta Lop S & D por Eric_71.

Cita:

**NOTA** Para ejecutar la herramienta Lop S & D por Eric_71 siga estos pasos:

a) Haz doble clic en LopSD.exe

b) Elige el idioma escribiendo la letra correspondiente y pulsa en Enter
c) Haz clic en "Aceptar (Ok)" en la ventana informativa
d) Picas 2 para elegir la opción "2 (Fix + Hosts)" y a continuación pulsa en Enter
e) Espera hasta el final de la exploración
f) Se generará Un informe, pega el contenido del mismo en tu próxima respuesta.
g) (La copia del informe se puede encontrar en esta ubicación:% SystemDrive% \ lopR.txt, en la mayoría de
los casos en C: \ lopR.txt).
4. - Analizá con SUPERAntiSpyware siguiendo las indicaciones de su Manual.
5. - Eliminá temporales y limpiá el registro con CCleaner.
Última edición por Kirigi fecha: 30/04/09 a las 20:30:49. Razón: Corregir Enlace de Modo Seguro
Registrado: abr 2006
Hardrive
Ubicación: N/A
Ex-Colaborador
Mensajes: 4.667
Modo Seguro (Modo a prueba de fallos)
Modo Seguro (Modo a prueba de fallos)

Pregunta: ¿Por qué Windows no inicia en Modo Seguro (Modo a prueba de fallos)?

Respuesta: Este problema es generado por una técnica utilizada por diversos malwares que consiste en atacar
la siguiente subclave del registro de Windows:
Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

Para solucionar este problema es necesario restaurar la subclave del registro a su estado original.
Siga alguno de los siguientes métodos para reparar el error:

Opción 1: Restaurar Sistema

En primer lugar se recomienda utilizar la herramienta de Windows "Restaurar Sistema", para devolver la
configuración del sistema a un estado (fecha) anterior, en la que sí se podía iniciar en Modo Seguro.

Opción 2: Parche del registro

En caso de que no se pueda Restaurar Sistema, podemos reparar la subclave ejecutando el parche SafeMode
Repair (está al final del post):
Cita:

**NOTA** ejecutar SafeMode Repair

• Descomprima el archivo SafeMode Repair.zip en una carpeta.

• Ejecute el archivo SafeMode Repair.reg.
• Cuando le pregunte si desea añadir la información al registro presione sobre ACEPTAR.

• Reinicie el equipo en Modo Seguro para verificar la reparación.

Opción 3: SUPERAntiSpyware
Como tercera opción, el SUPERAntiSpyware posee una reparación similar a la anterior, en la pestaña
"Repairs" ("Reparar" en la versión en español) de las "Preferences" ("Preferencias"), llamada "Repair
broken SafeBoot Key":

Descargar SafeMode Repair

Archivos Adjuntos
SafeMode Repair.zip (1,6 KB, 22087 visitas)
Última edición por Kirigi fecha: 30/04/09 a las 20:31:43. Razón: Corregir Enlace de Modo Seguro

Hardrive

Ver Perfil

Enviar un mensaje privado a Hardrive

¡Visita mi Sitio!

Encontrar todos los Mensajes por Hardrive

Agregar a Hardrive a tus Contactos

post
#12
02/07/0
7,
14:19:01

G
P
a
s
t
o
r
Registrado: mar 2005
F Ubicación: Lima - Perú
S Mensajes: 21.322
-
A
d
m
i
n

Ventanas de publicidad
Ventanas de publicidad

Pregunta: Me aparecen ventanas de publicidad, popups, ventanas emergentes

¿Cómo puedo eliminarlas?

Respuesta: Esta publicidad es conocida como Adware y despliega publicidad a

manera de popups.

Son diversas variantes de infección que utilizan este método, pero los casos mas
comunes provienen de infecciones como:

• Lop.com
• Vundo
• Look2me
• Adware.Navipromo

Si le aparecen ventanas emergentes es muy probable que tenga alguna de estas

infecciones. Lo pasos para su eliminación son los siguientes:

Lop.com

Este adware ya tiene mucho tiempo en circulación y su principal difusor es el

patrocinador del programa Messenger Plus!

Si le aparecen ventanas emergentes y tiene instalado el patrocinador del Messenger

Plus, lo mas recomendable es desinstalar el patrocinador, luego el Messenger Plus y
luego seguir los pasos de este enlace.

Vundo o Virtumonde

Esta infección crea archivos de nombre aleatorios con extensión dll, y algunas
variantes de esta infección no se ven reflejadas en un log de Hijackthis, lo que hace
mas difícil su detección

Los pasos para su eliminación se describen en este mensaje.

Look2me

Esta infección al igual que Vundo, crean archivos de nombre aleatorio con extensión
dll, pero a su vez añade direcciones al archivo Hosts de manera que pueda
redireccionarnos a sitios determinados por la infección o inclusive bloquearnos el
acceso a ciertas páginas web.

Los pasos para su eliminación se describen en este mensaje

Adware.Navipromo

Esta infección tiene la particularidad de crear archivos aleatorios, con la particularidad

de tener el "agregado" _nav y _navps los dos del tipo dat

C:\WINDOWS\system32\refqxegcn.exe
C:\WINDOWS\system32\refqxegcn.dat
C:\WINDOWS\system32\refqxegcn_nav.dat
C:\WINDOWS\system32\refqxegcn_navps.dat

Los pasos para su eliminación se describen en este mensaje

Última edición por ElPiedra fecha: 24/11/08 a las 13:08:04.
GPastor

Ver Perfil

Enviar un mensaje privado a GPastor

¡Visita mi Sitio!

Encontrar todos los Mensajes por GPastor

Agregar a GPastor a tus Contactos

post #13
03/10/07, 19:50:25

E
l
P
i
e
d
r
a
Registrado: ene 2005
Ubicación: Miami
F Mensajes: 31.944
S
-
A
d
m
i
n

Re: FAQs de Virus y Spywares

Mantener "Java Runtime Environment" actualizado.

Que es JAVA ? para que sirve ? y porque tendría que tenerlo actualizado ?

Respuesta:

El software de Java le permite ejecutar aplicaciones que se han escrito utilizando el

lenguaje de programación de Java y que reciben el nombre de "applets". Los applets le
permiten jugar en línea, participar en sesiones de chat con internautas de todo el
mundo, ver imágenes en tres dimensiones entre otras funciones.

Java Runtime Environment incluye todos los módulos de ejecución necesarios, la

Maquina Virtual Java (JVM) para ejecutar aplicaciones hechas con Java.
Incluye también el Java Plug-in que da la posibilidad
de usar la ultima implementación Java de Sun en los navegadores Internet Explorer,
así como Mozilla Firefox, en lugar de usar la máquina virtual de Java (JVM) que el
navegador trae por defecto y así acelerando el funcionamiento de este.

Como actualizar Java Runtime Environment?

Este es un punto muy importante ya que las versiones anteriores tiene vulnerabilidades
que los malwares podrían utilizar para infectar su sistema.

• Descargar la ultima versión Java Runtime Environment (JRE) 6 Update 14.

• Haga clic en el botón "Iniciar descarga" para iniciar la descarga
• Siga los pasos indicados en el sitio oficial de JAVA para instalar este
correctamente.
• Ir a "Menú Inicio" > "Panel de Control" > "Agregar/Quitar Programas"
• Desinstalar cualquier otra versión anterior de Java que se encuentre que no
corresponda al numero de esta ultima que hemos instalado.
• Reiniciar el sistema.

*Nota* Java no trabaja en Win 9.x o MI.

Última edición por Nam fecha: 26/03/09 a las 13:48:23.

ElPiedra

Ver Perfil

Enviar un mensaje privado a ElPiedra

¡Visita mi Sitio!

Encontrar todos los Mensajes por ElPiedra

Agregar a ElPiedra a tus Contactos

post #14
28/12/07, 17:38:57

E Registrado: ene 2005

l Ubicación: Miami
P Mensajes: 31.944
i
e
d
r
a

F
S
-
A
d
m
i
n

Malware del DOBLE TILDE (´´)

Malware del DOBLE TILDE (´´)

Pregunta: Como solucionar el problema del doble acento ya que no puedo

escribir palabras con tildes porque me salen dobles: (´´).

Respuesta: Este tipo de infección se propaga por medio de correos electrónicos

(emails) de Spam con archivos adjuntos y en redes P2P.

Los nombres de este malware son:

Wsnpoem, Trojan.W32/Wsnpoem.AW, Troj/Dloadr-AWJ, Win32.Agent.pz,
Troj/Small-EKM, Wsnpoem.AW

• Utiliza técnicas de Keylogger para captar las pulsaciones de teclas en un

archivo modificando las tildes en los sistemas en español.
• Monitoriza el tráfico web y captura la información introducida por el usuario
en ciertas páginas web.
• Elimina todas las cookies para que el usuario tenga que introducir los datos de
acceso a las páginas que visita.
• Envía la información recogida a su autor y envía el nombre de la máquina a la
siguiente dirección: 209.1<bloqueado>25/cstable/s.php

Crea las siguientes ficheros en el directorio de sistema de Windows:

• NTOS.EXE, corresponde a una copia del malware

Crea la siguiente subcarpeta y con los siguientes archivos:

• C:\WINDOWS\System32\WSNPOEM\AUDIO.DLL
• C:\WINDOWS\System32\WSMPOEM\VIDEO.DLL

En HijackThis lo verán representado de este modo:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe,C:\WINDO
WS\system32\ntos.exe,
Pasos para su eliminación:

Cita:

.- Descargar, actualizar y ejecutar el programa:

• SUPERAntiSpyware

.- Descargar CCleaner y ejecutarlo usando primero su opción de "Limpiador"

para borrar cookies, temporales de Internet y todos los archivos que este te muestre
como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de
Windows (haciendo copia de seguridad).

.- Reiniciar y comprobar el sistema.

Como habrán visto la eliminación de este actualmente es muy fácil ya que el SAS
contiene todas las variantes de este malware y las puede eliminar sin que tengamos que
hacer mucho mas.

En caso de que el problema persista, siempre puede solicitar ayuda en el Foro Oficial
de HijackThis en español.

*Nota* Parche de Traducción al español para SUPERAntiSpyware.

ElPiedra

Ver Perfil

Enviar un mensaje privado a ElPiedra

¡Visita mi Sitio!

Encontrar todos los Mensajes por ElPiedra

Agregar a ElPiedra a tus Contactos

post #15
24/10/08, 02:32:45

A Registrado: feb 2007

n Ubicación: "México"
g Mensajes: 5.421
e
l
D
o
z
e
W
a
r
r
i
o
r

Eliminar MBR Rootkit/Mebroot

Nombre: MBR Rootkit/Mebroot
Tipo: Virus con funciones de Rootkit
Alias: Trojan.Mebroot (Symantec), Troj/Mbroot-A (Sophos), StealthMBR (McAfee),
StealthMBR!rootkit (McAfee), TROJ_AGENT.APA (Trend Micro),
Trojan.Win32.Agent.dsj (Kaspersky), Win32/Mebroot.A (Computer Associates),
Trojan/Mebroot (Hacksoft), Win32 Sinowal (Norman).

Este malware ataca directamente al MBR (Master Boot Record) reemplazándolo por
uno que el mismo malware genera, dificultando su eliminación mediante comandos de
consola de MS-Dos pues los deshabilita, además de abrir una puerta trasera para
recibir comandos de diferentes direcciones : hxxp://dkfhchkb.Xom/ser,
hxxp://gfeptwe.Xom., hxxp://gfkliy.Xxx.\X, entre otras.

Herramientas necesarias para la eliminación del Malware

• MalwaresBytes' Antimalware
• ESET Mebroot Remover \ EMebRemover.exe
• CCleaner

Pasos para su eliminación

Cita:
 Apagar el Sistema de Restauración , solo para Windows XP/ME.

Iniciar el Sistema en Modo Seguro (A prueba de Fallos)

Ejecute estas herramientas una x una:

• ESET Mebroot Remover \ EMebRemover.exe

• MalwareBytes' Antimalware

Cita:

NOTA Si EMebRemover.exe, encuentra el Rootkit, al terminar de removerlo, el

Ordenador se reiniciara automáticamente.

Regrese a modo normal y ejecute CCleaner, como lo indica su Manual.