Gusano En el messenger... una nueva amenaza....

ola mira a mi me ha pasado exactamente lo mismo, te agradeceria k m agregaras y me ayudaras xk la vda lo e intentado mas o menos asi xro no puedo darle a terminar proceso xk no m deja acerlo y ya no se k acer.. mi msn es : xxxxxxxxxxx@hotmail.com

Hola! muchas gracias por este post con todo tan bien explicado.
En principio lo he hecho, he seguido los pasos, uno por uno...
pero en la carpeta Windows sigue apareciendo cada vez q reinicio el archivo zip de la foto...

seguí los pasos:

1)detener lsass.exe

2)borrar la entrada con Autoruns

hay algo que me haya saltado? o no haya tenido en cuenta?

Muchas Gracias!!

Hola!
he intentado quitarlo, pero no puedo, no sé si lo estaré haciendo bien, me he estancado en el autoruns, ¿como lo encuentro? gracias

Por favor, si me puedes agregar a tu msn, te lo agradeceria, para ver en que fallo.Gracias!
eletejelo@hotmail.com

mmmmmmmmm se me hacía raro no verte hoy en el messenger

tal vez a ti se te hace sencillo porq sabes de computadoras, pero porq no lo explicas mas detalladamente para los q no sabemos:P
gracias

Hola me dice que el lsass.exe es un proceso crítico de sistema, y que no lo puedo terminar. ¿como hago pa que esto no me pase?
gracias

lo he conseguido quitar, y no me aparece, pero se le esta reenviando a mis contactos, eso es señal de que no esta quitado, verdad?

holaa!!

tengo el mismo problema

ayudame plis..
agrega a: judy_parakiss@hotmail.com
paradise_of_shit_@hotmail.com

graciaas!!

Hola que tal a todos, si ofresco una disculpa, lo que pasa es que habeces damos por sentado muchas cosas en un momento actualizo todo para decirles paso por paso com borrar el archivo.

Hola, muchas gracias por todas tus explicaciones. Me he atascado en lo de terminar los procesos llamados lsass.exe que no son servicios, porque no me deja hacerlo. Podrías explicar cómo se hace? Muchas gracias, un saludo

hola la verdad q no se como quitar esto nio me deja terminar el proceso agrgame

Hola gracias por la explicación, yo no se como (pero no fue como tu dices jeje termine el proceso de los isass.exe que no son servicios), fui a la carpeta de system pero no hay ningun archivo isass.exe y ya le cambie a: ver los ocultos... sin embargo cuando doy a "alt+control+suprimir" me sigue apareciendo :S

alguna idea??

Listo ya esta ahora si como quitar todo de una manera más explicada

Saludos

hola. me baje el process explorer pero no encuentro eso de ver las carpetas ocultas para poder eliminarlo completamente.te dejo mi msn , m agregas asi m decis como hago?? gracias. xxxxxxxxxxxxx@hotmail.com

hola victoria con todo gusto te agrego si dejas tu mail

hola Carina

No para ver los archivos ocultos es en el Explorador de Windows, o Mi Pc, no en el process explorer
Saludos

Hola, si quiero confezar que soy la amiga que se lo envió a Mixel pero gracias a que lo acepto me ayuda a eliminarlo jajaja, GRACIAS !!!!!

Hey a todos.. segui los pasos uno a uno, y mi sorpresa fue ke no se elimino el archivo...

despues elimine los archivos de la papelera de reciclaje

volvi a eliminar los archivos isass

y volvi a reiniciar y kedo listo... gracias por la ayuda y a todoss los que no pudieron sigan estos pasos... hasta luego

dj vicko.. in the mix!

en ningun momento me salen hidden processes, no se que hice mal. El archivo ejecutable donde se descargo el virus lo borre desde un principio, pero se sigue mandando a mis contactos. COmo hago para ejecutar bien el unhooker

Hola paulina

Es extrañlo que no aparesca lo de hidden processes...

deja tu correo para agregarte y poderte ayudar

Hola, he hecho todo lo que pones al pie de la letra pero sigo teniendo el gusano. Sigo enviándoselo a la gente, etc.

Ahora mi estado es el siguiente. Tras hacer todo y reiniciar al hacer el Hidden Processes Detector me sigue apareciendo uno de los dos lsass.exe, a pesar de haberlo eliminado varias veces ya. Si vuelvo a mirar inmediatamente no está, pero a los cinco minutos vuelve.

Luego he hecho lo del Autorruns también y ya no me aparece más el Lsass Services, eso sí ha funcioado.

¿Qué estoy haciendo mal? Muchas gracias por tu ayuda.

mira, busque en el explorador y me aparece LSAAA.EXE-2CBF.pf en una ubicacion prefetch, me imagino que ese es. lo borro? mi mail es paurdz@hotmail.com

pueden bajarse la version demo de bitdefender instalarlo y ke les cheke su computadora, yo tambien lo instale y ahorita no me ha aparecido la lata del isass

recuerden borrar los archivos de la papelera

para los ke se bajaron el programa ROOTKIT UNHOOKER y no les aparece Hidden Processes denle click en la pestaña

"Processes"

es lo mismo ke la otra solo ke la version ke se bajan es mas actual

espero haberlos ayudado..

dj vicko

Hola,

muchas gracias por tus explicaciones. Hacía un par de días que el dichoso troyano me estaba volviendo loca. Me ha costado un poquito con tus explicaciones, pero por puro despiste mío porque no encontraba la entrada en el Autoruns. Ahora parece que sí ha desaparecido de verdad.

Graciasss

Un saludo desde Túnez.

noo cacho naa!!

Muy buna la solucion, pueden acceder al registro tipeando regedit desde inicio/Ejecutar ;) por ahi es mas facil de ese modo para algunos, que tener que instalar soft

Gracias.

Hola, excelente la explicación, pero .. tengo windowns vista, y creo que el primer programa en exe no lo puedo ejecutar, no se si necesite otra versión u otro programa.. si me pudieras ayudar o explicar, lo agradecería mucho.

Saludos.

mi antivirus Avast 4.7 lo detecto, lo raro es que yo no acepte bajar el archivo,, pero estaba en mi carpeta de archivos recividos de msn

Gracias por la explicacion detallada. En mi windows XP eliminé el gusano por completo. Con todos los nombres exactos como en el ejemplo

Buscando en mi carpeta de windows/system aparece el lsass.exe, pero cuando lo busco en el process no aparece y no lo puedo eliminar de esa carpeta, tampoco me aparece en el autorun, ¿como lo soluciono? gracias

haciendo el mismo procedimiento desde el viejo y querido DOS se logra lo mismo, y a mi me resultó más fácil:

1) Arrancar el equipo en modo a prueba de fallos solo simbolo del sistema
(eso se logra presionando F8 cuando está por iniciar windows)

2) cd c:\windows\system
entra al directorio

3) attrib lsass.exe +a -h -s -r
cambia los atributos para poder borrarlo

4) del lsass.exe
borrar el archivo

listo, después si se quiere hay que borrar la entrada de registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Lsass Services

P.D. también el BitDefender lo borra

no se como reinstala en msn sera que me pueden ayudar eso es lo unico que falta para resolver esto

Hola Karla, bueno en ninguna parte aparece que desinstales el messenger, por lo menos no en esta entrada.

pero para reinstalarlo solo bajalo desde http://get.live.com/messenger/overview y listo una vez que lo tengas ejecutalo y ya tendras tu messenger instalado de nuevo.

Saludos

Todos tus instrucciones son muy buenas, yo no me infecte pero no se que sucede en unas cuantas horas ese archivo a viajado por todo el mundo, tiene a todo mis contactos en jaque, le he ayudado a un par de amigos haber como le hacemos, si no va a seguir dando vueltas

te dejo mi direccion para que me ayudes por q no me aparecen cosas iguales a tu explicacion, gracias! diego_gaon@hotmail.com

No hubo manera de neutralizarlo con el rootkit, cada vez que lo neutralizaba, a los diez segundos volvía a aparecer, asi que me descargué la versión demo de bitdefender y aqui empezó un verdadero calvario que ha durado todo el dia.
Tampoco el bitdefender consiguió borrar todas las partes, pero lo peor fue que me ha tenido bloqueado el ordenador todo el dia, no habia forma de desinstalarlo, ni siquiera en modo a prueba de fallos; al final lo he conseguido descargando un desinstalador que hay en su página.
Y no se cómo, porque me he tirado todo el dia trasteando, pero ya no tengo el maldito archivo.
Aunque a mi no me ha funcionado, tu explicación es muy detallada, muchas gracias por la ayuda.
Saludos

H0olaa!!
Heiii estoy al borde de la lokuraaa con el maldito gusano esee... y ya intente seguir estos pasos pero tengo el mismo problema de Mayra, tengo el windows vista y no puedo ejecutar Rootkit Unhooker...
Si alguien sabe como?? me podria ayudar pliis???? mi mail es anita_vallesj@hotmail.com
Graxias!!!!

Yo no tengo a ese muchachito; se lo agarro un amigo. Siguio supuestamente los paso y le volvio a aparecer, incluso se le reiniciaba la maquina sola. Mi pregunta, que creo que tiene alguna justificación es: todos estos pasos se deberián hacer con el MSN cerrado o no? A mi me da la sensación que si: si el MSN esta infectado, que importancia tiene eliminar a los lass falsos; el msn infectado puede volver a hacerlo revivir. La otra es: supuestamente hay 2 lass falsos (no?), bueno en que orden exacto hay que killiarlos (matarlos)?: supongo que uno de los 2 es el padre, que cuando le matamos al hijo se entera de esto por que le avisa el SO; si el malware es sofisticado puede hacer trampitas, porque se alcanza a dar cuenta de que lo quieren eliminar. En este sentido (creo) que los pasos correctos serían echarle un Force Kill and Clean al lass falso con pid mas chicho PRIMERO (el padre) y despues los mismo al restante (o con el Process Explorer que tiene algo asi como Kill Process Tree; pero no se; ademas despues se tendría que eliminar el lass.exe a mano). Los que lograron eliminarlo, cuales fueron los pasos exactos que hicieron?

Hola el Bot.

Veo que sabes un poco de esto de computación.
Bueno al momento que le das Force kill + file erase, lo que haces es lo siguinte: se acceza a la memoria virtual del executable, se llena de ceros, luego se abre el archivo en disco en bajo nivel, es decir sin que windows siquiera se entere y se llena de ceros.

si aun despues de eso crees que un ejecutable se puede recupera, no se com esto es posible.

Saludos

por cierto es el archivo explorer.exe el que vuelve a lanzar el proceso lssas.exe

Bue, la verdad muchas gracias, yo tenia el virus ese y por esta "guia" lo pude eliminar....y eso que intente descargandome miles de anti virus, y ninguno lo detectaba (es mas, con el AVG hacia click derecho sobre la aplicacion img0012www.photostorage.com para que la analize, esperando que salte algo, pero nada....

Asi q nada, muchas gracias!

hola,
recibimos el mensage, bajamos el archivo img_0012.zip,
caimos y lo quisimos descomprimir y windows (vista home premium) nos dijo que no lo podia abrir,
cinco segundos despues recibimos mensajes de nuestros contactos de messenger preguntando que enviamos (sobre unas fotos), na habiamos enviado nada asi que asumimos teniamos un virus.
eliminamos el archivo zip desde el explorer de windows y de la papelera de reciclaje.
no hemos tenido mas mensajes sobre continuar enviando el gusano a otros,
ya buscamos el Lass .exe en la pc pero soo encontramos estos archivos:

lsass 8kb system32(c:)
lsass 8kb x86_microsoft_windows_lsa_ ....etc un nombre largo
lsass.exe.mui 11kb es-ES(c:windows/system32)
lsass.exe.mui 11kb x86_microsoft_windows_lsa_ ....etc

y otros dos. estan bien o son parte del gusano y hay que borrarles? los otros dos son tambien de 8 y 11Kb.

espermos comentarios y ayuda. gracias.

Buenos días,
siguiendo con dichoso gusanito...comentar que instalé el Rootkit Unhooker, pero el menú no me aparece igual, así que no puedo buscar los ocultos; es mas, al minuto de ejecutar el programita, se me reinicia el pc.
¿Alguna idea?
Gracias

HOLA
COMO ESTAN TODOS, MIREN AMI TAMBIEN ME INTENTO LLEGAR ESE FAMOSO GUSANO Y AL PRINCIPIO SOSPECHE E IMAGINE LO QUE ERA
LO RECHASE PERO INSISTIO, BUENO LO ACEPTE, AL RESIVIRLO LO EXPLORE Y ME DI CUENTA DE LO QUE ERA, LO ABRI LO INSTALE POR ASI DECIRLO CUANDO LO INSTALAS TE DICE EL NOMBRE DEL PROGRAMITA QUE ES ISASS, QUE YA TODOS SABEN JAJAJA. EN ESE MOMENTO ESTABA CONECTADO Y VI LO QUE EMPEZO A OCASINAR, ASI QUE CERRE EL MSN, E HICE LO SIGUIENTE QUE ES LO QUE HACEN LA MAYORIA DE LOS CRACKER QUE HACEN ESTO BEBES PARA QUITARLOS DE SU SISTEMA.

BUENO,
1.-SE VAN A INICIO Y DAN CLICK EN EL ICONO DE BUSCAR
2.-BUSCAN EN ARCHIVOS Y CARPETAS EL ARCHIVO IMG-0012 O EL IAM-0025
3.- AL FINALIZAR LA BUSQUEDA TE APARECE EL ARCHIVO COMPRIMIDO EN WINRAR, OK SI ES MAS DE UNO ELIMINEN TODOS.
* (SI SE CONECTAN DE NUEVO AL MSN , SE PODRAN DAR CUENTA QUE SE SIGUE ENVIANDO SOLO EL TEXTO YA NO EL ARCHIVO)
4.-AHORA ELIMINENLOS DE LA PAPELERIA DE RECICLAJE Y REINICIEN LA MAQUINA EN MODO SEGURO, TECLANDO F8 (SOLO REINICIEN EN MODO SEGURO)
5.-ENTREN A LA CUENTA ADMINISTRADOR, ENTRAN A MI PC, LUEGO ABREN DISCO LOCAL Y ENTRAN A LA CARPETA DE WINDOWS Y LUEGO A LA CARPETA DE SYSTEM Y PARA TERMINAR SOLO ELIMINEN EL ISASS FALSO, QUE ES EL UNICO QUE EN REALIDAD EXISTE, TAMBIEN ELIMINENLO DE PAPELERIA DE RECICLAJE.
6.-REINICIEN SU EQUIPO, Y ENTREN A SU CUENTA, E IGUAL SI QUIEREN ESTAR SEGUROS DE QUE EN VERDAD SE ELIMINO ENTREN A LA CARPETA DE SYSTEM Y TARAN YA NO HAY NADA.
Y ESO ESTODO YA NO QUEDO NADA DE EL.

SI NO ME CREEN HAGANLO Y ME DICEN SI LES FUNCIONO.

*LA UNICA FORMA DE ELIMINAR UN VIRUS ES ENTRAR A EL SISTEMA QUE ES EL WINDOWS.

VALE CUIDENSE Y YA NO ACEPTEN COSAS SIN ANTES CONOCER, JEJEJE NO SE CREAN

BYE.

gracias caon ke buena ayuda, casi me suicido por esas mamadas

Che virus ya me tiene hasta la madre!!!!!! pues escribo para pedirles su ayuda, no he podido eliminarlo al mentado virus. primero el menu del hootkit es diferente y no encuentro el lsass falso.
luego lo busco con el buscador de windows y solo encuentro el lsass de windows 32 (el verdadero). Pero tambien busque la disque imagen y ya que la encontre la elimino, pero despues hay otro. ya no se que hacer!!!!!! porfavor agrenguenme al msn mi mail es xxxxxxxxxxxxxxxxxx@hotmail.com ya estoy hasta la madre!!!!

hola soy yo otra ves!!! tengo otra pregunta en que otra cosa puede afectar el virus a la maquina?
porque desde que me entro el virus he tenido problemas de internet (despues de 10 minutos de
encendida la maquina ya no puedo abrir otra pagina de internet y como tengo conectado el xbox 360
router tampoco puedo conectarme al servicio de xbox live) y mi segunda pregunta es si hay varias
sesiones en la maquina el virus afecta todas? porq en mi sesion molesta el virus en el msn pero en
la de mi hermano no (hasta ahorita) y cuando entro a su sesion aparece un mensaje que dice no se
puede cargar el archivo:
C:/windows/system32/jmbbpywg.dll acceso denegado, sera porq mi sesion tiene acceso restringido? o
porq sale esto?
Ayudenme ya no se que hacer!!!!!!!!
mail: xxxxxxxxxxxxxxxxxx@hotmail.com agreguenme y echenme la mano por favor

hola!!! recorriendo los procesos en el rootkit no hay ninguno lsass.ex mas el de win32 pero hay uno que creo que es:
C:/windows/system/services.exe
si es ese? y si es, que sigue despues?
AYUDENME!!!!!
MAIL: xxxxxxxxxxxxxxxxxx@hotmail.com

PD al que creo ese virus, acuerdate que el karma es cabron!!!!!!!

mmm, curioso que este virus apareciese el 11 de septiembre (o tenéis noticias anteriores del mismo?

Muy buena entrada! La información es de lo más completa ^_^
Es curioso como te la intentan colar con lo dela página web para disimular la extensión .com pero claro, o tienes conocimientos de informática o te la meten doblada XD
Yo por suerte sospeché, entre la frase, la forma de envio, que me lo mandó alguien con quien no hablaba desde hace mucho y hoy me lo ha mandado una persona que no es muy de mi agrado XD y claro ya olía mal, pero no pude resistir la tentación de ver cómo era tb! ^_^ por suerte no me infecté!

Buenas, pues bien anoche me entro el famoso gusanito.. hay que decir que fue la casualidad mas grande del mundo: un amigo me estaba mandando fotos del verano i salio eso de repente i como todo era en .zip acepte como si fuese uno normal..aunque clarod espues te das cuenta que de normal tiene bien poco.

He estado provando todos los remedios possibles, esta claro que en momento de desolacion cualquier remedio vale.

Ahora hace un rato he conseguido librarme de el, Como? haciendo uso del rootkit i el autoruns. He ido reiniciando kada vez i al final me ha funcionado.

No kiero explicar el paso ya que he seguido el de este xico. Es simplemente para deciros que a mi me ha funcionado, y decir que es bueno.

GRacias!!

Hola y antes k nada muxas gracias.
Y felicitarte maxo pk eres un verdadera crack muxas personas estan infectadas con el virus y pocas consiguen eliminarlo.
habia probao 3 o 4 metodos diferentes k m abian recomendado pr ninguno funcionó.Ahora parece ser k si...así k gracias y m apunto la web para posibles problemas futuros,jeje...bueno a cuidarse.

Saludos

HOLA ME PASO LO MISMO KE PUSISTE Y TENIA MI MEMORIA USB CONECTADA CREES KE ME AYADA AFECTADO EL VIRUS MI MEMORIA TAMBIEN??

bueno flaco GRACIAS A VS LO PUDE SACAR SOS UN GROSO......

NO TE CALCOMAS LA CABEZA SI ESTOS NO PUEDEN ES POR Q SON MAS CUADRADOS Q UNA BALDOSA YO PUDE EN EL PRIMER INTENTO

GRACIAS DE NUEVOOOOOOOO

SOS LO MAAAAAAAAAAAAAAAAAAAAAAAAAAAAAS

AGUANTE EL AUTO RUNS (?)

BESOS

SNAKE

bueno, acabo de ver esto, y me has ayudado, porque una amiga lo tenia. A mi me lo mandaro, pero al ver que era un ejecutable ni lo probe. Te voy a decir que lo analize con virus total el archivo todavia comprimido y estos fueron los resultados:
22/31 (70.97%)

Hola tengo el virud, no me aclaro con el paso de archivos ocultos, me ayudas??? me puedes agregar??? xxxxxxxxx@hotmail.com

oye por favor, no tng ni puta idea d como kitar esto ayudame agregandom o yo qs e pero tng q kitar esto de una vez!!!!
anda porfa... estoy un poco desesperada la verdad, graciasssss

hola, ps descargo eso y todo pero no me sale ningun archivo q se llame como los q dicen al principio de esto, plis ayudenme agreguenme alguien q me pueda decir como quitarlo
avalancha_lolo@hotmail.com porfas me urge

solo me aparece el Isass en system32 y no me aparece en system como le ahgo diganmeeeeeeeeeee avalancha_lolo@hotmail.com

bue, creo que ya es medio tarde y lo mas probable que mucho no importa (perdon por la demora ;-))
Mixel Adm, digo
>Bueno al momento que le das Force kill + file erase, lo que haces es >lo siguinte: se acceza a la memoria virtual del executable, se llena >de ceros, luego se abre el archivo en disco en bajo nivel, es decir >sin que windows siquiera se entere y se llena de ceros.
>
>si aun despues de eso crees que un ejecutable se puede recupera, no >se com esto es posible

tal vez sea asi, pero tal vez no pueda llenar de ceros a la memoria virtual asignada a las librerías dinámicas (son compartidas); las cuales pueden estar afectadas por el gusano (en particular las del msn; si no no entiendo como puede hacer lo que hace); por eso creo fundamental cerrar el msn (si elimanace también las librerías dinámicas en memoria virtual y el programa accede a alguna de las librerías fundamentales del sistema, te aseguro que es pc o va a dejar de responder o no se van a modificar las librerías). Igual el énfasis lo quise poner en el orden en que se eliminan los procesos (mientras matas al hijo,el padre se da cuenta y te genera otro; cuando matas al padre el hijo nuevo lo suplanta, y asi forever). Habría que ver las librerías y archivos accede con el Process Explorer, pero bue (en un momento tenia un progamita que te mostraba lo que iba haciendo el proceso en tiempo real; uno podía escanear casi todo lo que hacia un proceso; es el WinPuch, pero por alguna razón un día casi me voltea la maquina asi que lo tuve que desisntalar; pero igual da para instalarlo en una maquina virtual...)

Hola El Bot

Si tienes razon en un punto, si hay una dll, la cual esta en system32, el problema, por así decirlo es que se genera bajo un nombre aleatorio (eso creo yo) y es cargada por explorer, eso para la version de imagen12, y para el img24, no genera una dll, sino baja más amiguitos, a los cuales les puedes dar el mismo fin ;)

Saludos

Hola !!alguien me puede ayudar a quitar el gusano este ??esqe yo no me safo muxo y si ai alguien qe me guie paso a paso !!!??asias !!!

ola! a mi me paso lo msmo hoy... y te debo confesar q mi fuerte no es la computacon asi q no entiendo nada!
agrame al msn plis! asi me ayudas paso por paso si no es mucha molestia...

ola!... a mi me paso esto hoy, y te tengo q confesar q mi fuerte no es la computacion... asi q si no es mcha molestia me podrias agragar al msn? asi me ayudas paso por paso
mi msn es xxxxxxxxxxxxxx@hotmail.com

otra cosita!
trate de hacerlo y segui tus pasos
pero sigue pasando
vos dijiste q hay q borrar todos los isass.exe pero q no esten en system32 y es el unico q me qda...

...porq me sigue pasando?

Pues a mi el nod32 me lo detecto como w32.backdoor.Trojan, lo eliminó y lo puso en la cuarentena, creo que el nod32 del cual revisiaste el virus estaba desactualizado.

eso es todo, bye.

Hola tinosoft-admin

Creo que has mal interpretado lo que aquí se presenta. Si cuando yo analize el archivo, Nod32 no detectaba el archivo, pero ese mismo dia a las 6 de la tarde ya lo hacia. En mi caso trato de tener el nod lo mas actualizado posible, pero recuerda que no siempre todas las empresas pueden hacer las signaturas de los virus al mismo tiempo.

Saludos, y el hecho de que el antivirus no detecte nada, no quiere decir que no estes infectado mucho ojo.

La explicación está muy bien. Pero, a mi no me aparece lsass.exe en system, sino en system32, por lo que está bien. Qué otro archivo podría ser?

[url=http://imageshack.us][img=http://img469.imageshack.us/img469/4717/dibujodb4.jpg][/url]

Hola Diego.

En tu caso el archivo se llama explorer.exe y se encuentra en c:\windows\system\explorer.exe

saludos

Oyeee, que no me sale el LSAS.EXE ese en otro sitio k no sea dentro de SYSTEM32 !!
QUE HAGOO???!!puede ser porque no esté activo...?venga, hasta pronto y graicas

he leido el comentario anterior al mio, he buscado tb c/WINDOWS/system/explorer.exe, pero lo mas parecido que veo es C/WINDOWS/EXPLORER.EXE, ese es???graciasss

Hola, he leido tu ayuda y me parece excelentemente muy detallada, claro siempre y cuando el pronlema se presente de la misma manera, y es que segui tus pasos paro nada de eso me aparece en ambos programas, el avast me sigue diciendo a cada rato ke tengo los 3 virus del pakete, y al parecer me pasa lo mismo que al otro compañero pues solo me aparece ese archvo de explorer.exe, mas no lo puedo eliminar con el hooker. Borre los lsass mentirosos ke salieron en el busfcador pero aun asi persisten los atakes del virus, al grado a que me reinicia la maquina cada vez que se da cuenta que voy por él. Me puedes contactar porfavor o prefieres ayudarme por aqui??? GRACIAS.

hola virgilio y Carlos.

Busquen como usar autoruns en el blog, entren al foro y pongan su log por favor.

Saludos.

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ 000StTHK c:\windows\system32\000stthk.exe
+ 00THotkey THotkey (Not verified) TOSHIBA Corp. c:\windows\system32\00thotkey.exe
+ avast! avast! service GUI component (Verified) ALWIL Software c:\program files\alwil software\avast4\ashdisp.exe
+ ezShieldProtector for Px ezSP_Px MFC Application (Not verified) Easy Systems Japan Ltd. c:\windows\system32\ezsp_px.exe
+ HP Component Manager HP Framework Component Manager Service (Not verified) Hewlett-Packard Company c:\program files\hp\hpcoretech\hpcmpmgr.exe
+ HP Software Update hpwuSchd (Not verified) Hewlett-Packard c:\program files\hewlett-packard\hp software update\hpwuschd.exe
+ ISUSPM Startup InstallShield Update Service Update Manager (Not verified) InstallShield Software Corporation c:\program files\common files\installshield\updateservice\isuspm.exe
+ ISUSScheduler InstallShield Update Service Scheduler (Not verified) InstallShield Software Corporation c:\program files\common files\installshield\updateservice\issch.exe
+ LtMoh LtMoh MFC Application (Not verified) Agere Systems c:\program files\ltmoh\ltmoh.exe
+ Pinger TOSHIBA Pinger (Not verified) TOSHIBA Corporation c:\toshiba\ivp\ism\pinger.exe
+ PmProxy PmProxy (Not verified) adi c:\program files\analog devices\soundmax\pmproxy.exe
+ SearchIndexer c:\windows\system32\oaeopril.dll
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\program files\java\jre1.5.0_06\bin\jusched.exe
+ TFncKy TFncKy (Not verified) TOSHIBA Corporation C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
+ TFNF5 TFnF5 (Not verified) Toshiba Corp. c:\windows\system32\tfnf5.exe
+ TouchED TouchPad On/Off Utility (Not verified) TOSHIBA Corporation c:\program files\toshiba\touched\touched.exe
+ Tpwrtray TOSHIBA Power Saver (Not verified) TOSHIBA Corporation c:\windows\system32\tpwrtray.exe
+ WinampAgent c:\program files\winamp\winampa.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
+ Adobe Gamma Loader.lnk Adobe Gamma Loader (Not verified) Adobe Systems, Inc. c:\program files\common files\adobe\calibration\adobe gamma loader.exe
+ RAMASST.lnk CD Burning of Windows XP disabling tool for DVD MULTI Drive (Not verified) Matsushita Electric Industrial Co., Ltd. c:\windows\system32\ramasst.exe
C:\Documents and Settings\Patty Rios\Start Menu\Programs\Startup
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ ares Ares (Not verified) Ares Development Group c:\program files\ares\ares.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ cetihpz HPCETIUI Protocol Handler Module (Not verified) Hewlett-Packard Company c:\program files\hp\hpcoretech\comp\hpuiprot.dll
+ skype4com Skype for COM API (Verified) Skype Technologies SA c:\program files\common files\skype\skype4com.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ fccdcda.dll c:\windows\system32\fccdcda.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ avast avast! Shell Extension (Verified) ALWIL Software c:\program files\alwil software\avast4\ashshell.dll
+ dBpowerAMP Music Converter dMCShell Module c:\program files\illustrate\dbpoweramp\dmcshell.dll
+ dBpowerAMP Music Converter 1 dBShell Module c:\program files\illustrate\dbpoweramp\dbshell.dll
+ Display Panning CPL Extension File not found: deskpan.dll
+ Fusion Cache Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ TouchED TouchPad On/Off Utility (Not verified) TOSHIBA Corporation c:\program files\toshiba\touched\touched.dll
+ WinRAR shell extension c:\program files\winrar\rarext.dll
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ AcroIEHlprObj Class AcroIEHelper Module (Verified) Adobe Systems, Incorporated c:\program files\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx
+ Megaupload Toolbar MegaUpload Toolbar (Verified) Megaupload Limited c:\program files\megauploadtoolbar\megauploadtoolbar.dll
+ MSNToolBandBHO MSN Toolbar extension (Not verified) Microsoft Corporation c:\program files\msn apps\msn toolbar\01.02.5000.1021\en-us\msntb.dll
+ SSVHelper Class Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\program files\java\jre1.5.0_06\bin\ssv.dll
+ ST st (Not verified) Microsoft Corporation c:\program files\msn apps\st\01.03.0000.1005\en-xu\stmain.dll
+ {53707962-6F74-2D53-2644-206D7942484F} Bad download blocker (Verified) Safer Networking Ltd. c:\program files\spybot - search & destroy\sdhelper.dll
+ {80F52B11-B980-4FCF-9B66-5B733054D190} c:\windows\system32\fccdcda.dll
+ {D202AD62-9DFA-4CB5-8654-76D9D18493FF} c:\windows\system32\mljhi.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+  MegaUpload Toolbar (Verified) Megaupload Limited c:\program files\megauploadtoolbar\megauploadtoolbar.dll
+ 0 MSN Toolbar extension (Not verified) Microsoft Corporation c:\program files\msn apps\msn toolbar\01.02.5000.1021\en-us\msntb.dll
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. (Verified) ALWIL Software c:\program files\alwil software\avast4\aswupdsv.exe
+ avast! Antivirus Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas. (Verified) ALWIL Software c:\program files\alwil software\avast4\ashserv.exe
+ DVD-RAM_Service Service of RAMAsst for Windows XP (Not verified) Matsushita Electric Industrial Co., Ltd. c:\windows\system32\dvdramsv.exe
HKLM\System\CurrentControlSet\Services
+ Aavmker4 avast! Base Kernel-Mode Device Driver for Windows NT/2000/XP (Verified) ALWIL Software c:\windows\system32\drivers\aavmker4.sys
+ Afc Arcsoft(R) ASPI Shell (Not verified) Arcsoft, Inc. c:\windows\system32\drivers\afc.sys
+ Aspi32 ASPI for WIN32 Kernel Driver (Not verified) Adaptec c:\windows\system32\drivers\aspi32.sys
+ aswMon2 avast! File System Filter Driver for Windows XP (Verified) ALWIL Software c:\windows\system32\drivers\aswmon2.sys
+ aswRdr avast! TDI RDR Driver (Verified) ALWIL Software c:\windows\system32\drivers\aswrdr.sys
+ aswTdi avast! TDI Filter Driver (Verified) ALWIL Software c:\windows\system32\drivers\aswtdi.sys
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ MDC8021X AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (Not verified) Meetinghouse Data Communications c:\windows\system32\drivers\mdc8021x.sys
+ meiudf DVD-RAM UDF File System Driver (Not verified) Matsushita Electric Industrial Co.,Ltd. c:\windows\system32\drivers\meiudf.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ pfc Padus(R) ASPI Shell (Not verified) Padus, Inc. c:\windows\system32\drivers\pfc.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ rkhdrv40 File not found: C:\WINDOWS\System32\Drivers\rkhdrv40.sys
+ Secdrv SafeDisc driver c:\windows\system32\drivers\secdrv.sys
+ TBiosDrv c:\windows\system32\drivers\tbiosdrv.sys
+ tsdhd SD Card Host Controller Driver (Not verified) TOSHIBA Corporation c:\windows\system32\drivers\tsdhd.sys
+ TVALD Toshiba ACPI-Based Value Added Logical Device Driver (Not verified) Toshiba Corporation c:\windows\system32\drivers\tvald.sys
+ TVALG TOSHIBA Value Added Logical and General Purpose Device Driver (Not verified) TOSHIBA Corporation c:\windows\system32\drivers\tvalg.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
+ WmaCDriverV32 Support Device (Not verified) Windows (R) 2000/XP c:\windows\system32\drivers\wmacdriverv32.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ aswBoot.exe /M:37170a40b avast! start-up scanner (Verified) ALWIL Software c:\windows\system32\aswboot.exe
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
+ advapi32 Advanced Windows 32 Base API (Not verified) Microsoft Corporation c:\windows\system32\advapi32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ fccdcda c:\windows\system32\fccdcda.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{24224EB9-8437-4DD6-866B-E58D6FCE0A0F}] DATAGRAM 1 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{24224EB9-8437-4DD6-866B-E58D6FCE0A0F}] SEQPACKET 1 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{397B160F-9F2A-4867-A041-D409DA0B75D2}] DATAGRAM 2 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{397B160F-9F2A-4867-A041-D409DA0B75D2}] SEQPACKET 2 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{938C3A7F-4995-4BE5-9ED1-2CF1F1CF226E}] DATAGRAM 5 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{938C3A7F-4995-4BE5-9ED1-2CF1F1CF226E}] SEQPACKET 5 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB23E636-398F-4CE4-9FAF-B1ADAC57A564}] DATAGRAM 4 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB23E636-398F-4CE4-9FAF-B1ADAC57A564}] SEQPACKET 4 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{F37351B6-814E-4445-9687-9860962C4673}] DATAGRAM 0 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{F37351B6-814E-4445-9687-9860962C4673}] SEQPACKET 0 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{F444BDC6-63E9-46B2-ABD2-81D66C507884}] DATAGRAM 3 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{F444BDC6-63E9-46B2-ABD2-81D66C507884}] SEQPACKET 3 Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD Tcpip [RAW/IP] Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD Tcpip [TCP/IP] Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ MSAFD Tcpip [UDP/IP] Microsoft Windows Sockets 2.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\mswsock.dll
+ RSVP TCP Service Provider Microsoft Windows Rsvp 1.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\rsvpsp.dll
+ RSVP UDP Service Provider Microsoft Windows Rsvp 1.0 Service Provider (Not verified) Microsoft Corporation c:\windows\system32\rsvpsp.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
+ C:\\WINDOWS\\system32\\mljhi c:\windows\system32\mljhi.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
+ RDPNP Microsoft Terminal Services (Not verified) Microsoft Corporation c:\windows\system32\drprov.dll

Espero que lo haya hecho bien, segui los pasos tal cual, ahora solo falta que me digas tu diagnosticoy si deseas mejor hacerlo mas personal me dices para hablar por messenger (aunke no sera él el causante de todo?). En fin espero tu ayuda proximamanete necesito reparar esto. GRACIAS.

Que tal Carlos

Mira lo unico que veo raro por así decirlo en tu log es lo siguiente:

+ 000StTHK c:\windows\system32\000stthk.exe
+ 00THotkey THotkey (Not verified) TOSHIBA Corp. C:\windows\system32\00thotkey.exe

No estoy completamente seguro si es malo o no, ya que no se si sean programas tuyos.

De cualquier manera, te recomiendo que los cheques en www.virustotal.com.
Saludos

Pd. por favor registrate en el foro, porque en esta parte de comentarios es un poco más dificil y crecen mucho las entradas

Hola amigo tengo duda,como se pega el virus, yo estaba conversando en messenger con una amiga que no conozco muy bien y ella me envio la frase que sale de las fotos y tal, yo las acepte pero no las abri, depues de todo rollo que yo le arme, ella me dijo que era un virus que no abriera nada que dijera de fotos zip.
Yo quiesiera saber, si ella estaba consiente de que me envio ese virus, lo que ellla me dijo que ella estaba en su trbajo y fue que alguien abrio un mensaje en una compu que no era la de ella y se autoenvio a otras computadoras y de hay a todos lo s que tenian el messenger abierto y de hay se le envio a todos contactos, sera verdad esto? o la persona sabe que lo tiene y lo emvia aproposito. gracias y disculpe mi ignorancia.

Hola Lorena

Una de las caracteristicas de este virus es que no ves las ventanas de tus amigos, sino que se envia solo, es decir, una vez que ejecutas el virus, este toma control de tu messenger y empieza a autoenviarse sin necesidad de que el usuario interactue.

Cuando uno recibe el virus, normalmente aunque preguntes que es, no obtienes respuesta, esto se debe a que el virus esconde las ventanas.

No creo que tu amiga lo distiribuyera por gusto, y si tu no abriste el archivo, entonces no tienes nadda de que preocuparte.

Saludos

Hola Mixel Adm porfavor dime como meterme al foro como tu me pides, porque la verdad no enuentro como ya me registre en un sitio azul mas no se donde escribirte pae me leas mas facil me das las indicaciones porfavor???

Necesito que me digas como entrar al foro para escribirte como me pides porque ya me registre a una pagina de fondo azul mas no encuentro exactamente donde es que me pides tu, me das las indicaciones porfavor??

Hola carlos

Bueno ujna vez que ya te registraste te metes en el foro de ayuda de la parte de malware y haces un nuevo tema.

Saludos

lei todos lo comentarios pero ninguno me parecio correcto porq el virus infecta no se situa en un sitio en que ejecuta su funcion que en este caso produce algunos errores.
yo diria que en vez de producir un error en el archivo habria que cambiar el archivo que infecta "LSASS" y "LECHUCK" por un archivo "EXE" que seria "LOGMAN" que se encuentra en system32 en este caso el virus se confundiria al mismo tiempo que el sistema "EXPLORER". intente cambiar de el archivo "LOGMAN.EXE" por "LSASS" y "LECHUCK" pero solo he podido con "LSASS" y "EXPLORER" no vuelve a crear este archivo. el unico fallo fue que al qrer cambiar "LOGMAN" que tendria el nombre del archivo malicioso padre, lo encontraba como un archivo en uso. en mi opinion tendriamos que convertir el archivo "LECHUCK" en ceros y despues eliminarlo por el "autoruns" que nos recomendaste asi podria modificarse por "LOGMAN"

PD:(me di cuenta que los progamas que me recomendaste uno de ellos es admistrador de tareas y el otro un editor de registro)

Hola Kevin

Sinceramente no tengo ni la más remota idea de que te refieres con LSASS y LECHUCK, que tienen que vver uno con el otro?

Ahora LOGMAN, no lo conosco, y si en efecto, Autorus es un editor del registro, pero no de todo solamente de aquellas que permiten inicar virus, y process explorer es un administrador de procesos avanzado.
Saludos

me sucede lo mismo :(porfavor ayudame agregame a mi m ail
t lo agradeceria demasiado

val_sweet@msn.com

desde ya muy agradecida