"Advertencia de seguridad"

Resuelto
Gribouille -  
 Cyril -
Hola,

Tengo un ícono redondo rojo con un signo de exclamación amarillo que ha aparecido junto al reloj de mi PC.
Me dice: "Advertencia de seguridad: su computadora puede estar infectada con software dañino o no deseado"

No me atrevo a hacer clic en él.
La información que encuentro está en inglés, pero no soy lo suficientemente angloparlante para entender bien.

¡Gracias de antemano por tu ayuda!

29 respuestas

  • 1
  • 2
  1. Kristopher Mensajes publicados 3752 Estado Colaborador 106
     
    Hola,

    - Descarga el software SmitfraudFix creado por S!Ri:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip y descomprímelo.

    - Abre la carpeta "SmitfraudFix" que aparecerá, haz doble clic en "Smitfraudfix.cmd", elige la opción 1, se generará un registro…

    Copie y pega el informe en el foro.

    Luego

    Haz esta manipulación:

    - Reinicia el PC en modo seguro: toca la tecla F8 en tu teclado (o F5 según la versión de Windows) y elige el modo "seguro".

    - Reinicia SmitfraudFix esta vez eligiendo la opción 2 y responde a todo.

    Pega el nuevo informe después.

    a+
    0
  2. Gribouille
     

    SmitFraudFix v2.119

    Informe realizado a las 13:02:58,03, 04/11/2006
    Ejecutado desde C:\Documents and Settings\Fff\Escritorio\smitfraudfix\SmitfraudFix
    SO: Microsoft Windows XP [versión 5.1.2600] - Windows_NT
    Fix ejecutado en modo normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\ismini.exe PRESENTE!
    C:\WINDOWS\system32\drvmam.dll PRESENTE!

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fff\Datos de Aplicación

    »»»»»»»»»»»»»»»»»»»»»»»» Menú de inicio

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fff\Favoritos

    »»»»»»»»»»»»»»»»»»»»»»»» Escritorio

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Archivos de Programa

    »»»»»»»»»»»»»»»»»»»»»»»» Claves corruptas

    »»»»»»»»»»»»»»»»»»»»»»»» Elementos del escritorio

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Mi página de inicio"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Atención, las claves que siguen no están necesariamente infectadas!!!

    SrchSTS.exe de S!Ri
    Búsqueda de .dll de SharedTaskScheduler

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Atención, las claves que siguen no están necesariamente infectadas!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Búsqueda de infección wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin



    0
  3. Kristopher Mensajes publicados 3752 Estado Colaborador 106
     
    Si no te equivocas, el ícono desaparecerá :)

    Volveré esta noche, si tienes otros problemas...

    a+
    0
  4. Gribouille
     
    Aquí está el segundo en modo seguro Opción 2:
    SmitFraudFix v2.119

    Informe realizado a las 13:13:18,84, 04/11/2006
    Ejecutado desde C:\smitfraudfix\SmitfraudFix
    SO: Microsoft Windows XP [versión 5.1.2600] - Windows_NT
    Fix ejecutado en modo seguro

    »»»»»»»»»»»»»»»»»»»»»»»» Antes de SmitFraudFix
    !!!Atención, las claves que siguen no están necesariamente infectadas!!!

    SrchSTS.exe de S!Ri
    Búsqueda .dll de SharedTaskScheduler

    »»»»»»»»»»»»»»»»»»»»»»»» Detener procesos

    »»»»»»»»»»»»»»»»»»»»»»»» Reparación de Generic Renos

    GenericRenosFix de S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Eliminación de archivos infectados

    C:\WINDOWS\system32\ismini.exe eliminado
    C:\WINDOWS\system32\drvmam.dll ¡PRESENTE!

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrador

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrador\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menú Inicio

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Escritorio

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Claves corruptas

    »»»»»»»»»»»»»»»»»»»»»»»» Elementos del escritorio

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Atención, las claves que siguen no están necesariamente infectadas!!!

    SrchSTS.exe de S!Ri
    Búsqueda .dll de SharedTaskScheduler

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Atención, las claves que siguen no están necesariamente infectadas!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Búsqueda de infección wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin



    No me pidió nada así que no tuve que decirle que sí!!!
    El icono en cuestión sigue ahí...

    ¿Qué es exactamente lo que acabo de hacer!?
    0
  5. Gribouille
     
    He pasado Ad-aware, Spybot y Ccleaner.
    El último ve este archivo: C:\WINDOWS\TEMP\win252.tmp.exe 32,50KB, pero no lo elimina.
    Manualmente, no puedo hacerlo, está inaccesible...
    0
  6. Gribouille
     
    ¡He eliminado este archivo, pero el ícono sigue presente!
    Creo que es una "tontería" para hacerme ir a un sitio web...
    0
  7. ^^Marie^^ Mensajes publicados 41884 Fecha de registro   Estado Miembro Última intervención   3 280
     
    Hola,

    Para avanzar, Kristopher que saludo bien bajito...

    Haz lo siguiente

    F - Hijackthis - Herramienta de diagnóstico y reparación
    lee la demo
    http://pageperso.aol.fr/balltrap34/Hijenr.gif
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    Descarga la versión en francés aquí
    http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
    Copia/pega el informe

    Buena suerte

    A++

    Evita los caracteres en negrita, no son agradables en absoluto. Gracias
    --
    No te lo tomes a mal, sigue callado como una carpa, y
    acaricia al perro en la dirección del pelaje!
    0
  8. Gribouille
     
    Buenas noches,

    Aquí está el informe de Hijackthis:
    Logfile of HijackThis v1.99.1 Scan saved at 16:48:45, on 04/11/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Archivos comunes\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Archivos comunes\Symantec Shared\ccApp.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Microsoft Office\Office\OSA.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe D:\Programas\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/offres-numericable.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Enlaces O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Archivos comunes\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Archivos comunes\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvmam.dll,startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Inicio de Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Cargador de Adobe Gamma.lnk = C:\Program Files\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccPwdSvc.exe O23 - Service: Servicio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Servicio de Bloqueo de Scripts (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Servicio de Controladores de Red Symantec (SNDSrvc) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\SNDSrvc.exe O23 - Service: Monitor de Internet TrueVector (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe 


    Gracias
    0
  9. Kristopher Mensajes publicados 3752 Estado Colaborador 106
     
    Hola a todos :)

    Gribouille, mantengamos las cosas simples - deja los informes tal como están, sin jugar a ponerlos en negrita o entre etiquetas porque eso dificulta la lectura para todos. Gracias.

    El archivo que es la fuente de tu preocupación es drvmam.dll.

    Antes de eliminarlo, sería prudente analizarlo:

    1/ Muestra todos los archivos y carpetas:

    Haz clic en "Inicio" -> "Panel de control" -> "Herramientas" (en la parte superior) -> "Opciones de carpeta..." -> "Ver".

    Marca:
    "mostrar archivos y carpetas ocultos"
    Desmarca las casillas:
    "ocultar archivos protegidos del sistema operativo (recomendado)"
    "ocultar las extensiones para tipos de archivo conocidos"

    Haz clic en "Aplicar", luego "Aceptar"

    2/ Ve a http://www.virustotal.com/flash/index_es.html
    Haz clic en "Examinar..." y busca el archivo en negrita:
    C:\WINDOWS\system32\drvmam.dll
    Espera a que el rectángulo esté verde (a la derecha) y haz clic en "Enviar".
    Una vez finalizado el escaneo, copia/pega el informe en el foro.

    Que tengas un buen domingo.

    Bizz ^^Marie^^
    0
  10. Gribouille
     
    Hola,

    Aquí está el informe de Virustotal: (no muy concluyente)
    Antivirus Versión Actualización Resultado
    AntiVir 7.2.0.37 11.03.2006 no se encontró virus
    Authentium 4.93.8 11.05.2006 no se encontró virus
    Avast 4.7.892.0 11.03.2006 no se encontró virus
    AVG 386 11.04.2006 no se encontró virus
    BitDefender 7.2 11.05.2006 no se encontró virus
    CAT-QuickHeal 8.00 11.04.2006 no se encontró virus
    ClamAV devel-20060426 11.05.2006 no se encontró virus
    DrWeb 4.33 11.05.2006 BACKDOOR.Trojan
    eTrust-InoculateIT 23.73.45 11.03.2006 no se encontró virus
    eTrust-Vet 30.3.3176 11.03.2006 no se encontró virus
    Ewido 4.0 11.05.2006 no se encontró virus
    Fortinet 2.82.0.0 11.05.2006 no se encontró virus
    F-Prot 3.16f 11.04.2006 no se encontró virus
    F-Prot4 4.2.1.29 11.04.2006 no se encontró virus
    Ikarus 0.2.65.0 11.03.2006 no se encontró virus
    Kaspersky 4.0.2.24 11.05.2006 no se encontró virus
    McAfee 4888 11.03.2006 no se encontró virus
    Microsoft 1.1609 11.04.2006 no se encontró virus
    NOD32v2 1.1853 11.03.2006 no se encontró virus
    Norman 5.80.02 11.03.2006 no se encontró virus
    Panda 9.0.0.4 11.04.2006 archivo sospechoso
    Sophos 4.10.0 10.26.2006 no se encontró virus
    TheHacker 6.0.1.112 11.03.2006 no se encontró virus
    0
  11. ^^Marie^^ Mensajes publicados 41884 Fecha de registro   Estado Miembro Última intervención   3 280
     
    Hola,

    ¿Has hecho el <10>???

    Bizz Kritopher

    --
    No se enojen, manténganse callados como una carpa, y
    acaricien al perro en el sentido del pelo!
    0
  12. ^^Marie^^ Mensajes publicados 41884 Fecha de registro   Estado Miembro Última intervención   3 280
     
    < 10 > - "Advertencia de seguridad"
    Añadido por ^^Marie^^ (05/11/2006 a las 11:35 GMT+1)
    Slt

    Sigues en SP1, ==><Plataforma: Windows XP SP1 (WinNT 5.01.2600)

    Deberías instalar el SP2 ==> más protecciones

    https://www.microsoft.com/fr-fr/search?q=Windows+XP+sp2&l=1&FORM=QBME1

    --
    No te enojes, mantente callado como una carpa, y
    acaricia al perro a favor del pelo!
    0
  13. Gribouille
     
    Lo siento, pero no veo lo que quieres decir con:
    <10> "Advertencia de seguridad"
    0
  14. Gribouille
     
    ¡PERDÓN!
    Acabo de entender...

    Quise hacerlo una vez y me trajo tantos problemas que lo dejé pasar. Además, este PC no está en internet...

    Quisiera entender de dónde proviene este ícono rojo con un signo de exclamación amarillo.
    0
  15. Kristopher Mensajes publicados 3752 Estado Colaborador 106
     
    Hola,

    Es hora de terminar con esta cosa.

    1/ - Descarga Pocket Killbox aquí:
    http://www.downloads.subratam.org/KillBox.exe
    Desconéctate de internet.

    Haz doble clic en killbox.exe (Pocket Killbox)

    - Marca: "Delete on reboot"
    - En "Full Path of File to Delete"
    copia y pega esto:

    C:\WINDOWS\system32\drvmam.dll

    - haz clic en la cruz blanca sobre fondo rojo.
    - aparecerá una ventana para confirmación: haz clic en "YES".
    - una segunda ventana te pregunta si deseas reiniciar: haz clic en "YES".

    Deja que la PC se reinicie.
    Si recibes el siguiente mensaje: "pending file rename operations registry data has been removed by external process.", ignóralo y reinicia tu PC manualmente.
    En imagen: http://tinypic.com/images/goodbye.jpg

    2/ Escanea tu PC con este antivirus en línea (únicamente en IE):
    http://www.bitdefender.fr/scan8/ie.html
    Haz clic en "Acepto" y luego acepta también el ActiveX bloqueado por la barra anti-popup del SP2 (parpadeará en la parte superior).
    Luego, haz clic en "Clique aquí para escanear".
    Espera hasta que termine el escaneo...
    Copie/pegue todo el informe en el foro.

    a+
    0
  16. Gribouille
     
    El problema es que no uso IE y realmente no deseo usarlo...
    0
  17. Kristopher Mensajes publicados 3752 Estado Colaborador 106
     
    ¿Y entonces? ¿Puedes hacer el 1/ de todas formas, no?

    Bueno, si quieres mantener tus infecciones, haz lo que quieras...

    Pero me sorprende un poco:

    ¿Cómo haces para las actualizaciones y los diferentes escaneos en línea sin pasar por IE? (supongo que es una pregunta filosófica, sin respuesta. O más bien, con una respuesta implícita jaja)

    ¡Hasta luego!
    0
  • 1
  • 2