Hoy hubiera terminado el día temprano si no fuera por un “cretino malware” que se instaló en un pc… no me la podía ganar, pasaban los minutos y la tontera ya me estaba fastidiando: no podía entrar al registro, no podía entrar al panel de control (siempre en windows…), hasta no tenía la unidad C: en Mi PC!!! (obviamente el viejo truco de “C:” en “dirección” permitía entrar a la unidad)… Lo alarmante ocurrió cuando repentinamente al lado de la hora del pc apareció el mensaje “Virus Alert!” y abría páginas instantáneas de algo como “SystemDefender“…. Maldito Malware…
Spybot – Search & Destroy hizo lo suyo, pero no fue suficiente… los mensajes emergentes reiterados de que “un virus está en su pc, descargue la última versión de tal programa” (en inglés), ya me tenían enfermo… Por un momento todo se calmó, pero a la hora de conectarse a internet denuevo los mensajes fastidiosos y las páginas raras…. en fin, usando algo de lógica, capturé algunos datos, para llegar así a la solución:
1. Se generaban 3 vínculos en Favoritos: “Spyware&Malware Protection“, “Privacy Protector” y “Error Cleaner“. Lo curioso era que tenían cada uno su correspondiente ícono, no como el resto de los links en “favoritos”, que tienen el logo iexplorer (yo uso Mozilla Firefox, pero este pc no es mío!).
2. Esos íconos correspondían todos a una biblioteca dinámica ubicada en C:WINDOWS, así me acercaba al responsable, un tal dll llamado wpvmqosg.dll.
3. Ese .dll, wpvmqosg.dll, no venía solo, es cosa de ordenar los archivos por fecha (no sé por qué tengo esa manía de ordenar por detalle y fecha, no es primera vez que limpio con “fuerza bruta” un spyware), allí fue posible observar varios otros archivos (con exactamente la misma fecha y hora de creación):
wpvmqosg.dll
vrmdtneg.dll
xvorfwbd.dll
ksendlbttla.dll
eslb.exe
4. Antes de borrarlos, había que desvincularlos del registro de windows, como no podía entrar al “Editor de Registro”, usé el comando: regsvr32 /u [archivo.dll] (hay que ir a Inicio > Ejecutar > cmd > ubicar la ruta donde se encuentra el .dll, en este caso C:Windows. >> ejecutar comando por cada .dll).
5. Reinicié en modo a prueba de fallos para entrar al editor de registro, allí me puse a buscar cada .dll y .exe en tal registro de windows y encontré otros rastros:
Search Assistant:
wpvmqosg.dll
medctrro.exe
ehshell.exe
6. Verifiqué que no fueran archivos del sistema (se encontraban en carpeta de Win, pero no eran necesarios de Win) y procedí a eliminar tales registros y archivos. Efectivamente todos los ficheros tenían origen desconocido y no correspondían a alguna actividad propia del sistema.
7. Volví a reiniciar, pero en modo normal y chaaaaaaannnn!!!! El sistema volvió a su estado normal…. Pero quedó una cosilla pendiente: los bloqueos aún permanecían (no podía ejecutar regedit, no tenía unidad C:, en la hora todavía aparecía “Virus Alert!”, no había modo de entrar al panel de control, etc….), pero al menos tenía internet sin avisos extraños ni páginas que abrían solas.
8. Buscando, buscando, encontré varias páginas con una forma de restaurar los registros alterados, tales bloqueos son sólo originados por la “adulteración” del registro, por lo que procedí a bajar este archivo indicado (que no es más que un .inf (información de instalaciones) que restaura líneas del registro) y ejecutarlo (botón derecho sobre el archivo y click en “Instalar”. Para descargarlo, click en el vínculo y luego click en “Request Ticket“).
9. El asunto del mensaje al lado de la hora, no es más que el reemplazo de los segundos por una frase. Es necesario cambiar los valores de “configuración regional” en la parte de la hora: Ejecutar intl.cpl (Inicio > Ejecutar > intl.cpl ) y allí entrar en “Personalizar“, luego click arriba en “hora” y el “formato de hora” debería ser del tipo “hh:mm:ss“, o sea, se reemplaza el “Virus Alert!” por “ss” (viene predeterminado el formato). Simple…… (ya me parecían familiares los dos puntos antes del mensaje….).
Haber encontrado la página antes evitaba todo el camino recorrido, pero me queda la satisfacción de haber encontrado la pifia sin internet, jejeje…..
Spybot – Search & Destroy se encargó de detectar registros del malware que yo no pude detectar, así que fue un buen aliado.
Si alguien tuviera el mismo problema, espero le sirva esta información.
Saludos.
(Ya Amelia Herrera, puedes usar tu pc tranquila, lo que es yo, me voy a una pausa a soñar con conejillas….)
pobre Amelia…la desafueran y ahora la tratan de boicotear con bichos raros en el pc. Que mejor no se dedique a la política…
mmmmm uno de los grandes males de internet, ademas del explorer de microsoft y de los emoticones.
Ad-Aware es siempre una buena solución. Si no funciona format c:
Buen articulo Jorge.
A mi me paso exactamente lo mismo,solo que hay que agregarle que no puedo ir a inicio ejecutar porque no figura.Voy aptrobar a ver que onda.
GENIO GENIO GENIO GOOOOOOOOLLLLLLLLLLL!!!!!!De que planeta vinistes para dejar atras a tanto malware….jeje
Te cuento que solucione parte del problema.Baje el arhivo del paso 8 y lo instale ,despues de reiniciar …….guala,aparecio de nuevo en inicio el panel de control y ejecutar .Tambien las unidades C y D (porque tengo 2 particiones jeje).Luego fui a ejecutar y intl.cpl hice lo que dijistes y saque el cartel de Virus Alert! .Voy a pasarle el Spybot ,a ver que onda despues te cuento.
QUE ALEGRIA QUE ALEGRIA OLE OLE OLAAA VAMOS FLACO TODAVIA ESTAS PARA GANAR…….
Pase el karspersky y elimino los malditos virus desaparecio el cartel que decia “PROGRAMA ANTIVIRUS” al lado de la hora,hice una pasada de refuerzo con el spybot y el equipo anda pipi kuku.GRACIAS HERMANO.
[...] que buscando, llegue a este blog. Me hizo gracia ver como el tambien habia usado la fuerza bruta para cargarse el malware, y me daba [...]
Tuve el mismo problema, lo arregle todo a mano al principio, y despues buscando como restaurar lo de C:/ y Panel de control, llegue aqui. jajaja
Te envie trackback desde mi blog, y te cite alli.
Gracias por el archivito ese.
@Divina Papaya:
Creí que era el único ser extraño que se dedica a solucionar sus problemas informáticos por cuenta propia, sin necesidad de contratar o incomodar a algún amigo informático-geek-experto!
Hay otros pasos que no expliqué por una cuestión de tiempo (además que es posible encontrar la respuesta en google), como por ejemplo que no tienes acceso a propiedades de pantalla: escritorio, apariencia, etcccccc…..
Ese asunto se resuelve con “regedit”:
HKEY_CURRENT_USER\Software\Microsoft\Windows\…(SIGUE ABAJO)
…CurrentVersion\Policies\Explorer
Acá aparecen unas cadenas que dicen relación con restricciones de pantalla (no me salen en este pc, así que google debe saber con exactitud). El asunto es convertir unos en ceros.
Es conveniente revisar cada cierto tiempo con el editor de registro (parte de la fuerza bruta que corre por las venas! hahaha!) , las “carpetas” “Run” de Windows/CurrentVersion (de LocalMachine o CurrentUser), y ver si existe algún elemento que sea desconocido. Eso sí, todo lo realizado dentro del registro, es de responsabilidad del usuario, borrar registros puede acabar con el funcionamiento óptimo del sistema.
Todo lo anterior no sería necesario si no fuera por Microsoft y su estupendo sistema operativo (estoy siendo irónico… jejeje….). Por eso, get a Mac!!
Saludos desde Chile.
Muchas gracias, llegue a casa e hice el paso que te robe. ya estamos listos de nuevo para el siguiente ataque, a ver quien es el espabilado que se atreve a meterse en mi ordenador ahora.. jajaja
Te voy a agregar al blogroll, porque llevo casi 1 hora dando vueltas por el, y quiero ver mas mas MAS!
xD
Un saludo desde Nueva Zelanda.
Siento comentar tantas veces seguidas, pero tengo otro problema, y en este no encuentro un camino hacia su solucion.
Lo relato en este post:
http://serezombie.wordpress.com/2008/07/04/i-need-help/
Si te pasas y me puedes ayudar, te estaria muy agradecido.
Oye, muchas gracias por el aporte, ahora si ya pudimos eliminar a ese molestoso malware.
@A LOS CIENTOS DE VISITANTES DIARIOS: SI RESOLVIERON SU PROBLEMA, SERÍA BUENO SABER SI LES SIRVIÓ LA SOLUCIÓN DEJANDO UN COMENTARIO…
Siiii, me sirvio de mucho… a decir verad ya yo habia hecho ciertos arreglos en el gpedit.msc pero habian cosas que me faltaban… no se si al final habré ya borrado todos los archivos malos pero debo haberlo hecho entre los que elimine manualmente y los usos que le di a SpyBot Search & Destroy, Avast, NOD32, TuneUp Utilities, Ad-Aware, XP Repair Pro, Registry Repair, Spy Remover, UnHack Me, Spyware Terminator y CCleaner…
yO LO SABIA!! PERO NO QUERIA COMPARTIRLO!! CUAK!!!
Gracias por la info!!!
uy de verdad que pasada yo que intente por todos los medios reparar esta shift de pc hasta que encontre este sitio gracias de verdad colega me funciono ala perfeccion , mis respetos ….
excelente t pasaste compadre!!! gracias x tu ayuda.
tngo un problema con este maldito mal-ware, cuando quiero instalar el bendito fs-avfix.inf el mensaje “instalation error” , por lo que no puedo restaurar los registros… que hago? :’(
muchisimas gracias, problema solucionado, lo unico que tuve que solucionar de otro lado fue el tema del wga (windows genuine adventage) baje un programita de tariga para que me reconozca el id de windows
dejo el link:
http://www.taringa.net/posts/downloads/1209732/AiO-Activa-Windows-XP-con-Serial-de-Oro-y-nuevo-WGA-v1_7_69_.html
por ultimo, baje el sybot search & destroy, pero cuando quiero ejecutarlo no lo puedo hacer, el mismo problema tengo con el hijackthis, no lo puedo ejecutar, y quisiera saber si esto se debe a que el virus todavia dejo algunas secuelas, o es solo un problema del ejecutable.
desde ya, muchas gracias. Leonardo
de verdad muchas gracias ya daba por formatear mi pc y encontre tu solucion no me queda mas que darte las gracias asi que adios troyanos de mmm…………….
Sólo una pregnta: Está mal ejecutar primero el SPYBOT en vez de eliminar cada dll? (No sé cómo hacerlo; ¿podría alguien escribir el comando entero para ejecutar en el cdm?)
@Joaquín: Está bien ejecutar el Spybot antes o después, es invariable el orden. Lo que está mal es llegar y eliminar “físicamente” archivos .dll que estén en el registro sin previamente eliminarlos del mismo registro. Los pasos a seguir son:
1. Ir a Inicio>Ejecutar
2. Escribir “cmd”. Esto abre la ventana del D.O.S.
3. Ubicar la ruta del archivo .dll que se desee eliminar, usando el comando “CD”. Por ejemplo, al ejecutar “cmd” queda por defecto en el directorio “C:\Documents and Settings\User>”, entonces, si se quiere ir a la carpeta “Windows”, entonces el comando sería: “cd c:\windows”. El prompt queda en “C:\WINDOWS>”
4. Conocer el nombre la biblioteca a eliminar y proceder a borrarlo del registro con el comando “regsvr32 -u”. Así, el comando a utilizar es “regsvr32 -u [archivo].dll”.
5. Después de eliminarlo del registro, se procede a borrar el archivo, ya sea con el comando “del [archivo].dll” o desde Windows.
Comenta cómo te fue con la desvinculación del registro.
Saludos.
Impecable tu articulo me fue de excelente ayuda.
Impeca Gracias
No yo ejecute el spybot primero y despues realice todo lo que esta en esta pagina y funciona.
Pero igual le pase unos cuantos antispyware, antivirus
@Hugo;
@Carlos;
@rodrigovagoneta;
@Claudio;
@Divina Papaya;
@Franklin;
@Sebastian;
@severopersonaje;
@David;
@Leonardo;
@dasago19;
@joaquin artes+;
@Jorge R:
Espero haberlos ayudado. Gracias por los comentarios!
tengo ese mismo problema, pero no se como conocer la ruta para eliminar lo dll
sos un groso, sabelo!! acabo de limpiar mi compu con todo eso! Gracias
Hola soi español y se me metio este malware en mi ordenador la verdad es que soi un poco inutil con esto de los ordenadores.
He conseguidoborrar casi todo el virus este de virus alert! pero todavia lo que me pasa es que no me deja entrar en muchas paginas webs y todavia me saltan anuncios publicitarios pero solo cuando estoi navegando en internet.Si me pudieras ayudar un poco mas detenidamente si sabes como arreglar eso te lo agradeceria mucho.
Te dejo mi msn por si me puedes ayudar firos11@hotmail.com .
Te agradeceria mucho que me ayudaras.
Un saludo y gracias de antemano
Hola, en realidad me sirvio mucho ya puedo abrir el administrador de tareas, quite el molesto Virus alert y los pop up… sin embargo, en inicio no me salen algunas cosas bueno siendo espesifico no me sale Todos los programas, cerrar secion y los discos duros…
(no se si sea por esto mismo pero la conex me esta llendo muy lenta)…
bueno en realidad me gustaria que me ayudaras
mira te dejo una imagen
http://i47.servimg.com/u/f47/12/37/49/02/dibujo10.jpg
hola eres un genio compadre pero oye yo tengo un su per problemon con este pinche Malware respalde mi informacion en un disco duro externo, y al momento que me cayo el virus mediante ms-dos copie los ultimos archivos que modifique en mi pc a mi respaldo y mi respaldo no me quiere abrir la carpeta me dice que esta inaccesible o dañada y ademas en la unica carpeta que incluia en el nombre windows dentro del directorio raiz de mi disco duro de respaldo me creo unos archivos con nombres en ruso o una madre asi unos que tienen puros cuadritos y signos de interrogacion y cosas asi alguien me puede ayudar??? como recupero mi informacion.
de antemano muchas gracias por todo.
pgsam@hotmail.com
Estimado Jorge:
Muchísimas gracias por esta guía, me ha servido para intentar sacar este maldito software de mi computadora.
He dado vueltas por varias paginas que desgraciadamente no me han brindado nada útil o me ofrecían opciones pagas, y eso gracias al bendito FIREFOX, ya que el MIERDEXPLORER también se me ha bloqueado.
De nuevo, muchísimas gracias por tu aporte
JORGE SI TE TUVIERA CERCA TE DOY UN BESO (OJO NO SOY GAY) SOLO ES JODIENDO PERO CHAMO ERES UN GENIOOOO YO ELIMINE LOS MALDITOS ARCHIVOS CON LA FUERZA BRUTA Y TIRANDO FLECHAS PERO EL PROBLEMA SEGUIA LE PASE EL NOD32, EL KARPERSKI, AVG, AVAST, SPYWARE TERMINATOR, PERO NINGUNO ENCONTRO NADA PERO EL SPYBOT SE ENCARGO DE TODO GRAXXXXX SALUDOS
Despues de eliminar VIRUS ALERT! en INICIO no me salian TODOS LOS PROGRAMAS y tampoco CERRAR SESION y algunos otros problemas. En MI PC, no aparecían las unidades C: y D:
Al crear un nuevo usuario-administrador aparecieron todas las opciones.
Hermano muy bueno su aporte, a mi me paso lo mismo, pero todavia quedaron unas secuelas de esa cosa…por ejemplo el Id del producto, ahora como le hago para cambiarle eso…??? gracias
Hola jorge, Fuera de joda, estoy dispuesto a cruzar la cordillera caminando sobre mis rodillas para agradecerte lo que has posteado. Estuve 2 y media hs viendo como lograr sacar el puto bicho de mi pc hasta que di con tu pagina. En 10 minutos ya tenia todo andnaod de vuelta. Muchisimas gracias
Gracias Amelia Herrera, por tu colaboracion se que me servira gracias
Yo tuve el problema del Virus Alert, pero lo solucioné mas facil.
Entré en modo a prueba de fallos, ahi me dio la opcion de entrar como administrador (otra cuenta de administrador que se muestra solo a prueba de fallos)
Una vez ahi me dio acceso a todos los menus de inicio y restauré el sistema a un punto anterior.
Y listo!!!!!!
Reinicio como si no hubiera pasado nada
Suerte y ojala les sirva (a mi me recontra sirvió)
GRACIAS HERMANO, AHORA SOLO QUEDA RESOLVER COMO CARAMBAS HAGO QUE APAREZCA DE NUEVO MI UNIDAD DE DVD QUE DESAPARECIO…SABRAS ALGO SOBRE ESTO?
Gracias maestro, me ayudaste a sarcar esa mierda!! por personas como usted vale la pena vivir!!!!
Gracias t agradesco tu ayuda es importante estos aportes para muchos
Algo extra yo lo kite con una aplicacion llamada (SmitfraudFix) este es muy bueno y con el archivito k ns proporcionaste (fs-avfix) con eso regreso la unidad c: y la opcion todos los programas
y felices todos! =)
Hola tengo el mismo problema pero no encuentro dichos archivos ya los busque y nada, no se cual es la ruta, tengo el super antispyware, porfa echame la mano
Wow..¡¡
ERes un genio.¡¡
Tengo ese mismisimo Problema
y ya lo estoy resolviendo deberas
muchas Gracias¡¡¡
hola, gracias hombre cre que me va a salvar de formatear el PC, la tonta de mi hermana estaba disque decargando musica y cuando cogi el PC tarannn, virus incorporado, gracias hombre
imcreible problema resuelto…..yo que habio perdido la fe…..
Buenas. Muchas gracias por tu ayuda, he conseguido solucionar la mayoria de los problemas a excepcion de los mensajes molesto por parte de windows y del panda.
Llevo 3 horas delante del pc intentando solucionarlo pero no lo consigo y estoy algo frustrado.
En la carpeta de Windows no encuentro ningun dll y ningun exe de los que hablas. Antes le comentaste a uno de los que dejo su gratitud que lo erroneo seria borrarlos (los dll y los exe) sin quitar antes del registro y no se que más.
Antes de hacer todo lo que recomiendas en tu tutorial pase el Ad-ware y no se si el adware los elimina sin solucionar el problema.
Otra de las dudas que tengo es si debor(despues de haber pasado el spy bot) darle a permitir cambios en el registro que me sale por parte de este programa cada dos por tres y por mucho que clique me sale otro cambio.
Agradezco todo la ayuda que me has prestado con este tutorial y espero que puedas ayudarme con lo que te acabo de comentar.
Muchas gracias de nuevo.
gracias parce e solucionado esto q me estaba rompiendo las bolas mil gracias
Muchísimas gracias,
Na había podido quitar el mensaje del VIRUS ALERT! en la hora y gracias a tí lo he conseguido.
He leído mucho en Internet para solucionar este problema y de todos los foros, ésta aportación ha sido sin duda la que está mejor escrita, documentada y explicada.
Con aportaciones como éstas Internet gana en calidad de información.
@Cholb:
Ni te imaginas el montón de soluciones simples que uno puede hacer cuando el pc tiene problemas. A partir de estas soluciones simples, las grandes compañías de software diseñas programas pesados y costosos, y que al final no son más que secuencias sencillas, pero que no las dan a conocer, obviamente porque allí tienen su nicho de negocio!
Gracias por tu comentario, ayuda a que pueda seguir compartiendo lo que me suceda en el computador y que sé que a más de alguno le servirá. Siempre y cuando sea algo de calidad, como tú indicas.
Saludos desde Chile!
[...] tiempo a esta parte, en la proliferación masiva de virus, códigos maliciosos, programas spyware, Virus Alert!, etc., que utilizan este archivo como base para autoejecutarse, normalmente a causa de [...]