Desesperado con un virus llamado "exgmrgml.exe"

Question

Desesperado con un virus llamado "exgmrgml.exe"

Dantares 27 feb 2008 08:51

Dreamer de por vida

1.296 mensajes
desde jul 2003
en Flagard

Página web de Dantares Gamertag: Sir Dantares PSN ID: Dantares Steam ID: sir_dantares

Hola, pues cada día el Nod32 me bloquea ataques de este virus/troyano (no sé lo que es) y cada vez que me ataca, cambia de numeración, es decir, XexgmrgmlX.exe, dónde las X = a un número aleatorio. El caso es que también me sale uan dirección cuando Nod32 bloquea el ataque:

Nod32 escribió:"27/02/2008 7:36:00 HTTP filter file [url]http://rel.statadd.com/d/gmrgml19.exe Win32/Medbot.IT[/url] trojan connection terminated - quarantined Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe."

Además le he pasado el SpyBot, el Bit Defender Online, y no encuentro nada.

¿Alguna ayuda? Thanks.

Un saludo!

7 respuestas

Answer 1 · 2008-02-27T07:30:41+00:00

Yo arrancaría a prueba de fallos y pasaría el antivirus, me da a mi que te esta bloqueando una conexión que se inicia desde tu ordenador.

Answer 2 · 2008-02-27T18:25:38+00:00

Orbatos_II escribió:Yo arrancaría a prueba de fallos y pasaría el antivirus, me da a mi que te esta bloqueando una conexión que se inicia desde tu ordenador.

No puedo arrancar en modo a prueba de fallos, porque tengo el Daemon Tools, y su por culero "SPTD.sys".

Un saludo!

Answer 3 · 2008-02-27T20:34:18+00:00

Neostradamus 27 feb 2008 22:34

Adicto

206 mensajes
desde may 2001
en barakaldo

Página web de Neostradamus

Prueba con un análisis de NanoScan a ver que te sale.

un saludo,

Answer 4 · 2008-02-27T22:02:29+00:00

1 - Ejecuta el regedit y en:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

eliminas la entrada devenv . La entrada contiene lo siguiente: C:\WINDOWS\system\smvss.exe /w

2 - Reinicias en modo a prueba de fallos y eleminas todos los archivos exe que tengas en la carpeta Temp (está en Documentos and settings\nombre de ususario) y eliminas también el archivo
c:\windows\system\smvss.exe.

3 - Reinicias.

Más o menos es lo que he encontrado en google. Los archivos ejecutables en Temp son del mismo tipo, osea números aleatorios al principio y al final del nombre.

Imagen

salu2

Answer 5 · 2008-02-27T23:13:48+00:00

Muchas gracias Barracuda, he hecho lo que pusistes, y de momento no ha vuelto a dar señales.

Veremos como transcurre.

Gracias a todos! [bye]

Answer 6 · 2008-02-28T11:50:45+00:00

Me alegro. Si vuelve a surgir el problema seguro que se trata de un programa que tienes instalado y que es el responsable de la instalación del troyano.

Por lo que he leido está relacionado con el emule ya que uno de los archivos que aloja en Temp tiene mucha info que hace referencia a la red emule. Y en dos casos parece que el problema surge tras instalar un mod del emule seguramente infectado.

salu2

Answer 7 · 2008-02-28T20:19:01+00:00

Umm.. un mod. No tengo ningún mod para el emule, lo mismo me viene por otro lado. Bueno, da igual, desde que hice lo que me indicastes, no he vuelto a tener ningún intenti de intrusión.

Un saludo! ;-)