Virus rundll32.EXE, dllhost.EXE, wmplayer.exe

Cerrado
DEOS - 13 ago 2009 a las 02:54
 chavez - 11 may 2013 a las 03:13
Hola,
TENGO UN PROBLEMA CON ESTOS TRES VIRUS QUE ME APARECEN EN EL COMPUTADOR RUNDLL32.EXE, DLLHOST.EXE, WMPLAYER.EXE, ESTOS VIRUS ME HAN DESABILITADO EL PROCESO DE PROTECCION CONTRA VIRUS EN MI PC, COMO PUEDO ELIMINARLOS YA QUE SE COPIAN A LAS MEMORIAS USB, Y NO LO ENCUENTRO EN EL PC PARA PODER ELIMIRNARLOS, MI PC TIENE WINDOWS VISTA Y DESDE Q SE COPIO ESTE VIRUS ME APARECE UNA VENTANA CADA VEZ QUE ENCIENDO LA PC DE QUE EL PROCESO DE HOST RUNDLL32 SE HA DESABILITADO Y OTRAS VENTANAS PARECIDAS, AGRADECERIA LA PERSONA QUE SEPA ACERCA DEL TEMA Y ME PUEDA COLABORAR ENSEÑANDOME COMO PUEDO ELIMINARLOS SIN NECESIDAD DE FORMATEAR, Y COMO VOLVER A HABILITAR EL HOST.
Consulta también:

6 respuestas

DIABEUX Mensajes enviados 523 Fecha de inscripción miércoles, 26 de agosto de 2009 Estatus Miembro Última intervención jueves, 12 de marzo de 2015 1.991
13 sep 2009 a las 10:01
ESO ESTA FACIL DESCARGA EL ANTIMALWARE BITES Y SPYWARE FREE DE LA PAGINA FOROS SPYWARE INSTALALOS REINICIA TU MAQUINA EN MODO SEGURO (F8) CORRE LOS DOS PROGRAMAS ESPERA QUE TERMINEN Y ELIMINA LOS VIRUS QUE TE DETECTEN OJO NO REINICIES HASTA QUE NO TERMINEN LOS DOS PROGRAMAS, AVISAME SI TE FUNCIONO.
3
Alucard1 Mensajes enviados 1 Fecha de inscripción lunes, 12 de enero de 2009 Estatus Miembro Última intervención jueves, 13 de agosto de 2009 2
13 ago 2009 a las 03:28
bueno fijate que a mi me ha servido este nose si a vos te pueda servir espro que si solo hace esto:

yo doy mantenimiento de PC y este archivo me ha servido de mucho para eliminar virus que son bastante complicados de quitar.

primero abri un un bloc de notas y pegas todo esto tal cual como esta:

on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_
"a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
"80*.com","semo*.exe","autorun*.*","x*.exe","yl*.exe","qd*.cmd")


Set geekside=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives


Wscript.Echo "Software provisto por MyGeekSide.com para la eliminación del software malicioso amvo, avpo, n1detect y variantes"
Wscript.Echo "El proceso de búsqueda y eliminación puede tardar algunos segundos. Sea paciente por favor."


i=0
For Each objDrive in colDrives
If objDrive.IsReady = True Then
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close
End If
Next


Set objRegex = new RegExp

objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)



i=0
For Each element In colRegexMatches1
element = Replace(element,"=","")
WScript.Echo "Procediendo a borrar archivo de virus :" & element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Limpiar unidad: " & objDrive.DriveLetter

nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)

nret=geekside.Run("cmd /C taskkill /f /im kavo.exe",0,TRUE)

nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)

nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)

End If
Next
i = i + 1
Next


Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing

nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)


nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)


nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)


nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)


nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)

nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)

nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v kava /f",0,TRUE)


WScript.Echo "Se procederá a resturar el registro de sistema para poder ver los archivos Ocultos"

nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)



nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)


nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)


nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)


nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)


nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)


nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)


For Each objDrive in colDrives
If objDrive.IsReady = True Then
For X=0 to UBound(Lista)
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
Next
End If
Next

WScript.Echo "Felicidades! Su PC está desinfectada del virus amvo y sus variantes"
WScript.Echo "www.mygeekside.com"


WScript. Quit(0)


Luego tienes que guardarlo en cualquier parte de tu PC bajo el nombre de:


mata_virus_amvo

despues de haber hecho todo esto solo se te comvertira en un archivo que es parte de MS-DOS
y la orden que le das es la busca de virus en tu PC y una ves hecho esto los eliminas los archivos que estan ocultos por el sistema solo trata de no borar los archivos que tienen estos nombres:

NTDETECT.COM
AUTOEXEC.BAT
boot.ini entre otros que son archivos que hacen que tu sistema operativo funcione y te aparezca las primeras imagenes cuando encientes tu PC y carga el sistema.

unas ves te pararezcan los archivos ocultos
solo tienes que volver a ocultarlos en mi PC + Herramientas + Opciones de Carpeta + Ver Luego;
activar "No mostrar archivos ni carpetas ocultos" +
"Ocultar orchivos protegidos del sistema (Recomendado)" +
"Ocultar extensiones de archivos para tipos de archivos conocidos".
Luego "Aplicar" y "Aceptar"

y se ocultaran todos los archivos cultos por el sistema operativo.

Espero que te sirva sino solo te protegera de virus que se adhieren a tu Memoria USB.
1
hey Alucard1 gracias por la informacion que me pasate pondre en practica todo el documento que pusiste en el foro gracias por responder a mi problema con una gran solucion.
0
ghost-scorpion
24 nov 2009 a las 21:55
hola amigo he hecho todo el preceso que has proporcionado para
el virus dllhost.exe
pero no se executa correctamente
bueno no se si sera el sistema de windows vista que tengo
que podre hacer
me podrias ayudar amigo.
0
Buenas, emm,t comento q yo no lo tengo en el disco C al sistema sino en el E,a ver si m podrias tirar la data,y con q extension se guardaria el bloc d notas? .bat?
0
como puedo agregar a tu codigo attrib -s -r -h /s /d para que lo ejecute en todas las unidades usb conetadas para poder visualizar los nuestros archivos y carpetas que los virus ocultan
0
muxas gracias dedes españa me ha funcionado ala primera
0
rundll32.exe no es un virus es el proceso que se activa cuando abres un programa de tu windows osea por ejemplo la papelera, mi pc, panel de control, mis documentos etc: siempre que abras alguna de esas operaciones aparecerá el proceso rundll32.exe que es el que permite funcionar el windows para que pruebes que es verdad lo que le estoy diciendo ve a esta ruta ( INICIO\MI PC\DISCO LOCAL C\WINDOWS\SITEM 32\RUNDLL32.EXE ) sacas una copia del archivo rundll32.exe y guardas la copia en los documentos luego eliminas el archivo rundll32.exe y reinicias tu computador y cuando aparezca el escritorio intenta abrir algún programa de windows como la pc o la papelera de reciclaje y te va a aparecer un mensaje que dice (no se puede realizar la opción porque falta el archivo rundll32.exe, esto es para que compruebes que es un archivo importante para windows y no un virus luego lo que tienes que hacer es restaurar el archivo de la papelera de reciclaje o tomar la copia que guardaste y llevarla a sistem 32, Bueno por otro lado el proseso dllhost.exe si es un virus es un programa espía que se ubica en sistem 32 lo que tienes que hacer es ir a la ruta de sistem 32 y encontrar estos archivos dllhost.exe y cambiarles el nombre, para que se dejen cambiar el nombre debes primero terminar los procesos dllhost.exe que están en el administrador de tareas y con esto se soluciona el problema, en cuanto al otro proceso que mencionas (WMPLAYER.EXE) no tengo casi conocimiento de el pero parece que se tratara de algún juego que descargaste y que se inicia cuando inicias windows bueno espero verles ayudado SALUDOS
1
Hola,
TENGO UN PROBLEMA CON ESTOS TRES VIRUS QUE ME APARECEN EN EL COMPUTADOR RUNDLL32.EXE, DLLHOST.EXE, WMPLAYER.EXE, ESTOS VIRUS ME HAN DESABILITADO EL PROCESO DE PROTECCION CONTRA VIRUS EN MI PC, COMO PUEDO ELIMINARLOS YA QUE SE COPIAN A LAS MEMORIAS USB, Y NO LO ENCUENTRO EN EL PC PARA PODER ELIMIRNARLOS, MI PC TIENE WINDOWS VISTA Y DESDE Q SE COPIO ESTE VIRUS ME APARECE UNA VENTANA CADA VEZ QUE ENCIENDO LA PC DE QUE EL PROCESO DE HOST RUNDLL32 SE HA DESABILITADO Y OTRAS VENTANAS PARECIDAS, AGRADECERIA LA PERSONA QUE SEPA ACERCA DEL TEMA Y ME PUEDA COLABORAR ENSEÑANDOME COMO PUEDO ELIMINARLOS SIN NECESIDAD DE FORMATEAR, Y COMO VOLVER A HABILITAR EL HOST. NO CUENTO CON UNA CONEXION A INTERNET.
0

¿No encontraste la respuesta que buscabas?

Haz una pregunta
hey informame si te sirvió el material que publique y ya sabes, calquier cosa solo me avisas, espero tu respuesta.
0
RUNDLL32.EXE, DLLHOST.EXE, WMPLAYER.EXE nos on virus fueron infectados por uno je formateala
0