no puedo entrar ni siquiera en modo a prueba de fallos

Responder
larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

no puedo entrar ni siquiera en modo a prueba de fallos

Mensaje por larryoakley » 27 Ago 2007, 16:20

Hola, les cuento que mi computador (XP professional SP2) tiene un virus que no me permite entrar ni siquiera en modo a prueba de fallos, ya que nunca llega a mostrarme la barra de tareas ni los iconos de mi escritorio.



Para mi seria sencillo volver a formatear esa partición (eliminandola y creandola de nuevo para mas seguridad) pero el punto es que tengo unos archivos en esa partición que quiero recuperarlos antes de hacer cualquier formateo.



He intentado entrar a traves del modo de reparacion, “booteando” desde el CD de instalacion de Windows XP pero aun cuando llego al prompt C:\Windows, no puedo cambiarme de directorio para poder hacer lo que les comente arriba.



La pregunta es: existe una forma de arrancar el equipo desde un CD para intentar limpiar el virus o por lo menos transferir los archivos que me interesan? Donde lo puedo conseguir?

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 27 Ago 2007, 18:34

ahh Otra cosa,,, ya he intentado reinstalando windows sin tener que perder mis carpetas/directorios pero el virus continua

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 27 Ago 2007, 18:40

Antes de empezar a investigar, pruebe el ELIBAGLA, pues el Bagle es un virus que, entre otras cosas, impide arrancar en modo seguro





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 27-08-2007

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 27 Ago 2007, 20:39

Disculpen, pero como les comentaba en el titulo de mi mensaje inicial, no tengo forma de entrarle ni al windows ni a una pantalla de comando a fin de poder ejecutar el ELIBAGLA y asi obtener el contenido de C:\infosat.txt, por lo que quisiera saber de que forma se podria entrar sin que el virus se active mas alla de los metodos que he mencionado en mi mensaje original

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 27 Ago 2007, 20:47

Al indicar que no podia arrancar en modo seguro, se pensó en el Bagle.



Si no puede arrancar de nungun modo, tendrá que REPARAR; pero no dandole a la R en cuanto arranmca con el CD de instalacion, sino procediendo como si fuera a instalar, y una vez detecte la particion instalada, entonces le pregunta si quiere Reparar o reinstalar y es aqui donde se debe escoger REPARAR para no perder las aplicaciones inmstaladas.



Tras ello finalice con un windowsupdate



saludos



ms, 27-08-2007

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 27 Ago 2007, 21:04

creo recordar que eso tambien lo he intentado y luego de casi 40 minutos que se toma el proceso de reinstalacion, igualmete el windows despues de reiniciar solo alcanza a verse el wallpaper/papel tapiz (sin iconos del escritorio ni barra de herramientas-tareas), pero por otro lado me llama la atencion ver en la lista de procesos activos (presionando control+alt+suprimir) un proceso sin identificar el cual ocupa el 99% del uso del CPU, por lo que asumo es el virus tomando control total sobre las operaciones



Existe la forma de crear un CD de arranque limpio donde pueda llegarle al disco C: de mi computador sin tener que pasar por windows y asi poder ejecutar cualquier aplicacion para detectar o limpiar el virus??

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 27 Ago 2007, 21:31

No será la posicion que dice PROCESO INACTIVO DEL SISTEMA ???, poque si es así es lo que debe ser, que tiene libre el 99 %, ideal para poder procesar lo que se quiera...



Si en cambio es el SVCHOST , que es el lanzador de tareas de windows, entonces vea lo que se indicó al respecto en su día:







Y lo que pide de un CD que le permita acceder a su ordenador, justamente el de instalacion hace esto, entrando en consola de recuperaicon, pero en entorno DOS, pero no puede ejecutar cualquier aplicacion... ello lo puede conseguir facilmente colocando el disco duro de este ordenador como esclavo de otro con similar sistema, y arrancando con el MASTER podrá acceder al SLAVE, escanearlo, ejecutar programas y demas



Pruebe una ultima cosa, sin tocar el disco duro de como estaba al principio, arrancar en modo seguro con simbolo de sistema, y desde opciones de comandos ejecutar el ELISTARA y tras ello reincie normal y nos cuenta el resultado, gracias



saludos



ms, 27-08-2007

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 27 Ago 2007, 21:37

ok, voy a probar hoy cuando regrese a casa y les cuento luego

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 11:52

Pues ya llevamos 15 horas... no sé cuando regresa a casa, pero vamos, que ya va siendo hora :wink:



Ya nos contará



saludos



ms, 28-08-2007

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 28 Ago 2007, 13:36

:lol: :lol: :lol: Disculpen la tardanza, solo que tuve algunos inconvenientes y no fue sino hasta ahora que les pude responder.



Les cuento que afortunadamente pude ejecutar el modo a prueba de fallos y llegar al prompt C:\ tanto para poder copiar los archivos que no queria perder como para poder ejecutar el ELISTARA, este ultimo logro conseguir varios archivos infectados y procedio a eliminarlos. ahora si puedo entrar a windows sin que se bloquee el sistema, sin embargo, luego de estar un rato revisando mis cosas, el norton comenzo a darme alertas automaticas sobre algunos archivos con virus como por ejemplo:



W32.VIRUT!DAM en el archivo DLLHOST.EXE

DOWNLOADER en el archivo 1.EXE

SecurityRiskOn en el archivo NNX22011.exe



y cuando trataba de reiniciar siempre se me decia que el archivo 3.EXE no podia ser cerrado, por otro lado, si yo trataba de ejecutar alguna aplicacion dentro del panel de control (como por ejemplo la de Modificar o Eliminar Software) simplemente no hacia nada.



Aca les dejo el contenido del archivo InfoSat.txt para ver que me dicen





Mon Aug 27 18:56:02 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\OSSMTP.DLL --> Eliminado Motor.OSSMTP(smtp)

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\retadpu21.exe 61A847B5BBF72810338B2B27128065E9C084320161C4661227A755E9C2933154389A"

Eliminada Class, "{0A1C811C-88FF-493B-98A9-83B4A649ACD9}" -> C:\WINDOWS\system32\OSSMTP.dll

Eliminada Class, "{A71C9F09-FD16-4EFD-A939-A7157371B850}" -> C:\WINDOWS\system32\OSSMTP.dll

Eliminada Class, "{BB81FA79-DCD7-48A6-A710-A85BD5ED9640}" -> C:\WINDOWS\system32\OSSMTP.dll

Eliminada Class, "{C2A3FF36-C3A5-4334-968C-1DEA85AAA772}" -> C:\WINDOWS\system32\OSSMTP.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Aug 27 18:56:57 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Motorola Phone Tools\CCM.DLL --> Eliminado, MoviePass



Mon Aug 27 19:07:25 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\CHAMBER.DLL --> Eliminado, Puper-Is (BHO)

D:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\ECHO.DLL --> Eliminado, Puper-Is (BHO)

D:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\FLANGER.DLL --> Eliminado, Puper-Is (BHO)

D:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\GRAPHICPHASE.DLL --> Eliminado, Puper-Is (BHO)

D:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\HARDLIMIT.DLL --> Eliminado, Puper-Is (BHO)

D:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\MULTITAP.DLL --> Eliminado, Puper-Is (BHO)

D:\Archivos de programa\Adobe\Adobe Audition 2.0\Plug-ins\NOTCH.DLL --> Eliminado, Puper-Is (BHO)

D:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

D:\Larry\Downloaded\Macromedia.Dreamweaver.v8.0.Incl.Keymaker-ZWT\KEYGEN.EXE --> Eliminado, KeyGen.ZWT

D:\Larry\Downloaded\Macromedia.Flash.Pro.v8.0.Incl.Keymaker-ZWT\KEYGEN.EXE --> Eliminado, KeyGen.ZWT





Gracias !!!

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 28 Ago 2007, 13:44

ahh otro detalle, el ELISTARA me informó que no tenia ciertas actualizaciones del Windows por lo que me recomendaba ejecutar el Windows Update, pero una vez que intentar realizar esto, el windows update estaba extrañamente muy lento y de paso despues de esperar un buen rato, solo me apareció que debia actualizar una aplicación llamada "installer" mas no ninguna de las actualizaciones mencionadas por el ELISTARA

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 14:00

Los parches dejan unas marcas que a veces son borradas por algunas aplicaciones como el RSTRUI, pero no hace ningub daño lanzar un windowsupdate aunque diga que no falta ninguna actualizacion.



El ELISTARA ha hecho limpieza y ya no pide nada, y sumado a lo indicado de que se ha normalizado el comportamiento de windows, entendemos que ya podemos dar el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 28-08-2007

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 28 Ago 2007, 14:06

ahora bien, como puedo resolver el problema de no poder activar ninguna de las aplicaciones dentro del panel de control?? es esto un idicativo de que sigue presente algun otro virus? de ser asi como lo puedo eliminar?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 14:23

Las modificaciones en el registro quedan aunque la aplicacion causante se haya eliminado.



Pruebe si con el ELIRESTR.VBS restaura dicha clave, aunque creo que tambien está en el ELISTARA y ya lo ha pasado (Es la de Policies/Control Panel)



En cualquier caso, pruebelo en modo seguro o desactivanodo su antivirus



Y nos comenta el resultado, gracias



saludos



ms, 28.08-2007

larryoakley
Mensajes: 9
Registrado: 27 Ago 2007, 16:10

Mensaje por larryoakley » 29 Ago 2007, 13:33

:( Les cuento que mis sospechas se hicieron realidad, tal como les venia diciendo, si bien es cierto que con el ELISTARA pude retomar control para poder por lo menos hacer respaldo de los archivos q me interesaba no perder, anoche volvieron a aparecer los sintomas del virus como son la activacion de ventanas de alerta del norton antivirus indicandome sobre el scaneo de un sin fin de e-mails q se estan tratando de enviar, en otras palabras, tal cual los mismos sintomas que empezaron a verse justo antes de que se desatara el desastre en mi equipo.



pues nada... ya procedi a eliminar y crear la particion de nuevo en mi disco duro para asi reinstalar windows desde cero, eso si, definitivamente le perdi la confianza al norton puesto que a pesar de que estaba super actualizado, no pudo detectar y frenar el virus a tiempo, por lo que probaré ahora con mcafee para ver como me va.



Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Ago 2007, 21:51

Recuerde que ningun antivirus conoce los virus mas recientes, y por ello se actualizan a diario, pero a pesar de ello ninguno le puede cubrir al 100 % ...



Si son estos tres los ficheros que se le reproducen:



W32.VIRUT!DAM en el archivo DLLHOST.EXE

DOWNLOADER en el archivo 1.EXE

SecurityRiskOn en el archivo NNX22011.exe



envienoslos para analizar y los controlaremos con nuestras utilidades





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Aparte, pruebe ek ELITRIIP por si su caso fuera virus y no troyanos, y nos cuenta el resultado:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y si ni no detectara nada ni pidiera envio de muestras (si lo hiciera, hagalo de igual forma que hemos indicado antes) posteenos el log del HJT y lo analizaremos, a ber que vemos...



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 29-08-2007



Nota: Y como sea que el Virut es un infector, como a todos los virus de estre tipo debe limpiarse desactivando la restauracion de sistema, arrancando en modo seguro y lanzando el antivirus, que lo detectará y eliminará. Si se quiere, puede arrancarse en modo seguro con funciones de red y lanzar este AV ONLINE: [url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]

Responder

Volver a “Foro Virus - Cuentanos tu problema”