No me deja pegar el log y se abren ventanas solas.

[el_casta]

Buenos dias, llevo unos dias notando que el ordenador va muy lento y se abren ventanas solas.

El problema es que no me deja pegar el resultado del hijackthis. Me da un error diciendo que la conexion ha sido reiniciada.

A alguien le ha pasado esto?

Gracias

[msc hotline sat]

Muchos FAKE AV¡, entre otros, hacen lo que dices.



Empieza por arrancar en MODO SEGURO CON FUNCIONES DE RED (pulsando repetidamente F8 y seleccionando dicha opcion), descarga el ELISTARA y veamos lo que detecta:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, envianos el log generado por el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 14-3-2011

[el_casta]

Bueno pues he descargado el elistar, me ponia que habia eliminado dos archivos y este es el log que me da:

(14-3-2011 14:48:43 (GMT))

EliStartPage v22.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "userinit.exe"

[Userinit actual] = "C:\WINDOWS\SYSTEM32\Userinit.exe,"

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\SSHNAS21.DLL.Muestra EliStartPage v22.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSHNAS21.DLL --> Eliminado

C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job --> Eliminado (Fichero Complementario).

Eliminado Servicio, "SSHNAS"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.



(14-3-2011 14:59:04 (GMT))

EliStartPage v22.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Trend Micro\HijackThis\backups\BACKUP-20100331-094442-279.DLL --> Eliminado, TBConduit(tb)

C:\System Volume Information\_restore{3FD99BBA-8BA1-48FF-9719-46444911820E}\RP222\A0054538.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 5938

Nº Total de Ficheros: 86332

Nº de Ficheros Analizados: 29964

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





Espero noticias.

Gracias.

[flacoroo]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\SSHNAS21.DLL.Muestra EliStartPage v22.79



en la parte de arriba hay un menu, donde dice envio de muestras, por ahi enviala...



dinos tambien si se resolvio tu problema o no?



ya puedes pegar el log de hijackthis

[el_casta]

Pues las ventanas no se abren, pero el log sigo sin poder pegarlo.

Envio lo que me solicitais y espero noticias.

Gracias.

Saludos.

[msc hotline sat]

Pues ademas de faltar el parche contra el Conficker:



No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(lanza un windowsupdate)





y restaurado el HOSTS modificado



Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.



SE ha aparcado el SSHNAS21.DLL y pedido muestra para analizar , que hemos recibido y ha resultado ser un FAKE ALERT RENOS que ya controlamos con el actual ELISTARA 22.80





Descarga dicha nueva version del ELISTARA y posteanos el informe resultante, gracias







saludos



ms, 15-3-2011





NOTA y mira en las noticias lo que vamos a escribir, a continuacion, sobre este bicho, ya que vemos que lo genera un KATUSHA que crea el ALUREON (desde el MBR), que puede haber sido implantado por el worm VBNA





Prueba por tanto ademas el ELIVBNA y lanza el MBRFIX desde la consola de recuperacion (arrancando con el CD de instalacion y pulsando R para acceder a dicha consola)



ms.

[el_casta]

Bueno ya he bajado la nueva version Elistara y ahi va el log:

(15-3-2011 11:47:37 (GMT))

EliStartPage v22.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-3-2011 12:01:26 (GMT))

EliStartPage v22.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\SSHNAS21.DLL.MUESTRA ELISTARTPAGE V22.79 --> Eliminado, FakeAlert.Renos.JZ

C:\System Volume Information\_restore{3FD99BBA-8BA1-48FF-9719-46444911820E}\RP222\A0054537.DLL --> Eliminado, FakeAlert.Renos.JZ



Nº Total de Directorios: 5951

Nº Total de Ficheros: 86693

Nº de Ficheros Analizados: 30155

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(15-3-2011 12:09:07 (GMT))

EliStartPage v22.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 30

Nº Total de Ficheros: 279

Nº de Ficheros Analizados: 40

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Queria comentar que ayer baje el elistara, no es el mismo que he descargado hoy?

Tambien decir que el windows update no me deja hacerlo, lo hago a modo prueba de errores¿?

Gracias.

Un saludo.

[el_casta]

Bueno el tema del parche solucionado, lo he descargado de la pagina de windows.

Gracias.

[lucl]

Las herramientas se actualizan casi todos los dias por eso es necesario mirar siempre de descargarse la ultima version. Si ya has instalado el parche que te faltaba pasa de nuevo elistara y peganos el log a ver si da limpio. Y dinos si ya se soluciono tu problema, saludos.

[msc hotline sat]

Al menos parte del problema ya lo ha resuelto, a ver si tambien lo de las ventanas, gracias a eliminar el Fake Alert Renos:



EliStartPage v22.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\SSHNAS21.DLL.MUESTRA ELISTARTPAGE V22.79 --> Eliminado, FakeAlert.Renos.JZ

C:\System Volume Information\_restore{3FD99BBA-8BA1-48FF-9719-46444911820E}\RP222\A0054537.DLL --> Eliminado, FakeAlert.Renos.JZ





ya nos contarás.



saludos



ms, 16-3-2011

[el_casta]

Bueno, el log del hijackthis sigo sin poder pegarlo... pero de momento no se abren ventanas.

Os dejo el log de elistara:

(16-3-2011 07:35:11 (GMT))

EliStartPage v22.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(16-3-2011 07:55:05 (GMT))

EliStartPage v22.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6027

Nº Total de Ficheros: 88288

Nº de Ficheros Analizados: 30362

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Gracias.

Un Saludo.

[lucl]

Una pregunta, ¿puedes pegar el del elistara y el del hijacthis no? No lo entiendo , comentanos por favor. Gracias, saludos.

[el_casta]

Eso es... pego el elistara y me deja enviar perfectamente, pero cuando pego el de hijackthis y le doy a enviar, me da un error en el navegador. Me dice que la conexion ha sido reiniciada.

Un saludo.

[msc hotline sat]

Y el log del SPROCES ???



porque lo preferimos al del HJT...



saludos



ms, 16-3-2011

[el_casta]

Tampoco puedo enviar el log del sproces.

Un saludo.

[msc hotline sat]

Pues si no puedes hacer un opiar y pegar de su contenido, anexa el fichero al siguiente post de respuesta a este Tema...



saludos



ms, 16-3-2011

[el_casta]

Tampoco puedo.... las ventanas no se abren solas.. pero lo de pegar nada

Un saludo.

[msc hotline sat]

Bueno, algo hemos conseguido... :) !



Pienso que puede seralgun fichero de sistema crrupto o ausente.



Puedes lanzar una REPARACION DE SISTEMA, pero mientras mira de enviarnos el log desde otro ordenador...





saludos



ms, 16-3-2011

[el_casta]

Reparacion del sistema? Como lo hago ?

Gracias.

[msc hotline sat]

Sí, se arranca con el CD de instalacion, se pulsa eNTER como si se fuera a instalar, y al llegar al final detectará la particion instalada y ofrecerá dos opciones, REPARAR o reinstalar, debe escojerse REPARAR, para que sobreescriba los ficheros de sistema y reponga los que faltaran. Tras ello se debe lanzar un windowsupdate para instalar los parches en los nuevos ficheros.



Y tras reiniciar, nos cuentas el resultado, gracias



saludos



ms, 16-3-2011

[el_casta]

Y al reparar, no se borra nada, verdad?

[msc hotline sat]

No, a diferencia de "reinstalar", con lo que crearía otro windows y se perderían las aplicaciones instaladas, la "reparacion" solo sobreescribe los ficheros de sistema, y lo unico que se "pierde" son los parches, que requieren ser instalados de nuevo lanzando un windowsupdate posteriormente.



saludos



ms, 17-3-2011