no puedo cambiar la opción ver archivos ocultos(SOLUCIONADO)

Gramos · Mensaje por **Gramos** » 05 Jun 2007, 07:31

Al regresar del trabajo y conectar la memoria usb el nod32 detectó un virus en una carpeta llamada Recycled. Lo eliminé y al parecer todo bien. Al querer dar doble click sobre la memoria para explorarla, me negó el acceso y solo la pude explorar al usar el menu emergente del mouse. Tratando de buscar la mencionada carpeta quise cambiar al modo ver carpetas ocultas y de sistema y no lo logré. Aparentemente si se cambia pero no muestra los archivos ni carpetas ocultas,

Al querer verificar en el disco duro, me di cuenta que en ninguna carpeta puedo ver las carpetas y archivos ocultos y de sistema además de que el disco duro no lo puedo explorar al dar doble click sobre el ya que me pregunta con que aplicacion lo quiero abrir. Si puedo explorarlo cuando uso el menú emergente del mouse.

Corri el elistara y me pidió lo siguiente

Detectado AUTORUN.INF en la Unidad (#)

open=tel.xls.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

pero no localizo la aplicación.

Por otros temas leídos traté de descargar el elistr 1.9 pero no se descarga (con el antivirus desactivado)

Que me recomiendan hacer?

Mensaje por **msc hotline sat** » 05 Jun 2007, 11:24

Pues vamos a analizar el fichero en cuestion cuando nos lo envies, y posiblemente no lo encuentres por que no lo buscas en el pendrive, quee es donde debe estar... posiblemente en carpetas ocultas y ficheros ocultos...

Y para el ELIRESTR.VBS, no es un EXE para que pueda ejecutarse aun teniendo interceptada la ejecucion de EXES, y justamente la he subido esta madrugada al ver que disponiamos de una nueva version que afectaba a las claves de carpetas (folder options) y he creido que podria interesar a un Tema con problema de acceso a carpetas

Voy a ver si baja bien y te lo digo ...

Al mirar el Tema para el que la habia bajado,

https://foros.zonavirus.com/viewtopic.php?p=100761#100761

me he acordado que algunos antivirus tiene falsos positivos con dicha utilidad, y allí lo he indicado y ahora no me acordaba ! desactiva el antivirus para descargarlo y ejecutarlo, pues dado que modifica las claves que los virus toquetean, muchos antivirus "pican"

saludos

ms, 5-06-2007

Gramos · Mensaje por **Gramos** » 06 Jun 2007, 04:53

Me explico mejor.

Cuando inserto el pendrive aparece la ventana de windows preguntandome que hacer y generalmente la cancelo. por sugerencia en un tema anterior, ahora presiono shift para que no corra el autorun.

Al irme a mi pc y buscar el disco extraible y dar doble click para explorarlo, me sale el aviso de acceso denegado. Solo puedo explorar el pendrive al dar boton derecho y la opción explorar.

Ya en el pendrive trato de cambiar los atributos del drive para ver archivos ocultos y de sistema en las opciones de carpeta y aparentemente los cambia pero no es así... sigue sin mostrarlos... esto lo se porque en la dirección anoto el nombre de la carpeta oculta y si se cambia... la carpeta se llama recycler asi como otra que yo cree y no puedo verla ni cambiando las opciones de carpeta.

Por otro lado tambien en mi pc al dar doble click sobre el disco local, me aparece una ventana preguntandome con que aplicacion deseo abrirla, pero con el boton derecho, nuevamente, si puedo explorar el disco local, pero tampoco puedo cambiar los atributos de ver capetas ocultas y de sistema

Con el virus desactivado (NOD32) trato de bajar la aplicacion vbs que mencionaste, me pregunta si deseo guardarla y le digo que si, le doy la ubicación, la ventana desaparece pero no guarda nada.

Espero haberme explicado mejor

Mensaje por **msc hotline sat** » 06 Jun 2007, 05:16

Te explicas muy bien, y creo haberte entendido desde el principio:

Aqui hay dos cuestiones:

La carpeta Recycler puede tener miga, ya que por su nombre puede ser igual que la papelera de windows, que no es tal carpeta sino una class, en la que lo que entra se procesa diferente, codificado y a titulo de borrado, si bien aparte puede accederse a otra zona de la papelera donde copiarle ficheros como una carpeta, como hacen algunos virus que se esconden allí. Por ello su tratamiento es complejo, no es como una carpeta normal.

Y por otro lado, cabe que tengas modificadas las claves de registro que permiten el acceso a carpetas ocultas, como

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL a CheckedValue 0

como hace el virus http://www.sophos.com/security/analyses/w32vbcyg.html

Por si acaso mira con inicio -> buscar -> en todas las carpetas y ficheros ->

ver si tienes msfun80.exe ???

para obrar en consecuencia

Y la utilidad ELIRESTR.VBS restaura dicha clave, mira de bajarla desde donde puedas y probarla en este equipo, lo unico es mirar de que no incordie el antivirus que usas y no lo impida. Si tienes problemas, hazlo en modo seguro, e incluso puedes mirar de descargarla arrancando en modo seguro con funciones de red

saludos

ms, 6-06-2007

Gramos · Mensaje por **Gramos** » 06 Jun 2007, 07:47

hice la busqueda que dijiste y salio negativa, revise la clave y es exactamente la que anotaste ... checkedvalue 0 ¿es el valor correcto o modificado?

Intentaré bajar en otra máquina la aplicacion y seguir las indicaciones que me das

Mensaje por **msc hotline sat** » 06 Jun 2007, 10:55

Si no existe o tiene valor cero es correcto.

Y ya nos diras si lo puedes descargar de otra maquina y probarlo pero en ambas, desactiva el antivirus para ello !!!

saludos

ms, 6-06-2007

Gramos · Mensaje por **Gramos** » 07 Jun 2007, 16:18

Me encuentro en una de las máquinas de mi trabajo e intenté bajar la utilidad de la siguiente dirección

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

en el primer intento apareció un aviso de ie comentando que no era posible la descarga por estar cerrado el sitio que intentara mas tarde... poco despues volvi a intentarlo y ya no pareció el aviso pero tampoco se grabo la utilidad

El virus estuvo desactivado todo el tiempo

:(

Mensaje por **msc hotline sat** » 07 Jun 2007, 16:24

Lo acabo de probar, descargandolo a un disquete situado en A: y sin problemas, allí ha quedado grabado el ELIRESTR.VBS

Lo he ejecutado y he guardado la imagen que te adjunto a este Tema

saludos

ms, 7-06-2007

Gramos · Mensaje por **Gramos** » 09 Jun 2007, 19:47

Sigo sin poder bajar la aplicacion...intentaré en otros equipos.

El problema con el pendrive se solucionó formateandolo nuevamente y ya me da acceso al dar doble click sobre el icono, pero continuo sin poder ver los archivos ocultos en ninguna de las carpetas de mi disco. Tampoco puedo explorar el disco local al hacer doble click sobre su icono ya que me aparece que aplicación debe usar para abrirlo.

Gracias

Mensaje por **msc hotline sat** » 09 Jun 2007, 21:25

Como no sea con esto, mira si pudieras acceder a un punto de restauracion anterior al problema. Para ello puede probar la utilidad ELRESTRUI que facilita el acceso a la aplicacion de microsoft al respecto:

ELRSTRUI

http://www.zonavirus.com/datos/descargas/258/elrstruiexe.asp

Solo tenga presente que las aplicaciones que haya instalado posteriormente deberá volverlas a instalar, igual que actualizaciones de cualquier tipo.

Y nos comenta el resultado, gracias

saludos

ms, 9-06-2007

Gramos · Mensaje por **Gramos** » 09 Jun 2007, 22:04

Corri nuevamente el elistara y el elitriip y este último detectó el backdoor.q? el cual eliminó

Ya puedo acceder al disco local dando doble click pero aun no puedo cambiar la opción de mostrar archivos y carpetas ocultas

intentaré encontarar un punto de restauración

Gracias

Mensaje por **msc hotline sat** » 09 Jun 2007, 22:06

Algo es algo, pero a ver si lo arreglamos del todo !

saludos

ms, 9-06-2007

Gramos · Mensaje por **Gramos** » 09 Jun 2007, 22:09

:oops: al correr el elitriip y elistara en modo seguro, desactive la restauración del sistema

ahora no tengo puntos de restauración anteriores

Mensaje por **msc hotline sat** » 09 Jun 2007, 22:12

Vuelvelos a activar, desactivan la restauracion, pero no eliminan el acceso una vez normalizado:

Boton derecho sobre MIPC -> Propiedades -> Restaurar -> Activar Restauracion de sistema

saludos

ms, 9-06-2007

Gramos · Mensaje por **Gramos** » 09 Jun 2007, 22:42

estoy seguro que algo pasa en mi ordenador... el sistema de restauración ya esta activado, pero sólo muestra un punto de restauración hoy 9 de junio a las 2:30 de la tarde, que fue cuando lo desactive, todos los puntos de restauración automáticos y creados por mi ya no aparecen, como si hoy hubiese instalado el so

Mensaje por **msc hotline sat** » 10 Jun 2007, 09:34

Sí, habiendo tenido un backdoor, el único que sabe lo que ha hecho el el hacker remoto...

Es lo que tiene no disponer de un buen cortafuegos... por hardware, claro !

En fin, lo unico que podemos hacer entonces es probar el ELIRESTR.VBS, que restaurará una cuantas claves...

No sé si termino descargandolo o no. Si no hubiera podido aun, pruebe de hacerlo arrancando en modo seguro con funciones de red, tanto para descargarlo como para probarlo

saludos

ms, 10-06-2007

Gramos · Mensaje por **Gramos** » 10 Jun 2007, 20:44

siguiendo las indicaciones... en modo seguro pude porfin bajar el elirestr.vbs lo corri y funciono aparentemente bien, tambien desactive la restauracion del sistema. Creo que al programa lo estaba bloqueando un proceso del nod32 que no se puede terminar.

El resultado es que sigo sin poder ver los archivos y carpetas ocultas. Cuando en herramientas--opciones de carpeta--ver cambio la opcion a mostrar archivos ocultos y de sistema y aplicar-- aceptar no cambia y se restaura la opcion ocultar archivos ocultos y de sistema.

Me doy cuenta que no los muestra porque hago una carpeta con atributo de oculto y no me la muestra.

Habrá alguna utilidad que me pueda mostrar los archivos ocultos? la carpeta recycler se encuentra en el disco local, directorio raiz con dos carpetas y dos archivos ocultos pero no puedo "verla"

Mensaje por **msc hotline sat** » 10 Jun 2007, 21:09

Deja estar la de Recycler que no es una carpeta normal sino una class. Sus propiedades y caracteristicas se apartan de lo standar para las funciones que tiene previstas (guardar ficheros borrados de forma especial)

Pero si dices que por ejemplo en el ESCRITORIO creas una carpeta PRUEBAS le pones atributo de oculto y no la puedes ver con un Inicio -> Ejecutar puedes tener una clave modificada que desconocemos quien o qué te la ha alterado y cual es.

Voy a hacer la prueba de lo que te he dicho, para poder seguir con lo que digas despues de que tú lo hagas.

Pues tampoco me la ha encontrado a mi, asi que lo doy por normal en XP, pero voy a ver desde una ventana al DOS con un dir /a...

Efectivamente, desde una ventana al DOS puedes verlos, con dir /a , y si quieres buscar algo en todo el disco duro pues dir \xxx /a /s , siendo xxx el nombre a buscar, sea archivo o carpeta.

Historias del Windows ...

saludos

ms, 10-06-2007

Gramos · Mensaje por **Gramos** » 10 Jun 2007, 22:33

Con dir /a pude ver todos los archivos y carpetas ocultas de cada directorio que probé

Gramos · Mensaje por **Gramos** » 11 Jun 2007, 00:37

probe el antivirus online recomendado y encontro infectado el archivo BackInf.tab con el inf/cacfu o algo asi... no pudo desinfectar y lo borro

Buscando informacion sobre el virus no encontré nada en español pero en una página oriental (no se chino) lei algo sobre un proceso SocksA... te pongo mi Hijakthis para que me digas algo al respecto

Logfile of HijackThis v1.99.1

Scan saved at 04:40:04 p.m., on 10/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\dvd43\dvd43_tray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\MSMSGS.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\programas\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [dvd43] C:\Archivos de programa\dvd43\dvd43_tray.exe

O4 - HKLM\..\Run: [ASocksrv] SocksA.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gerardosebastian.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169972530546

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Mensaje por **msc hotline sat** » 11 Jun 2007, 06:08

Si encuentras el fichero SocksA.exe envianoslo para analizar y poder eliminar restos, sino, ya reinicia y mira si persiste alguna anomalia y nos lo comentas.

saludos

ms, 11.06.2007

Nota: en cualquier caso puedes eliminar esta clave ya inocua sin el fichero:

O4 - HKLM\..\Run: [ASocksrv] SocksA.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Gramos · Mensaje por **Gramos** » 11 Jun 2007, 18:48

Busque el fichero y no lo encontré. Ya reinicié el ordenador y el problema persiste. Se que no es un problema grave, pero si me preocupa no poder ver aquello que "alguien" no quiere que se vea.

Mensaje por **msc hotline sat** » 11 Jun 2007, 19:31

Ya, pues otra vez mira de enviarnos la muestra antes de eliminarla, ya que sin ella nada podemos analizar.

De todas formas hemos visto otro virus que modifica claves de carpetas ocultas, y que miraremos de restaurar, aunque será entre el ELISTARA de hoy y el de mañana, pues no nos va a dar tiempo todo hoy, pero a partir de las 20 h GMT pruebe la version 14.17 que ya empezará a contener algo al respecto

y nos informa del resultado, gracias

saludos

ms, 11-06-2007

Gramos · Mensaje por **Gramos** » 11 Jun 2007, 19:38

Esperaré la version del elistara y como comentario... no he borrado a consciencia el socksA...lo que pasa es que aparece en los logs del hijackthis y en los registros del regseek... pero el archivo no lo he tocado... pero no lo encuentro en el ordenador

Mensaje por **msc hotline sat** » 11 Jun 2007, 19:42

Si, pues buena falta haría ahora para ver lo que hace...

Estan trabajando los de I+D en ello, pero por lo que me informan, habrá de ser con la 14.18 de mañana, hoy no hay tiempo :?

Pero ya estamos en ello.

saludos

ms, 11-06-2007

Gramos · Mensaje por **Gramos** » 14 Jun 2007, 22:14

ya corrí la versión 14.19 de elistara y no encontró nada

les dejo el informe

Wed Jun 13 23:48:24 2007

EliStartPage v14.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Jun 13 23:48:38 2007

EliStartPage v14.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

aún no me muestra los archivos y carpetas ocultas

:)

Franko_hbk · Mensaje por **Franko_hbk** » 14 Jun 2007, 22:42

oye yo tb tengo el mismo problema, y lo que yo creo es que el virus o bicho que hayas tenido ah modificado algo. Yo tb tenia un virus pero ya los elimine aunque sigo sin ver las carpetas o archivos ocultos.

Espero que encuentren una solucion

Mensaje por **msc hotline sat** » 15 Jun 2007, 10:15

Pues otra vez envianos el fichero antes de eliminarlo, ya que vete a saber lo que tocó del registro, este es inmenso y es como buscar una aguja en un pajar...

Hay claves y entradas clásicas y conocidas, pero esta no es de ellas.

A medida que nos vayan enviando muestras, iremos implementando la restauracion de las claves que modifican. Esperemos que llegue alguna que haga lo que la vuestra.

Aparte de las muestras que enviaste, Franko_hbk, borraste alguna que te detectó alguna utilidad, sin enviarnosla ???

Dinos el nombre y lo que detectó, pues asi buscaremos informacion por si nos dice la clave que modifica

saludos

ms, 15-06-2007

efraingh · Mensaje por **efraingh** » 15 Jun 2007, 21:25

Yo tuve un problema igual con una computadora de un amigo, el virus es un archivo de nombre sxs.exe o algo asi, tambien crea un archivo autorun.inf los cuales tienen atributos de oculto y se copian de la PC infectada a las memorias usb, y asi se va regando a otra PC al conectar la memoria. Tambien me parece que bloquea el acceso al registro, al administrador de tareas, pero eso lo solucionas con el elirest.vbs que te menciona msc.

Puedes hacer una busqueda en internet con el nombre mismasxs y encontrar informacion al respecto, altera varias claves del registro aparte de la ya mencionada del showall, hay otras 2 o 3 mas, yo lo lleve a cabo y se corrigio. Otro nombre con el que se conoce a ese virus es Worm.W32/Pasobir (este asi lo conoce Symantec me parece)

De hecho en alguna pagina que ahorita no recuerdo existe una utilidad para eliminarlo, asi tambien un archivo por lotes que serian automaticos para corregir el problema.

Saludos y espero que te sirva de orientacion mis comentarios

Efrain Glez Hdez

Gramos · Mensaje por **Gramos** » 18 Jun 2007, 23:28

No he podido probar lo recomendado porque mi equipo sufrió un daño de hardware (al menos eso creo) y lo voy a mandar revisar

En cuanto pueda intentaré lo recomendado e informaré su resultado

no puedo cambiar la opción ver archivos ocultos(SOLUCIONADO)

no puedo cambiar la opción ver archivos ocultos(SOLUCIONADO)

explicando

Estamos igual

Probable solucion del problema...