ayuda

[micki]

Tengo un problema, mi ordenador tiene un virus y no me deja descargar nada y no puedo descargar las soluciones que proponen en el foro.¿alguien me puede ayudar?

[msc hotline sat]

Dinos que virus es ... (solo hay 300.000 y si lo tenemos que adivinar ... :wink: )



saludos



ms, 22-06-2007

[micki]

es el smitfraud c

[msc hotline sat]

Lo adecuado es probar el ELISTARA.



Pruebe descargarlo en otro ordenador y luego copiarlo en este



Arranque en modo seguro, pruebelo y ya nos contará:




[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]



saludos



ms, 22.06-2007

[micki]

Hola probe lo que me sugeriste pero sigo teniendo el virus en el ordenador.

[msc hotline sat]

Pues posteanos el contenido del c:\infosat.txt que generó y veremos cual es la causa, para proceder en consecuencia



saludos



ms, 23-06-2007

[micki]

Esto es lo que me salio





Sat Jun 23 01:19:42 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\A3DXQ]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\A3DXQ.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSVV.EXE.Muestra EliStartPage v14.26

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado

C:\WINDOWS\COMDLG64.DLL --> Eliminado Alanchum(rootkit)

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\irene\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKLM\...\Run] "SPOOLSVV"="C:\WINDOWS\system32\spoolsvv.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=setupSNK.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Jun 23 01:20:43 2007

EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Temp\202B18E.TMP --> Eliminado, Alanchum

C:\WINDOWS\Temp\2012349.TMP --> Eliminado, Alanchum

C:\WINDOWS\Temp\202C87D.TMP --> Eliminado, Alanchum

C:\WINDOWS\Temp\201A52D.TMP --> Eliminado, Alanchum

C:\WINDOWS\Temp\ART3322.TMP --> Eliminado, Alanchum

C:\WINDOWS\Temp\WINC879.TMP --> Eliminado, Alanchum

C:\WINDOWS\Temp\ART3ED2.TMP --> Eliminado, Alanchum

C:\WINDOWS\Temp\WINEDC2.TMP --> Eliminado, Alanchum

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP310\A0081307.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP313\A0081348.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP313\A0083348.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP314\A0083371.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP314\A0083388.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP314\A0083391.EXE --> Eliminado, Alanchum

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP319\A0084591.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP327\A0087698.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP330\A0089732.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP330\A0089800.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP332\A0089841.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP333\A0089869.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP358\A0119650.EXE --> Eliminado, Alanchum

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP370\A0124344.DLL --> Eliminado, Alanchum(rootkit)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP370\A0124345.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP370\A0124346.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP370\A0124347.DLL --> Eliminado, ZangoSA (BHO)

C:\System Volume Information\_restore{C3603875-61F0-46D8-8B90-3DA0B2BA5108}\RP370\A0124348.DLL --> Eliminado, ZangoSA (BHO)



--------------------------------------------------

[msc hotline sat]

Bien, pues como ves te pedimos tres o cuatro muestras para analizar. Las has enviado ? :





C:\WINDOWS\SYSTEM32\A3DXQ.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.



Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSVV.EXE.Muestra EliStartPage v14.26



y los dos de AUTORUN si no los conoce (pueden ser virus de pendrive):



setupSNK.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 23-06-2007

[micki]

y si nunca he utilizado la consola de recuperacion?

[msc hotline sat]

Siempre ha de haber una primera vez en todo...



A la Consola de recuperacion se accede arrancando con el CD de instalacion y pulsando R, de manera que se accede a la zona NTFS del disco duro sin haber arrancado desde él, de modo que no hay ninguna aplicacion en uso (ni este dichoso virus)



Otra manera sería colocar el disco duro como esclavo en otro ordenador con similar sistema operativo, de modo que arrancando con el disco bueno se accediera al malo sin estar en uso nada, pero es mas engorroso...



saludos



ms, 23.06.2007

[msc hotline sat]

Recibido el fichero spoolsvv.exe para analizar, requiere la DLL URLMON.DLL con una funcion Installflash que no encontramos en ninguna de las que tenemos.



Mire de enviarnosla para que podamos completar el analisis, sino solo lo podremos detectar por cademas, pero no podremos corregir las acciones que haya hecho si no lo podemos ejecutar.



Como que Vd lo tenía, seguro que tiene esta DLL, y si tiene varias, habremos de escoger una que tenga la funcion INSTALLFLASH , que es lo que utiliza este SPOOLSVV.EXE



saludos



ms, 16-06-2007

[msc hotline sat]

De todas formas se pasa a controlar por cadenas con la version 14.28 del ELISTARA de hoy, que estará disponible antes de las 20 h GMT, para pruebas de evaluacion



saludos



ms, 26-06-2007

[micki]

Gracias por ayudarme pero ya he solucionado lo del virus pero sigo sin poder bajarme archivos de ninguna clase.

[msc hotline sat]

Pues no lo has arreglado del todo...



Mira de enviarnos la DLL que te pediamos y asi podremos monitorizarlo y restaurar las claves que modifique



Haz un Inicio -> Buscar -> URLMON.DLL y, si la encuentras, nos la envias y podremos monitorizar el fichero que nos enviaste, que requiere dicha DLL para poder funcionar.



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 30-06-2007