Problema con archivo en System32 (SOLUCIONADO)

zetor · Mensaje por **zetor** » 04 Nov 2007, 00:46

Hola, me paso lo siguiente ,un antispyware online me detecto un posible aware en system32 entonces quise subirlo a VirusTotal y en la pantalla que sale en [i]examinar[/i], sin querer hice clic en otro y no se que paso pero lo renombre sin querer porque solo le quedo la primera letra nada mas.. tampoco le quedo la extension.. les subo una captura para que vean de que hablo

[img]http://img210.imageshack.us/img210/9296/system32du2.jpg[/img]

Es el que esta sombreado y solo dice "w".. ademas de restaurar sistema que puedo hacer

Puse el archivo dentro de un bloc de notas y es grande, pongo el encabezado por si sirve

Copyright (c) 1995 INSO Corporation. This work is protected by

US & international copyright laws and contains certain trade secret

information. All use of this work is governed by the terms of agreements

between INSO Corporation and its licensees or potential licensees.

Disclosure or disassembly of the contents is prohibited. All

rights reserved.

Gracias

Mensaje por **msc hotline sat** » 04 Nov 2007, 08:02

Pues por las pistas dadas, del año 1995 podría ser de Inso algo relacionado con Web Publishing ...

Mira en Agregar o Quitar programas si tienes algo instalado de Inso, esto podría darte una orientacion.

Y ponle a este fichero extension EXE y ejecutalo, a ver que hace ???

Y si no lo encuentras a faltar, es que mucha falta no te hace :wink:

Suerte en la busqueda!

saludos

sm, 4-11-2007

zetor · Mensaje por **zetor** » 04 Nov 2007, 10:17

Gracias por responder [color=orange]~~[b]~~msc hotline sat[/b][/color], aqui siempre se aprende algo 8) :wink:

En agregar o quitar programas no hay nada relacionado con el nombre "INSO".. y ya lo renombre a "w.exe", y cuando lo ejecute se abrio una ventana del simbolo del sistema en un pantallazo y se cerro..

Pero hay mas pistas, en Propiedades -> File Hashes , al final hay una url http://beeblebrox.org , visite el sitio y tiene una seccion de descargas pero ni idea..

Sin embargo al renombrarlo a .exe el cuadro de propiedades cambio y parece ser que es del protector de pantalla.. pongo otra captura

[img]http://img50.imageshack.us/img50/6647/propiedadesdewje9.jpg[/img]

Saludos

Mensaje por **msc hotline sat** » 04 Nov 2007, 12:15

Acertaste: Podría ser un protector de pantalla.

Puedes renombrarlo a .SCR (en lugar de .EXE) y ver que visualiza programando dicho archivo en

Inicio -> Panel de Control -> pantalla -> Protector de pantalla , y nos cuentas si va bien y lo que visualiza

saludos

ms,. 4-11-2007

zetor · Mensaje por **zetor** » 04 Nov 2007, 20:03

Normalmente lo tengo configurado para que el monitor se apague tras 5 min de inactividad y sin ningun screensaver.. Ya lo cambie para que funcione e hice la prueba antes y despues de cambiarle la extencion a .scr y en ningun caso funciono.. sin embargo la vista previa si funciona..

Otra novedad, cuando lo ejecute como .exe, aparentemente se creo otro archivo de nombre "w" ,recien lo veo y tiene el icono del simbolo del sistema.. este es su contenido

Éw.exe € € C:\WINDOWS\system32\w.exe

ÿP à MICROSOFT PIFEX ‡ qWINDOWS 386 3.0 h €€ d 2 d 2 WINDOWS 286 3.0 ! WINDOWS NT 3.1 Ã7Œ %SystemRoot%\SYSTEM32\CONFIG.NT %SystemRoot%\SYSTEM32\AUTOEXEC.NT WINDOWS NT 4.0 e ÙŒ C : \ W I N D O W S \ s y s t e m 3 2 \ w . e x e C:\WINDOWS\system32\w.exe ÿ }æ ¬ }ç ¬ ÿ ÿ ÿ ÿ 0 æ ¬ ) ¤ ¬ | È "

ÿŽæ€Žç€ÿÿÿÿ0æ€)¤€|È" C : \ W I N D O W S \ s y s t e m 3 2 \ w . P I F C:\WINDOWS\system32\w.PIF w . e x e w.exe P I F M G R . D L L PIFMGR.DLL WINDOWS VMM 4.0 ÿÿ{ ¬ PIFMGR.DLL d È è

Terminal Lucida Console ä

Debo eliminarlo?

Gracias

Pd: Aunque no me gusta restaurar sistema entre otras cosas porque parece que el Kaspersky se resiste a ello, solo me deja en modo seguro y ademas se crean carpetas adicionales etc, con hacerlo se solucionaria?

Mensaje por **msc hotline sat** » 04 Nov 2007, 20:44

Si este fichero no es del sistema y no se usaba, no estará en el RESTORE, pero tampoco es que haga falta, tratandose de lo que es, asi que visto que es un simple salvapantallas que no usabas, puedes eliminarlo y listos

saludos

ms, 4-11-2007

zetor · Mensaje por **zetor** » 04 Nov 2007, 21:14

[quote="msc hotline sat"]Si este fichero no es del sistema y no se usaba, no estará en el RESTORE, pero tampoco es que haga falta, tratandose de lo que es, asi que visto que es un simple salvapantallas que no usabas, puedes eliminarlo y listos

saludos

ms, 4-11-2007[/quote]

Perdon que sea puntilloso, tengo que comprobar que no sea del sistema antes? y te refieres a que puedo eliminar los dos archivos?

Tengo otra consulta referente a que no me deja subir un archivo a ningun host de alojamiento porque se cae antes de terminar.. tengo que abrir un nuevo tema verdad?

Saludos

Mensaje por **msc hotline sat** » 05 Nov 2007, 06:47

No, ya te decimos nosotros que no es del sistema, no hace falta que lo busques, pues en la carpeta de sistema no hay ningun EXE que contenga "INSO", solo el Winsock32.DLL, y no es EXE :wink: y sí, puedes eliminar los dos ficheros indicados, ademas de que el segundo igual es un prefecth.

y sí, mejor abrir un nuevo Tema con título adecuado al nuevo problema, por ejemplo "NO DEJA SUBIR ARCHIVOS A NINGUN SERVIDOR HOST" ya que este

Mensaje por **msc hotline sat** » 05 Nov 2007, 06:49

No, ya te decimos nosotros que no es del sistema, no hace falta que lo busques, pues en la carpeta de sistema no hay ningun EXE que contenga "INSO", solo el Winsock32.DLL, y no es EXE :wink: y sí, puedes eliminar los dos ficheros indicados, ademas de que el segundo igual es un prefecth.

y sí, mejor abrir un nuevo Tema con título adecuado al nuevo problema, por ejemplo "NO DEJA SUBIR ARCHIVOS A NINGUN HOST" ya que no estar relacionado necesariamente con "Problema con archivo en System32"

Y dando por solucionado el Tema, procedemos a cerrarlo

saludos

ms, 5-11-2007