no me reconoce archivos lnk y exe. AYUDA!!!!! (SOLUCIONADO)

[yawein]

Hola buenas! soy nuevo por estos lares, pero es que estoy desesperado.Windows XP no me reconoce todos los archivos lnk y los exe, todos los del escritorio vamos. Encontré una solución utilizando un programilla llamado exefix_xp y luego cambiaba los registros con otra solución que encontré por ahí.



En definitiva, esas dos aplicaciones me solucionan el problema, pero cuando pasa unos segundos, ad aware me informa de que hay cambio en los registros de nuevo y estamos en las mismas.



No se que hacer!!! por favor podeis ayudarme.. :( :( :(

[msc hotline sat]

Algun residente que te está haciendo la Pascua, como decimos por aquí.

Prueba estas utilidades a ver si detectas algo, y sino ya seguiríamos pidiendote logs de utilidades de investigación como el SPROCES...


ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 19-1-2008

[yawein]

Muchas gracias! voy a probar con estas utilidades a ver que pasa.



En breves os cuento :lol:

[yawein]

Ya he probado las dos utilidades. Nada mas terminar de utilizarlas si me reconocía los archivos .lnk y los .exe y al reiniciarlo me han vuelto a salir todos los iconos del escritorio pero se me ha abierto el adaware con un mensaje de cambio de registros y hemos vuelto al mismo problema , no me reconocía otra vez los dichosos archivos . lnk y . exe.

Ahi va el resultado del proceso:

Código: Seleccionar todo

	  Sun Jan 20 10:49:27 2008
EliStartPage v15.47  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Jan 20 10:52:35 2008
EliStartPage v15.47  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Luis\Escritorio\ANTIVIR_WORKSTATION_WIN7U_EN_H.EXE --> Eliminado, Spy.Banker.FJB(dropper)

Nº Total de Directorios:   11635
Nº Total de Ficheros:      147040
Nº de Ficheros Analizados: 34670
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1


	  Sun Jan 20 11:15:12 2008
EliTriIP v4.31  (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Sun Jan 20 11:15:28 2008
EliTriIP v4.31  (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Corel\Programs\Viewers\SCCUT.DLL --> Eliminado, BackDoor.CMQ (dropper)

Nº Total de Directorios:   11634
Nº Total de Ficheros:      147044
Nº de Ficheros Analizados: 31849
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

y aquí los mensajes del adaware (event log) cuando reinicie windows:

Ad-Watch Logfile, exported on 20/01/2008
Total number of events:19
===============================================
20/01/2008 13:36:56 - Definitions file SE1R213 14.01.2008 loaded successfully.
Build:SE1R213 14.01.2008
Total Signatures :219807
Target Families :1682
Target Categories :6
CSI data Size :837352

File Size :8709004

===============================================
20/01/2008 13:36:56 - User preferences file loaded.
Ad-Watch preference file loaded.
Applying user settings
C:\Documents and Settings\Luis\Datos de programa\Lavasoft\Ad-Aware\awsettings.awc
Initialization complete.




===============================================
20/01/2008 13:36:56 - Sites file loaded.
Sites file loaded successfully.
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\sites.txt
Total entries : 3229





===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Internet Explorer\Main
Value:Search Page
Data:
New Data:http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Internet Explorer\SearchUrl
Value:
Data:
New Data:



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Main
Value:Default_Page_URL
Data:
New Data:http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Search
Value:CustomizeSearch
Data:
New Data:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\SearchUrl
Value:
Data:
New Data:



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Classes\.exe
Value:
Data:
New Data:exefile



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Classes\.lnk
Value:
Data:
New Data:lnkfile



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:SOFTWARE\Classes\exefile\shell\open\command
Value:
Data:
New Data:"%1" %*



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:SOFTWARE\Classes\lnkfile\CLSID
Value:
Data:
New Data:{00021401-0000-0000-C000-000000000046}



===============================================
20/01/2008 13:36:56 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:SOFTWARE\Classes\regfile\shell\open\command
Value:
Data:
New Data:Regedit.exe "%1"



===============================================
20/01/2008 13:36:57 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Internet Explorer\Main
Value:Start Page
Data:
New Data:about:blank



===============================================
20/01/2008 13:36:57 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Main
Value:Default_Search_URL
Data:
New Data:http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch



===============================================
20/01/2008 13:36:57 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Search
Value:SearchAssistant
Data:
New Data:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm



===============================================
20/01/2008 13:36:57 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Classes\.exe
Value:Content Type
Data:
New Data:application/x-msdownload



===============================================
20/01/2008 13:36:57 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Main
Value:Search Page
Data:
New Data:http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch



===============================================
20/01/2008 13:36:57 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Internet Explorer\Main
Value:Start Page
Data:
New Data:about:blank



===============================================

No se que hacer....

[yawein]

Hola, además de todo lo que os he comentado al utilizar mi pen en un ordenador con linux me han aparecido los siguientes archivos que en windows no se ven, o pueden que estén ocultos:

explorer.exe
foooool.exe
Knight.exe
autorun.inf

¿Serán virus?

Gracias

[msc hotline sat]

Se trata de este virus que todavía no controlamos.

Envianos muestra de los ficheros que indicas, pero ojo, el EXPLORER.EXE es el del C:\windows\system32, no el de C:\windows que es el normal del windows !


-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos

ms, 20-.1-2008


NOTA Y recuerda que se propaga por pendrive, prueba el ELIPEN y vacuna el ordenador y todos tus pendrives, como indicamos en dicho Tema.

ms.

[msc hotline sat]

Y por cierto, supongo que el foooool.exe que dices es solo de cuatro o, no cinco, pero en cualquier caso, envianoslo, y este "KNIGHT.EXE" debe ser una variante del DiskKnight que detecta el ELISTARA, y que tras analizar la muestra pasaremos a controlarlo.



saludos



ms, 20-1-2008

[yawein]

No os puedo enviar copias de esos archivos porque los elimine del pen y no se cuando los volveré a detectar...



otra cosa el archivo ese explorer.exe del system32 no lo encuentro...



Buff!! no se que hacer... :!: :?: :!:

[msc hotline sat]

Mira si lo ves abriendo una ventana al DOS y ejecutas la siguiente linea:

Código: Seleccionar todo

DIR  C:\windows\system32\explorer.exe   /a   /s

Si asi lo ves, le sacas los atributos que seguramente tiene y tras ello podrás verlo y enviarnoslo:

Código: Seleccionar todo

ATTRIB  C:\windows\system32\explorer.exe   -s -h -r

Y recuerda que es el de la carpeta de sistema, no el de windows, que es normal !

saludos
ms, 21-1-2008

[yawein]

ya os envié lo que pude hacer. a ver si somos capaces de solucionar esto... que mal rollito!!



gracias de antemano...

[msc hotline sat]

Mañana lo vemos cuando volvamos al trabajo en SATINFO

Mientras, los ficheros que te pedía, renombralos a extension .VIR para que tras reiniciar ya no se pongan en marcha

Y adelantemos faena lanzando el HJT y posteandonos el log:

HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

Aparte, para que no se propaguen los virus de pendrive, vacuna tu ordenador y las unidades con el ELIPEN:
ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp


saludos

ms, 23-1-2008

[yawein]

ahi van los resultados del HJT, aunque lo hize conj el modem apagado, no sé si eso importa.. :

Logfile of HijackThis v1.99.1
Scan saved at 22:59:16, on 23/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\GRETECH\GOMPLA~1\GOM.exe
C:\Archivos de programa\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://maytespaces96.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://atv.disney.go.com/global/download/otoy/OTOYAX29b.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07F9C2C4-9E48-44FE-AB7A-A3BF24AA00EF}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{07F9C2C4-9E48-44FE-AB7A-A3BF24AA00EF}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS2\Services\Tcpip\..\{07F9C2C4-9E48-44FE-AB7A-A3BF24AA00EF}: NameServer = 87.216.1.65,87.216.1.66
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

[msc hotline sat]

Pues por si acaso, elimina esta clave:

O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)

y en 3 o 4 horas, a la vista de las muestras, las analizaremos e informaremos

saludos

ms, 24-1-2008


nota:

Para ello recordar: viewtopic.php?f=2&t=45334


ms.

[msc hotline sat]

Me informan de I+D que se ha recibido mail con su referencia adjuntando fichero no ejecutable (Parece ser documento).

Esta cuenta es solo para envio de ficheros a monitorizar, los documentos, logs, texto o imagenes deben postearse en el foro:

viewtopic.php?f=1&t=17488

saludos
ms, 24-1-2008

[yawein]

Ya eliminé la clave que me dijisteis, pero el problema sigue persistiendo.



Además, me he dado cuenta de una cosa. Cuando quiero utilizar algunas de vuestras aplicaciones como son archivos .exe no los puedo abrir. Así que tengo que hacer unos pequeños arreglos, como ya os conté. Utilizo un aplicación llamada exefix y luego cambio el registro en regedit mediante un registro que pillé por la red.

Bueno a lo que voy, el caso es que todo va bien una vez arreglado, hasta que me da por abrir el ad aware, el cual me detecta los cambios de registro otra vez, y de nuevo todos los archivos .lnk y .exe dejan de poder abrirse... no sé que pensar..



Espero ansioso vuestras opiniones... gracias!!

[msc hotline sat]

Pues que si tras arreglar el registro, algo vuelve a modificarlo, tiene un malware que se cuida de ello, y ya que al eliminar los ficheros sospechosos borró las pistas con las que podíamos perseguirlo, debe tratar de encontrar los causante con algo que lo conozca, por lo que le sugiero lance estos AV ONLINE y nos comente el resultado:



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]





y una manera fácil y rápida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]



saludos



ms, 24-1-2008

[julibaga]

Perdón la intromisión.

Este problema me lo encontré en una ocasión y lo solucioné restaurando sistema, y para ello tuve que entrar en símbolo de sistema desde el arranque, y ejecutar directamente c:\windows\system32\restore\rstrui.exe



Luego me di cuenta que un programa antispyware había bloqueado los exe y lnk cuando no permitieron el cambio. Una vez permitía el cambio, no hubo más problemas.



Les dejo esta información por si les sirve de algo.



Salu2 cordiales

[msc hotline sat]

Claro que sirve !



Efectivamente, si se dispone de un punto anterior de restauracion proximo en el que funcionaba bien, puede probarse el ELRSTRUI y restaurarlo:





ELRSTRUI

http://www.zonavirus.com/datos/descargas/258/elrstruiexe.asp



y luego lanzar un windows update y reinstalar los parches y aplicaciones que hubieran habido posteriores a dicho punto.



saludos



ms, 24-1-2008

[yawein]

ya probé el av online y no me detecto nada y luego el testeo en on line y no me dio ningun resultado por problemas en su servidor decían... en fin.. voy a probar este ELRSTRUI a ver que tal



muchas gracias de todas formas...

[yawein]

ya probé ELRSTRUI con distintos puntos de restauracion y ninguno de ellos lo pudo realizar de manera completa, todos fallaron. Está la cosa chunga, parece que se me resiste, que será esto???

[julibaga]

Después de investigar un poco, la solución está aquí, que aunque está en inglés, creo está bastante bien entendible:

http://www.dougknox.com/xp/file_assoc.htm

Con eso lo reparas. Bajando el archivo en cuestión y haciendo doble click sobre el .reg. Ahora bien, creo que el problema empieza en el ad-wach o el nuevo ad-aware. Por lo que si tienes alguno de ellos, te recomiendo desinstalarlo.



P.D. Espero no les parezca mal que hubiera puesto el link anterior.



Salu2 de nuevo.

[msc hotline sat]

Bueno, lo que indicabas del rstrui era mas lógico, pues no solo restauraba las claves de registro modificadas sino además desinstalaba los virus que pudieren haberlo causado, pero lo de ahora simplemente modifica claves de registro de aplicaciones asignadas a determinadas extensiones, y si está el causante, con ello no se logrará nada, ya que volverán a ser modificadas, como nos decía en sus primeros post:


[quote] Encontré una solución utilizando un programilla llamado exefix_xp y luego cambiaba los registros con otra solución que encontré por ahí.



En definitiva, esas dos aplicaciones me solucionan el problema, pero cuando pasa unos segundos, ad aware me informa de que hay cambio en los registros de nuevo y estamos en las mismas. [/quote]

pero si el autor del Tema quiere probarlo ...

que nos cuente el resultado, gracias



Se reducirá a aplicar el REGEDIT sobre los .reg resultantes de estos dos, si solo son los EXE y los LNK:



http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip



http://www.dougknox.com/xp/fileassoc/linkfile_fix.zip



pero ... me temo que sea mas de lo que ya hiciste.



saludos



ms, 25-1-2008

[yawein]

Ya he probado esas dos aplicaciones y una vez reiniciado windows me salta el adaware de nuevo con lo del cambio del registro y estamos en las mismas.



Que os parece si pruebo, como comentó julibaga, desinstalando el adaware?? no se que hacer...





por cierto, ya os intente enviar una copia de aquellos virus que encontre en el pen, porque me volvieron a aparecer. Lo hize metiendolos en un zip pero google me decia que tenia virus el email y no me dejaba mandarlos( los intente mandar a traves de una cuenta en gmail)

[msc hotline sat]

Las muestras se tiene que enviar empaquetadas en un ZIP o RAR pero encriptadas con password VIRUS, que asi no las detecta nadie :





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y por probar prueba lo que quieras, pero ello no es la solucion, solo es eludir el problema, non resolverlo.



Si nos llegan las muestras veremos las claves que modifican e implementaremos su restauracion en nuestras utilidades.



saludos



ms, 25-1-2008

[yawein]

Ya os enviado los virus en un archivo comprimido llamado adjuntos y con contraseña, tal y como me indicasteis.



Espero que os sea de utilidad! gracias!

[msc hotline sat]

En 10 minutos he de pasar por el departamento de I+D, donde se entregan las muestras para monitorizar y me interesaré por dichas muestras, pues creo que es la unica forma de saber lo que tienes modificado y altera tu ordenador.



Ya informaremos



saludos



ms, 25-1-2008

[julibaga]

Yo sí te aconsejaría desinstalar el ad-aware, poner las claves de registro correctas, reiniciar y ver si te vuelve a pasar. Creo que no pierdes nada con ello.

[msc hotline sat]

Efectivamente llegaron las muestras, pero demasiado tarde para poderlas implementar en el ELISTARA de ayer.



El lunes, cuando volvamos al trabajo en SATINFO, las monitorizaremos y veremos si cambian alguna clave o modifican algun fichero que cause el problema.



Ya informaremos



saludos



ms, 26-1-2008

[yawein]

Espero ansioso vuestras repuestas, me estoy pensando hacer lo del ad awarw no se, este problemas parece no tener solución...



Muchas gracias de todas formas

[msc hotline sat]

Pues como podrás comprobar el Knight.exe ya es controlado por la version actual del ELISTARA



y las otras muestras pasan a ser controladas por la version de hoy 15.53 que estará en esta web a partir de las 19 h para pruebas de evaluacion en el foro de zonavirus.



saludos



ms, 28-1-2008