Se me coló "srosa.sys" Y AHORA NO VEO ESCRITORIO!!

libu · Mensaje por **libu** » 05 Feb 2008, 17:42

Hola a todos! A ver si alguien puede ayudarme: Se me coló un archivo infectado con "srosa.sys", he conseguido eliminarlo, he pasado ccleaner, he restaurado el sistema a unos dias antes del "incidente", PERO ASI Y TODO , EL PC ARRANCA PERO NO PUEDO ACCEDER AL ESCRITORIO, SOLO PUEDO HACER CORRER LAS APLICACIONES A TRAVES DE ADMINISTRADOR DE TAREAS.

ALGUIEN SABE COMO RESTAURAR EL ESCRITORIO???

Es un pc con XP Pro, karpesvky, etc etc..

MUCHISIMAS GRACIAS DE ANTEMANO

Saludos

Mensaje por **msc hotline sat** » 05 Feb 2008, 17:45

Desde MSDOS prueba el ELIBAGLA, copiandolo previamente al directorio donde estes:

ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-2-2008

libu · Mensaje por **libu** » 05 Feb 2008, 17:49

Ok lo pruebo y os cuento. Muchas gracias!!

Hasta ahora.

Mensaje por **msc hotline sat** » 05 Feb 2008, 17:58

Conste que no es propio del Bagle impedir ver el escritorio, ya que en lugar de ello fastidia el antivirus, no deja arrancar en modo seguro y crea ROOTKIT, para cuyo nombre utiliza el SROSA.SYS, lanzandolo desde una O23 como servicio, pero igual ademas tienes mas cosas...

SI tras ello aun no ves el escritorio, pruebas ademas estas otras dos, de la misma manera:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlas, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-2-2008

libu · Mensaje por **libu** » 05 Feb 2008, 18:27

Yeps!! La cosa se pone fea: Al ejecutar "Desde MSDOS prueba el ELIBAGLA, copiandolo previamente al directorio donde estes: "

Detecta un problema y se cierra ELIBAGLA!!!

Que puedo hacer??

Pruebo lo que me v¡cuentas luego???

GRACIAS!!!!

koga · Mensaje por **koga** » 05 Feb 2008, 18:37

Ya que elibagla da el error pruebe mientras con las dos utilidades posteriores, siguiendo las mismas instrucciones veamos si mejora el resultado, nos comenta luego.

Ademas prueba ejecutar desde el administrador de tareas explorer.exe

Saludos.

libu · Mensaje por **libu** » 05 Feb 2008, 18:44

Elitriip tambien se cuelga, eliStarA a tirado bien.

Intento explorer.exe desde administrador de tareas, entonces aparece escritorio, pero desaparece otra vez, lo intenta un par de veces , pero acaba desapareciendo.

:-(

libu · Mensaje por **libu** » 05 Feb 2008, 18:47

posteo error ELISTARA:

?????????

Código: Seleccionar todo

<?xml version="1.0" encoding="UTF-16"?>
<DATABASE>
<EXE NAME="ELISTARA.15022008.EXE" FILTER="GRABMI_FILTER_PRIVACY">
    <MATCHING_FILE NAME="EliBaglA.exe" SIZE="49675" CHECKSUM="0xD71285EC" BIN_FILE_VERSION="1.7.0.0" BIN_PRODUCT_VERSION="1.7.0.0" PRODUCT_VERSION="1, 7, 0, 0" FILE_DESCRIPTION="Utilidad AntiVirus" COMPANY_NAME="Satinfo S.L." PRODUCT_NAME="Aplicación Elis" FILE_VERSION="1, 7, 0, 0" ORIGINAL_FILENAME="Elis.EXE" INTERNAL_NAME="Elis" LEGAL_COPYRIGHT="Copyright (C) 2008" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="1.7.0.0" UPTO_BIN_PRODUCT_VERSION="1.7.0.0" LINK_DATE="02/04/2008 17:02:28" UPTO_LINK_DATE="02/04/2008 17:02:28" VER_LANGUAGE="Español (alfabetización internacional) [0xc0a]" />
    <MATCHING_FILE NAME="ELISTARA.15022008.EXE" SIZE="345622" CHECKSUM="0x7B613644" BIN_FILE_VERSION="1.7.0.0" BIN_PRODUCT_VERSION="1.7.0.0" PRODUCT_VERSION="1, 7, 0, 0" FILE_DESCRIPTION="Utilidad AntiVirus" COMPANY_NAME="Satinfo S.L." PRODUCT_NAME="Aplicación Elis" FILE_VERSION="1, 7, 0, 0" ORIGINAL_FILENAME="Elis.EXE" INTERNAL_NAME="Elis" LEGAL_COPYRIGHT="Copyright (C) 2008" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="1.7.0.0" UPTO_BIN_PRODUCT_VERSION="1.7.0.0" LINK_DATE="02/05/2008 16:58:33" UPTO_LINK_DATE="02/05/2008 16:58:33" VER_LANGUAGE="Español (alfabetización internacional) [0xc0a]" />
    <MATCHING_FILE NAME="ELITRIIP.9022008.EXE" SIZE="103958" CHECKSUM="0x554D5D12" BIN_FILE_VERSION="1.7.0.0" BIN_PRODUCT_VERSION="1.7.0.0" PRODUCT_VERSION="1, 7, 0, 0" FILE_DESCRIPTION="Utilidad AntiVirus" COMPANY_NAME="Satinfo S.L." PRODUCT_NAME="Aplicación Elis" FILE_VERSION="1, 7, 0, 0" ORIGINAL_FILENAME="Elis.EXE" INTERNAL_NAME="Elis" LEGAL_COPYRIGHT="Copyright (C) 2008" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="1.7.0.0" UPTO_BIN_PRODUCT_VERSION="1.7.0.0" LINK_DATE="01/29/2008 11:10:47" UPTO_LINK_DATE="01/29/2008 11:10:47" VER_LANGUAGE="Español (alfabetización internacional) [0xc0a]" />
</EXE>
<EXE NAME="ntdll.dll" FILTER="GRABMI_FILTER_THISFILEONLY">
    <MATCHING_FILE NAME="ntdll.dll" SIZE="675840" CHECKSUM="0x520AE1" BIN_FILE_VERSION="5.1.2600.114" BIN_PRODUCT_VERSION="5.1.2600.114" PRODUCT_VERSION="5.1.2600.114" FILE_DESCRIPTION="DLL de la capa de Windows NT" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Sistema operativo Microsoft® Windows®" FILE_VERSION="5.1.2600.114 (xpclnt_qfe.021108-2107)" ORIGINAL_FILENAME="ntdll.dll" INTERNAL_NAME="ntdll.dll" LEGAL_COPYRIGHT="Copyright (C) Microsoft Corporation. Reservados todos los derechos." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0xAA349" LINKER_VERSION="0x50001" UPTO_BIN_FILE_VERSION="5.1.2600.114" UPTO_BIN_PRODUCT_VERSION="5.1.2600.114" LINK_DATE="05/02/2003 18:05:52" UPTO_LINK_DATE="05/02/2003 18:05:52" VER_LANGUAGE="Español (alfabetización internacional) [0xc0a]" />
</EXE>
<EXE NAME="kernel32.dll" FILTER="GRABMI_FILTER_THISFILEONLY">
    <MATCHING_FILE NAME="kernel32.dll" SIZE="951296" CHECKSUM="0x54224106" BIN_FILE_VERSION="5.1.2600.153" BIN_PRODUCT_VERSION="5.1.2600.153" PRODUCT_VERSION="5.1.2600.153" FILE_DESCRIPTION="DLL de cliente API BASE de Windows NT" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Sistema operativo Microsoft® Windows®" FILE_VERSION="5.1.2600.153 (xpclnt_qfe.021108-2107)" ORIGINAL_FILENAME="kernel32" INTERNAL_NAME="kernel32" LEGAL_COPYRIGHT="Copyright (C) Microsoft Corporation. Reservados todos los derechos." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0xED856" LINKER_VERSION="0x50001" UPTO_BIN_FILE_VERSION="5.1.2600.153" UPTO_BIN_PRODUCT_VERSION="5.1.2600.153" LINK_DATE="06/17/2004 17:57:24" UPTO_LINK_DATE="06/17/2004 17:57:24" VER_LANGUAGE="Español (alfabetización internacional) [0xc0a]" />
</EXE>
</DATABASE>

Mensaje por **msc hotline sat** » 05 Feb 2008, 19:06

No es propio del Bagle, tienes algo mas , aparte de ello.

Mira de REPARAR sistema, que igual tienes algún fichero dañado:

para REPARAR WINDOWS, msc escribió:
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

y tras ello vuelve a probar las utilidades indicadas, especialmente el ELIBAGLA

Y nos comentas el resultado, gracias

saludos

ms, 5-2-2008

libu · Mensaje por **libu** » 05 Feb 2008, 19:26

EL SERIO PROBLEMA ES QUE NO TENGO CD DE INSTALACION DE WINDOWS!! XP SP1. ahi está el asunto.

Gracias de todas formas!!!

koga · Mensaje por **koga** » 06 Feb 2008, 01:16

Como dice msc es muy dificil sin reparar windows, como le sugeri que ejecutara explorer.exe, aparece escritorio y vuelve a desaparecer, eso nos indica que mas bien es un problema de inestabilidad del sistema y no puede mantener dicho proceso, si no puede reparar windows solo le puedo dar 1 consejo mas,

usted dijo al principio que borro el virus srosa.sys luego paso "Disc cleaner", a pesar de ser una utilidad bastante util, muchas veces con estas utilidades se trastea tanto el bicho y los archivos que haya modificado que deja errores en el sistema operativo, por eso le aconsejo tenga mucho cuidado cuando utiliza aplicaciones como Disc Cleaner o Regseeker u otro limpiador de registro ya que al no comprender aveces bien su funcionamiento pueden causar mas daño que la solucion.

Bueno espero pueda conseguir reparar windows con lo cual lo mas probable podriamos terminar con el problema.

Suerte.

Mensaje por **msc hotline sat** » 06 Feb 2008, 07:04

No son utilidades que aconsejemos en este foro, KOGA, pero sin el CD de instalacion poco podemos ayudarle, además, igual ni es un sistema legal, a lo que no daríamos soporte...

Mire de conseguir dicho CD de quien se lo instaló, y legalice su situacion si, como nos tememos, no es legal, de lo contrario no podemos seguir ayudandole.

Damos el Tema por terminado hasta tal momento, en cuyo caso, si nos necesita ya sabe donde estamos

saludos

ms, 6-2-2008

Se me coló "srosa.sys" Y AHORA NO VEO ESCRITORIO!!

Se me coló "srosa.sys" Y AHORA NO VEO ESCRITORIO!! (CERRADO)

Veamos

bueno...