problema de virus

[Sergioo]

Hola! EN abril me dirigí a vosotros con este problema, y en parte se solucionó, por eso dejé pasar que aún me sigan apareciendo páginas de publicidad (CEAC, Rumbo ofertas, sobre todo). En aquella ocasión seguí las instrucciones que me dísteis e instalé antivirus (que no tenía), antispywre, etc.



Aparte de estas páginas de publicidad (flotantes por un extremo y a toda página), en ocasiones me aparece un mensaje de advertencia de Internet explrorer sobre que la página no se muestra o no funciona correctamente. EN ella se dan detalles referentes a la LINEA (750), CAR (4), ERROR (excención lanzada y no recogida), URL (...); estos detalles varían con la página visitada. Esto último no resulta sospechoso, pero sí otro tipo de mensajes que se encabezan como CENTRO DE SEGURIDAD DE WINDOWS advirtiendo de que tengos virus,... y que lo puedo solucionar pinchando en tal pestaña; y lo hice. No tiene pinta de ser una página oficial, ni en la forma de la página, ni en l aintensidad de los colores, ni en la manera de dirigirse a tí, etc. Pero les hice caso, y temo haberme equivocado.



Sin más, a la espera de vuestras noticias, gracias y un saludo.

[lucl]

Pues busquemos al bicho, pasate estos dos antitrojanos y peganos el log que te dejaran en C infosat.txt, elistara ya controla algunos de estos malwares. Pero ademas despues de pasar estos, vas a pasar el online que te indico y nos dira que virus tienes, saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

[Sergioo]

Hola! Soy yo de nuevo. No sé si lo hago correctamente, escribir como respuesta para continuar con el tema del 'problema de virus' que viene desde abril y que he vuelto a abrir el día 5 de julio; ocurre que aun no me manejo bien en el foro, pero voy aprendiendo.



Total que continúo con el problema porque he intentado instalar los antitroyanos que me recomendó Lucl en su respuesta, pero al comenzar la exploración con el primero de ellos, Elistara, y tras unos minutos me dice que detecta un problema y que debe cerrarse. Me habla en esta ventana de enviar un informe de errores a Microsoft sobre el problema (lo hice), y da detalles de este informe, y que he anotado por si fuera de interés:



AppName:elistara.ahgbh.exe AppVer:1.7.0.0 ModName:mfc42.dll

ModVer:60.8665.0 Offset:00001c6d



Después de esto no he intentado instalar el otro antitroyano ni tampoco el online.



A la espera de respuesta, gracias y un saludo

[msc hotline sat]

Pues pruebe el ELISTARA pero arrancando en modo segur0 , no sea que algun malware residente le esté incordiando...



Y es muy importante que lo complemente con el AV ONLINE que le indicó lucl. Si quiere puede escoger arrancar en modo segur0 con funciones de red y asi podrá navegar en dicho modo.



Y nos postea los informes resultantes para que podamos ayudarle



saludos



ms, 8-07-2008





NOTA: Y lo ha hecho muy bien, como se debe hacer: Postear como respuesta de su Tema para seguir en él. ms.

[Sergioo]

Hola! Me temo estar siendo un poco pesado. He intentado aplicar el Elistara en modo de prueba de fallo pero ocurre lo mismo que anteriormente: me dice que detecta un problema y que hay que cerrarlo, después de unos minutos de exploración.



Gracias otra vez, sergioo

[lucl]

Pasaste el online? peganos el log resultante, saludos

[Sergioo]

He pasado el antivirus online y el resultado ha sido este:





KASPERSKY ONLINE SCANNER INFORME

miércoles, 09 de julio de 2008 1:10:04

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 8/07/2008

Registros en la base antivirus: 829648





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

C:\

D:\



Estadísticas

Número de objeros analizados 70339

Virus encontrados 1

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 00:42:24



Nombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\YEYO\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\YEYO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\YEYO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\YEYO\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\YEYO\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\YEYO\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\YEYO\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{837698BD-DDF5-417B-A39E-81147F1AE21D}\RP252\A0026364.exe Infectados: Trojan.Win32.Obfuscated.aqn saltado



C:\System Volume Information\_restore{837698BD-DDF5-417B-A39E-81147F1AE21D}\RP253\A0026559.exe Infectados: Trojan.Win32.Obfuscated.aqn saltado



C:\System Volume Information\_restore{837698BD-DDF5-417B-A39E-81147F1AE21D}\RP253\A0026668.exe Infectados: Trojan.Win32.Obfuscated.aqn saltado



C:\System Volume Information\_restore{837698BD-DDF5-417B-A39E-81147F1AE21D}\RP258\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



Análisis completado.





Ocurre que intenté hacer un nuevo análisis en otro objeto (porque no estoy seguro de que quedara todo analizado, me pareció que el objeto más amplio era MI PC) pero equivoqué la acción realizada y no pude hacerlo. Piqué 'atrás' y tampoco. Total que, al finalizar el escaneo, no me daba la opción de eliminar el virus, y no pude volver a esa ventana para finalizar de alguna forma, si es que había que finalizar. Es decir, que tengo dudas sobre si después del análisis tenía que hacer algo más.



Gracias, un saludo

[msc hotline sat]

El unico virus que se detecta lo tiene en el RESTORE:


[quote]C:\System Volume Information\_restore{837698BD-DDF5-417B-A39E-81147F1AE21D}\RP252\A0026364.exe Infectados: Trojan.Win32.Obfuscated.aqn saltado



C:\System Volume Information\_restore{837698BD-DDF5-417B-A39E-81147F1AE21D}\RP253\A0026559.exe Infectados: Trojan.Win32.Obfuscated.aqn saltado



C:\System Volume Information\_restore{837698BD-DDF5-417B-A39E-81147F1AE21D}\RP253\A0026668.exe Infectados: Trojan.Win32.Obfuscated.aqn saltado [/quote]

asi que salvo que restaurase el sistema a un punto anterior, no le afectaría, por lo que este cuelgue y demas anomalias no sond ebido a ello, sino que ha de buscar la causa por otro lado, posiblemente por problemas de hardware, por lo que sugiero revise o indicado en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=11159&p=54201#p54201



Independientemente, mire de eliminar este virus del RESTORE, para que no quepa dicha posibilidad de restauración, y para ello arranque en modo segur0, desactive la restauracion de sistema y lance su antivirus que ya eliminó en su día dicho virus cuando lo tenía en activo, pero que no pudo hacerlo del RESTORE al no arrancar en la forma indicada.



saludos



ms, 9-08-2008





NOTA: Y ojo al parche !!!



Vemos Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)



Debe actualizar los parches con el SP3 (que es acumulativo y ya lleva implicito tambien el SP2 que nisiquiera tiene instalado... )



LANCE UN WINDOWSUPDATE URGENTEMENTE !!! y actualice, pues como está tiene mas agujeros de seguridad que un queso de gruyere :roll:



ms.

[Sergioo]

Hola otra vez. He visto que el asunto se está complicando bastante, sobre todo con este último mensaje que me habéis enviado. Me he leído esto de las SIETE CAUSAS DE REINICIOS Y CUELGUES DE UN ORDENADOR aunque ando bastante perdido. Me decís que revise estos puntos pero no sé muy bien lo que he de hacer. Pero sí que he instalado el AIDA32, y el resultado con respecto a la temperatura es el siguiente:



- Toshiva MK4025 GAS/a 13ºC (55ºF)

- Toshiva MK4025 GAS/b 32ºC (90ºF)



Otra cosa es lo de eliminar el virus del RESTORE arrancando en modo seguro. Lo que no veo cómo hacer es 'desactivar la restauración de sistema'. Al arrancar en modo seguro, o mejor, cuando enciendo el ordenador y doy a F8 repetidas veces me aparece una ventana con tres grupos de funciones. El primero: modo seguro, modo seguro con funciones de red, y otro; el segundo: habilitar registro,...Es en este grupo donde se dice algo de restauración: 'modo de restauración de SD'. El caso es que tomar la función de modo seguro me impide luego tomar otra, porque cambia de ventana.



Dos cosas más: la primera es con respecto al antivirus que me decís que lance en modo a prueba de fallos, que supongo que os referís al/ los instalados cuando conecté con vosotros por primera vez en abríl. Estos fueron:



- Ad-Awere 1.06 SE Personal

- Spybot Search Et Destroy 1.4

- Ewido



Por último, cómo lanzo el WINDOWS UPDATE, dónde se encuentra?



Gracias, un saludo

[flacoroo]

para que tengas acceso a internet en modo seguro o a modo a pruebas de fallos debes tomar esta opcion...



modo seguro con funciones de red



tu antivirus....debe ser o nrton, McAfee, panda, vga...debes ejecutarlo enmodo seguro...para que te elimine lo que se encuentre en restore....



para desactivar Restaurar sistema haz lo siguiente en modo normal...



Icono de Mi Pc, da click boton derecho del mouse

propiedades

la pestaña Restaurar sistema

habilitar la opcion desactivar restaurar sistema......



no se te olvide ejecutar estos programas.....en modo seguro



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)



y pegarnos el resultado que se crea en C:infosat.txt en el siguiente post

[msc hotline sat]

Y lo que dices de la temperatura:


[quote]- Toshiva MK4025 GAS/a 13ºC (55ºF)

- Toshiva MK4025 GAS/b 32ºC (90ºF)[/quote]

Suponemos que debes querer decir Toshiba, pero no es lo que te pediamos, eso parece de un disco duro y la que te pediamos era la de la CPU (procesador) ...



Y el windowsupdate se lanza desde el I.E. -> Herramientas , alli verás el apartado de Windows Update, lanzalo, mira los que te detecta que faltan e instalalos.



saludos



ms, 10-07-2008

[Sergioo]

He lanzado AVAST en modo a prueba de fallos, y me da un informe demasiado extenso que incluye incluso los archivos OK. Creo que equivoqué la configuración de informes y rectificarla no ha servido para cambiar el primero. En el menú de AVAST también da los resultados más concretos, 24 archivos infectados y 108 'Líneas listadas'. Pero con esto no me deje hacer copia. Total que no puedo enviar el informe, quizá porque es demasiado grande (26,5 MB).



Sí que me da para hacer una serie de acciones. No he querido eliminar los archivos ni moverlos, y tampoco me permite ponerlos en el 'Baúl de virus', así que he seleccionado esas líneas todas y he pinchado en 'Reparar'.



Olvidé decir en el mensaje anterior que al querer instalar AIDA32 me instaló EVEREST HOME EDITION. Pinchando en 'Ordenador' y luego en 'Sensor' como me dijo dos mensajes atrás me sale lo siguiente:



- Propiedades del sensor: tipo de sensor (HDD) y acceso a este (SMART).

- Luego las 'Temperaturas' señaladas anteriormente.



Un saludo

[msc hotline sat]

Pues las temperaturas mas bien no son del procesador ... Mira si tras entrar en "ordenador", y dentro de él en "sensor", ves donde habla de temperatura del procesador, es la que nos interesa.



Mas bien no es por virus el problema... Como te indiqué, aunque convenga eliminar los del RESTORE, no estan activos.