[u]Antecedentes - HIstorial de PC:
La PC estuvo funcionando correctamente teniendo instalado Spyware Doctor 5.5 con Antivirus + SuperAntiSpyware + SpyBot Search & Destroy y otras herramientas de desinfeccón de malware, MRU's,tracks, etc .. ejecutados de forma manual como Ad-Aware 2008 y Doctor Alex todos actualizados; aparentemente estaba muy bien protegido, sin embargo, no fue hasta que deshabilité temporalmente el SpyBot S&D (monitorea cambios en registro) por cuestiones de consumo de memoria y por
¿CÓMO ME DÍ CUENTA? - SINTOMAS
- mensaje de ERROR en archivo NETSH.EXE al cerrar WINDOWS (Reinicio, Apagado o Cierre de Sesión)
- BLOQUEA INICIO A MODO A PRUEBA DE FALLOS (PANTALLA AZUL SIMILAR AL DE VOLCADO DE MEMORIA pero haciendo notar q es problema de virus o sistema)
- BLOQUEA INICIO MODO SEGURO CON O SIN CONEXION WIN2003, XP Y ULTIMA BUENA CONOCIDA.
- CREA CUENTAS RESTRINGIDAS.
- Deshabilita ANTIVIRUS NOD32 versión actual, NO TE DEJA REINSTALAR O INSTALAR OTRO ANTIVIRUS.
- Administrador de Tareas y Editor de Registro (REgedit) BLOQUEADOS
- Aún estando como Administrador te quita permisos de escritura en opciones de configuración.
- No accede a opciones de seguridad que antes eran accesibles siendo administrador del sistema.
- Cambia la configuración de opciones de carpeta y no deja ver archivos ocultos.
- y .. lo MAS GRAVE q hace poco me percaté: PONE AL DESCUBIERTO LA IP PRIVADA.
- SE REGENERA USANDO MULTISISTEMAS, AL USAR en otra partición WIN2003 PRESENTÓ LOS MISMOS PROBLEMAS luego de ser iniciado.
- DESHABILITA ACTUALIZACIONES DE WINDOWS.
¿QUÉ HICE MAL? - POSIBLES CAUSAS:
- Deshabilité el SpyBot S&D temporalmente por cuestiones de consumo de memoria y obvié el rol q cumplia de monitorear la edición del registro, grave error de mi parte que ahora lamento.
- Usé el propio navegador del VISUAL STUDIO 2008 y teniendo habilitado el RSS q se actualizaba a veces.
- No CONTABA UN FIREWALL MEJOR Q EL Q TRAE EL XP q quizá en el momento de la infección estuvo deshabilitado o fue el virus que lo Deshabilitó. No recuerdo.
- No realizé algunas actualizaciones del windows referidas a vulnerabilidades el OFFICE 2007 Y quizá hubo otra del XP. No me fijé.
.
.
.
¿CÓMO INTENTÉ SOLUCIONAR? - POsibles Soluciones (según foros e info adicional)
- Lo primero q hice fue intentar de acceder al registro y modificar las claves relacionadas al adminstrador de tareas y registro regedit.exe para saber si existen procesos ocultos q pueda detener, usé tanto el regcleaner como el regworkshop y logré ver claves DisableRegistryTools y DisalbeTaskMgr con valores 1 estando activos lo que causa q no pueda tener acceso al adminstrador de tareas ni al regedit y funciones propias de él. Al tratar de eliminarlas o colocar valores 0 se regeneran e incluso la propia carpeta system q las contiene c vuelve a crear. Al haberme quitado derechos de administrador era de esperarse q no pudiese modificar el registro pero quize intentar antes de saber q habia sido desacreditado.
- Traté con un LIVE CD del WINDOWS XP cargando en subarbol las claves de la partición con mi xp infectado para tratar de modificarlas y logré conseguir eliminarlas, sin embargo, al arrancar el xp me dí con la sorpresa que presistian, se volvían a crear, al parecer, al inicio hay un subprograma que las crea.
- Intenté con ELISTARA q estoy seguro es la solución a mi problema pero tampoco pudo ejecutarla me sale q ha sido infectada por algun virus. LUego de haberla descargado lo ejecute una vez y c colgó en el momento q iba a elimnar los hosts, traté nuevamente y ya estaba con el mensaje de error de infección.
- DE momento no he podido lograr ejecutar ningun antivirus o y los q tengo instalado no reconoce infección alguna a excepción del spyware doctor q siempre encuentra un troyano y al elimnarlo c regenera de nombre Antivirus.trojanxxx algo así.
- Ahora intentaré con antivirus portables haber q resulta y luego comentaré.....
PDD. Envio el log de la única herramienta he podido usar el HjackThis, desearia puedan ayudarme.
Un cordial saludo,
Luis Angel