PERDI EL ACCESO A ALGUNAS APLICACIONES! (SOLUCIONADO)

[godfather]

HOLA, ME ACABO DE PERCATAR DE QUE NO TENGO ACCESO AL BOTON DE CERRAR SESION ,LA BARRA PARA EJECUTAR PROGRAMAS, EL ACCESO AL PANEL DE CONTROL Y EN LA BARRA DE INICIO EL RELOG SE AHA MODIFICADO APARECE ASI:

:23:24 VIRUS ALERT!, ESTO SE ME HACE EXTRAÑO POR QUE ESTUVE NAVEGANDO MUY BIEN POR INTERNT Y NO TUVE ALGO QUE ME AVISARA DE ALGUNA INTRUSION ,O NO ESTUVE DESCARGANDO NADA SOLO CONSUKLTANDO TAREAS DELTRABAJO, APAGUE MI PC MUY BIEN Y HOY AL ENCENDER Y QUERER ACCEDER AL MENU INICIO ME DI CUENTA DE ESTOS CAMBIOS.

NO LE QUISE PASAR NADA DE PRGRAMAS ,HASTA CONSULTAR CON USTEDES QUE SON LOS EXPERTOS.

SALUDOS !!!

[msc hotline sat]

Posiblemente has ingresado algun troyano malware. Prueba el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 13-09-2008

[godfather]

DESCARGUE ELISTARA Y NO LU PUDE PASAR,AL MOMENTO DE EJECUTARLO APARECE LA BARRA DONDE SE ESTA CARGANDO ,PERO SE QUEDA COLGADO POR HORAS ASI.

LO PASE EN MODO APRUEBA FALLOS Y CON LA RESTAURACION DEL SISTEMA DESACTIVADA,Y NADA. APARTE DE DICHOS CAMBIOS MENCIONADOS DE LO QUE ME SUCEDIO,ME DOY CUENTA QUE AHORA ESTOY EN LA CUENTA DE ADMINISTARDOR,SIN QUE YO HUBIESE INGRESADO ( SOY YO MISMO EL ADM) YA QUE AL ARRANCAR EL PC, EN LUGAR DE CARGAR EN MODO NORMAL,ME CARGA EN ESTA CUENTA.

INTENTO DESCONECTAR DESDE ADM DE TAREAS Y NO PUEDO .

BUENO COMO NO PUDE `PASAR ELISTARA, QUISE PASARLE EL HJTHS ,YA QUE AQUI TAMBIEN LO HAN RECOMENDADO UDS Y ES AQUI ESTO:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:03: VIRUS ALERT!, on 13/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxddserv.exe

C:\WINDOWS\system32\lxddcoms.exe

C:\WINDOWS\System32\NMSSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lexmark 2500 Series\lxddamon.exe

C:\Archivos de programa\Lexmark 2500 Series\lxddmon.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,Search = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Yahoo! México

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,TGBRFV_

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Archivos de programa\Lexmark Toolbar\toolband.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Archivos de programa\Lexmark Toolbar\toolband.dll

O3 - Toolbar: fqbewlna - {B02C10A6-38D7-4CBB-988A-D511F9B114F7} - C:\WINDOWS\fqbewlna.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [lxddamon] "C:\Archivos de programa\Lexmark 2500 Series\lxddamon.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [lxddmon.exe] "C:\Archivos de programa\Lexmark 2500 Series\lxddmon.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk.disabled

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107051294790

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213303650542

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe

O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm



--

End of file - 6411 bytes

[lucl]

No puedo mirarte bien del todo el log, pero esta entrada que tienes





O3 - Toolbar: fqbewlna - {B02C10A6-38D7-4CBB-988A-D511F9B114F7} - C:\WINDOWS\fqbewlna.dll



a ver que te dice Msc al respecto, luego mas tarde lo miro de nuevo saludos

[msc hotline sat]

Buen ojo lucl ! :



Envianos este fichero para analizar:



C:\WINDOWS\fqbewlna.dll



pues : http://216.239.59.104/search?q=cache:y2w6ZWncbCEJ:www.incodesolutions.com/threats2/Win32Rootfqbewlnadll.php+fqbewlna.dll&hl=es&ct=clnk&cd=1&gl=es





Y Elimina estas claves:



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/



O3 - Toolbar: fqbewlna - {B02C10A6-38D7-4CBB-988A-D511F9B114F7} - C:\WINDOWS\fqbewlna.dll



O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 16-09-2008







NOTA: y actualiza parches a SP· lanzando un windowsupdate. ms.

[godfather]

BIEN YA ELIMINE DICHAS CLAVES,SOLO QUE NO PUDE ENCONTRAR LA QUE ME PIDEIS TE ENVIE, FUI DIRECTAMENTE ALA RUTA COMO LO MENCIONAS Y NO DI,CON DICHA CLAVE.

SOBRE LAS APLICACIONES ALAS CUALES NO TENGO ACCESO,SIGO SIGUAL SIN PODER VERLAS Y ACCEDER.

SE `PODRA ACCEDER A ESTAS CLAVES POR MEDIO DEL EDITOR DE REGISTRO Y MODIFICARLAS ,COMO SON DE ORIGEN ? ( QUE SE VEAN DICHAS APLICACIONES)

YA QUE ME COMENTABAS QUE ,TALVEZ ALGUN TROYANO MALWARE ,PUDO HABER HECHO ESTO.

[msc hotline sat]

Mejor no metas mano al registro con el REGEDIT... Puede ser peor el remedio que la enfermedad !



La eliminacion de claves debes hacerla marcandolas en el HJT y pulsando FIX CHECKED, como te decimos en el link al respecto indicado en mi post anterior



Y mira de enviarnos el fichero que pediamos: C:\WINDOWS\fqbewlna.dll



Por si estuviera oculto, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





saludos



ms, 17-09-2008

[godfather]

ya envie ,dicha muestra solicitada,favor de decirme si les llego y si lo hize correctamente,auqnue creo k si ya que segui dichos pasos.

saludos !

[msc hotline sat]

No, no nos ha llegado nada, y hace rato que de zonavirus no llega nada ???



En cambio de todas partes sí que nos entran mails



ACabo de enviar un privado a ADMIN para que lo revise, pero mientras, envia la muestra a zonavirus@satinfo.es indicando como ASUNTO tu nick en el foro, a ver si llega .



saludos



ms, 18-09-2008

[godfather]

BIEN,TRATE DE ENVIARTE LA MUESTRA , COMO ME INDICAS EN EL POST...PERO RESULTA QUE AL QUERERLA ADJUNTAR EN EL CORREO,ME DICE NORTON ANTIVIRUS A DETECTADO UNA AMENAZA DE VIRUS, Y QUE NO PUEDO ENVIAR DICHO ARCHIVO.



BIEN ,LO HIZE COMO LO PIDES TE LO ENVIE,EN DICA CARPETA EN ZIP.

SALUDOS!

[lucl]

Pues el lunes te diran algo al respecto de la muestra, y no olvides renombrarla a .VIR si es que no lo has hecho ya para que no incordie, saludos

[msc hotline sat]

Sí, para que no sean interceptados por tu propio antivirus u otros de los servidores de correo, conviene empaquetarlos con password virus. Para hacerlo, se ha de desactivar tu proio antivirus o arrancar en modo seguro para que no esté activo.



Como muy bien indica lucl, en cuanto recibamos dicha muestra la monitorizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



Pero si hiciste lo indicado, tras reiniciar ya tienes "aparcado" este bicho.



Te recuerdo que para eliminar las claves, simplementes lanzas el HJT, seleccionas la 2ª opcion, marcas la casilla izquierda de las claves indicadas y pulsas FIX CHECKED, asi de fácil ...



saludos



ms, 20-09-2008

[godfather]

AVER, VAMOS POR PARTES......

LO DE LA ELIMINACION DE CLAVES ,YA LO COMPRENDO,PERO,ME QUIERES DAR A ENTENDER QUE ELIMINE DICHA CLAVE PRIMERO Y DE PUES LA MANDO? , O ESTOY ENTENDIENDO MAL?



YA DESCONECTE EL ANTIVIRUS,Y YA ESTOY EN MODO APRUEBA FALLOS,MI PREGUNTA: ¿ COMO HAGO PARA CAMBIAR LA CLAVE A VIR, COMO DICES TU Y LUCL? , YA PARA MANDARLES DICHA CLAVE.

[lucl]

Lo que nos tienes que enviar es el archivo, la clave la eliminas con el hijackthis, son dos cosas distintas de un solo bicho :roll: . Pero lo que no has de hacer es eliminar el archivo pero si renombrarlo que es muy sencillo con el boton derecho del raton pulsas sobre el y picas en renombrar, o cambias el nombre y le mantienes el mismo pero le quitas el .exe y le pones .VIR. Luego lo encriptas y le pones de contraseña la palabra VIRUS y nos lo envias, si tienes alguna duda mas pregunta lo que quieras, saludos

[godfather]

BIEN , YA LE CAMBIE LA EXTENCION A LA CLAVE A .VIR COMO ME LO INDICAS .



LA ENCRIPTE Y AL MOMENTODE PONERLE LA CONTRASEÑA ALA CARPETA EN ZIP. ME SALE ESTE MESAJE: NO SE LE UEDE CAMBIAR EL NOMBRE YA QUE SI LO HACE ,EL ARCHIVO QUEDARA INUTILIZABE,DESEA CONTINUAR.

Y LE DIGO QUE SI.



BIEN , DESPUES DE ESTO TARTO NUEVAMENTE DE ENVIARLO Y ME SIGUE DETECTANDO EL ARCHIVO INFECTADO EL ANTIVIRUS DE LA PAGINA DE MI CORREO, Y ME DICE NUEVAMENTE QUE NO L PUED ENVIAR.

[msc hotline sat]

Está claro que no empaquetaste el fichero con password, sino no lo hubiera interceptado.



Debe hacerse como indica en este Tema flacoroo:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24875



Asi lo hacemos desde hace 15 años, cada día al enviar las muestras a McAfee, sin problemas...



saludos



ms, 26-08-2008

[godfather]

OK YA CHEKE EL LINK, QUE ME DEJAS PARA SEGUIR INSTUCCCIONES.



LO QUE YO VEO,ES UN MENU PREPARADO , CON DIVERSAS OPCIONES,PARA PODER ENCRIPTAR DICHOS ARCHIVOS.



EN EL SE HACE LA OBSERVACION DE HACERLO EN LA PESTAÑA WIN ZIP,CABE COMENTAR QUE YO NO TENGO ESASOPCIONES EN MI MENU DE CLICK DERECHO DE MI RATON.



LO UNICO QUE YO TENGO ES UN MENU NORMAL:

- ABRIR

-CORTAR

-COPIAR

-ENVIAR A:-ESCRITORIO-DEST DE CORREO- CARPETA COMPRIMIDA EN ZIP-ETC

-CREAR ACCESO DIRECTO

-PROPIEDADES.



BIEN YO LO QUE HIZE FUE CAMBIARLE LA EXTENCION COMO ME LO INDICAS A . VIR Y DESPUES LO MANDE A CARPETA COMPRIMIDA ZIP

POR ESO NO UEDO PONERLE CONRASEÑA.

SALUDOS

[msc hotline sat]

Pues veremos si no lo interceptan en internet y llega a nuestras manos ... :wink:



Pero sería consejable la instalacion de algun programa como WINZIP o WINRAR , muy buenos al respecto.



saludos



ms, 27-09-2008

[godfather]

BIEN, YA ME COSEGUI EL WINZIP.,SOLAMENTE LO PUDE CONSEGUIR EN INGLES Y MAS MENOS LE VOY ENTENDENDO.



YA PUDE SEGUIR LOS PROCESOS QUE SE INDICAN PARA ENCRIPTAR PONER PASWORD AL LA MUESTAR.



SOLO QUE AL FINAL DE EL PROCESO,CUANDO YA HE PUESTO LA CONTRASEÑA,NO SE COMO PASARLO A ALGUN OTRO LUGARPARA DESPUES ADJUNTARLO EN EL CORREO Y MANDARLO,YA VEN QUE SE QUEDA EN LA VENTANA DE WINZIP.

[lucl]

Flacoroo puso un link al respecto que te lo explica muy clarito todo, echale un vistazo bueno y veras que facil es







https://foros.zonavirus.com/viewtopic.php?f=5&t=24875





saludos

[msc hotline sat]

Si ya has llegado a poner la contraseña, ACEPTAS y te genera el ZIP o RAR donde estés o le digas, luego lo anexas al mail y listos ! O si quieres lo copias a cualquier parte que te vaya mejor para adjuntarlo ...



saludos



ms, 28-09-2008

[godfather]

OK ...



YA SEGUI BIEN LOS PASOS 1 POR 1.



LLEGO HASTA EL ULTIMO,EN DONDE PONGO LA CONTRASEÑA VIRUS Y DOY CLICK EN OK ,PARA FINALIZAR EL PROCESO.



AL MOMENTO DE ESTO ,EL ARCHIVO GENERADO CON LA CONTRASEÑA ,QUEDA DENTRO DEL PRGRAMA WINZIP,QUE ES ESTE PROGRAMA OVBIAMENTE EL QUE HIZO DICHO PROCESO.



DE AHI LO MUEVO DIRECTO A EL ESCRITORIO Y DE AHI, YA LO MUEVO PARA ADJUNTARLO A LA VENTANA DE CORREO.

BIEN YA ADJUNTADA DICHA MUESTRA ME LO SIGUE INTERCEPTANDO EL NORTO ANTIVIRUS DE LA UENTA YAHOO,QUE ES DONDE TENGO MI CUENTA DE CORREO.

EN REALIDAD ME DESEPERA :evil: ESTE MALDITO PROCESO DE LA CUENTA YAHOO,YA QUE TODO LO DEMAS LO HAGO BIEN CON EL WINZIP

EXISTIRA OTRA FORMA DE PODER MANDARLES LA MUESTRA.?,O ALGUNA OTRA SOLUCION AL RESPECTO......

SALUDOS!

[msc hotline sat]

Excepcionalmente y sin que sirva de precedente, enviame un privado en el que anexes dicho fichero, lo indicas en el texto y ya lo enviaré yo a zonavirus@satinfo.es



Exclusivamente para esta ocasion que tienes este apuro.



saludos



ms, 28-09-2008





NOTA:

Y si asi te diera problemas tu antivirus, lo haces arrancado en modo seguro con funciones de red, podrás navegar igual pero no estará residente dicho Norton y no incordiará ! :wink: ms.

[msc hotline sat]

Recibido el fichero muestra, resulta ser un adware Wazup:



http://www.virustotal.com/analisis/1c4fc4b4bee15ba56a02588eb1635fea



Tras monitorizarlo, implementaremos su control y eliminacion en el ELISTARA de hoy 17.07



saludos



ms, 29-09-2008

[msc hotline sat]

Controlada la muestra con la nueva version del ELISTARA 17.07



Tras probarla, reinicia y posteanos el contenido de c:\infosat.txt, gracias



saludos



ms, 30-09-2008

[godfather]

ufff,pero si que el tiempo pasa ,perdon por o haber avisado de ke mi ordenador marcha de lujo tras la muestra controlada ,con el elistara,en su ultima version,lo que pasa es que no me habia conectado ya que por cuestiones de pago de mi servicio local de cable e internet,pero bueno,lo mejor es k ya esta muy bien mi pc.por lo pronto procedemos acerrar el temay una vez mas gracias a todo el equipo y alos foreros por su gran ayuda.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 26-10-2008