ayuda por favor!!!!!!!!!!!!!!!!!

[llsrkll]

[size=150]el problema es q a mi pc se indrodujo el autorun.inf con ello RECYCLER y otros ...

ya me baje el ELIPEN , lo que quiero es eliminar los autorun.inf de mis disco y luego protegerlos con el ELIPEN

pero noce como hacerlo

me ayudarian porfavor

gracias de antemano

saludos.[/size]

[msc hotline sat]

Con el ELIPEN selecciona unidad en cuestion y dale a PROCESAR, si te encuentra un AUTORUN.INF le añadirá .OLD y creará la carpeta de proteccion para que no te entre ningun otro AUTORUN.INF en dicha unidad.



saludos



ms, 21-5-2009

[llsrkll]

lo voy hacer

y para eliminar el RECYCLER,System Volume Information y demas virus q hago con ellos??

se eliminan al ejecutar el ELIPEN

[msc hotline sat]

Los virus del SYSTEM VOLUME INFORMATION_RESTORE estan aparcados y salvo que restauraras a un punto anterior no te afectarian, pero para eliminarlos de alli, debes desactivar la restauracion de sistema, arrancar en modo seguro y lanzar tu antivirus que asi popdrá eliminarlos, luego no te olvides de volver a activar dicha restauraicon.



Y el RECYCLER normalmente es la papelera, se vacia y listos, pero si tras ello persiste alguna deteccion alli, con el ELIMOVER puedes COPIARLOS a c:\muestras para enviarnoslos para analizar, e implementar su control y eliminacion en nuestras utilidades. Aparte, si sabes que son virus, puedes marcar la casilla inferior izquierda para que les añada .VIR a los originales y asi no se actuivaran a partir del siguiente reinicio







ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





saludos



ms, 21-5-2009

[llsrkll]

lo que me gustaria saber como puedo recuperar todas las ejecutables q me hizo perder este virus

ya intente resturar el sistema pero tuve q crear ese punto de restaruracion pero sigue igual

noce si me entiende

[lucl]

Lo interesante es que limpies lo primero de todo tu pc. Luego una vez limpio ya volveras a instalar los programas que necesites. Algunos incluso debes desinstalarlos e instalarlos de nuevo dependiendo siempre del virus que se haya tenido. Asi que sigue las recomendacines de Msc y luego ya instalaras de nuevo los programas que te interesan saludos

[msc hotline sat]

No has dicho el o los virus que has tenido, y de virus que se propaguen por pendrive hay miles, y todos van a parar al RESTORE y cuando se borran a la papelera, asi que no es suficiente lo que indicas para poder ayudarte mas.



Y a lo que dices de [b][i]"lo que me gustaria saber como puedo recuperar todas las ejecutables q me hizo perder este virus"[/i][/b], sin saber el virus que tuviste... aparte de que esta pérdida de ejecutables puede haber sido por cualquier otra cosa...



Mira de decirnos el o los virus que tuviste, a ver si vemos alguna relación con la pérdida de ejecutables, aparte de que lo mejor es que si has perdido alguna aplicacion, la reinstalaras de nuevo.



Recordamos por ejemplo la familia de los Bagle, que corrompen aplicaciones y antivirus, y se han de reinstalar las que indican "no es una aplicacion valida de 32 bits", por si te suena este nombre, entre mas de un millón de otros virus...



saludos



ms, 23-5-2009

[llsrkll]

me explico ese autorun ingreso a mi compu por el uso de mi flas memori e iso q el antivirus(nod es el q uso) reconociera a las ejecutables como virus y proceda a eliminarlos.

ahora lo q sale es una ventana de un archivo infentado en el win32

[msc hotline sat]

Win32 y qué mas... porque con este prefijo hay cientos de miles, que solo indica que es un virus para windows de 32 bits...



y si lo que hizo fue infectarte todos los ejecutables y el NOD32 te los borra, igual ademas toenes un virus del tipo infector de ejecutables, lo cual no es propio de los virus de pendrive, pero ...



Mira, como que puede que tenags varios virus y hemos de saber cuales para obrar en consecuencia, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 23-5-2009

[llsrkll]

me sale la ventana de alerta del nod la direccion es: C:\WINDOWS\system32\4516.tmp (son diferentes numeros cada ves pero la misma extension).

cuando me sale la opcion eliminar le doy click y me sale otra ventana q dice noce pudo elimnar y mucho menos cambiar nombre.

y nunca puedo cerrar esa ventana solo me queda reiniar la maquina y resar q no me salga esa ventana.

[msc hotline sat]

Si tienes instalado el NOD32, va a incordiar con el escaneo del AV ONLINE indicado, asi que arranca en modo seguro con funciones de red para pasarlo



Tras ello nos posteas el informe resultante, gracias



saludos



ms, 25-5-2009

[llsrkll]

aqui hay algunas muestras veala por favor

[msc hotline sat]

Pues parece que ha pillado el Conficker !!!



Vea que se le pide enviar muestra para analizar:



[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v18.66[/i][/b]



Para ello:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





y vaya mirando los pasos para el Conficker:



Comprobador:

http://www.zonavirus.com/noticias/2009/nueva-variante-de-conficker-que-no-detectan-los-antivirus-actuales-pero-si-nuestro-comprobador.asp



Solucion:

http://www.zonavirus.com/noticias/2009/conficker.asp





saludos



ms, 27-5-2009

[llsrkll]

el segundo link esta mal asi q no pude descargarlo

una cosa mas no tengo internet en mi casa

[lucl]

Pues yo el segundo link lo veo bien, otro problema es que no tengas internet. Mira de copiar la pagina entera o de imprimirla desde otro pc y asi cuando vayas a casa llevas a cabo las instrucciones saludos

[msc hotline sat]

Y seguro que si no tienes internet, te entró por un pendrive infectado con dicho virus, cuando aun no estabas vacunado con el ELIPEN.



Vigila todos los pendrive que hayan tocado este ordenador, y vacunalos, al menos que no infecten mas ordenadores.



Y para tu conocimiento, este virus ha infectado mas de 10 millones de ordenadores... Es una pena que no estuvieras protegido, pero siguiendo nuestras indicaciones espero que podrás eliminarlo como hemos hecho en muchos miels de ordenadores.



saludos



ms, 28-5-2009

[llsrkll]

disculpe despues de usar esos dos programas de donde descargo el parche q segun dice debo de tener

[lucl]

Si te refieres al MS08-067 entra en este link que te dejo







http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx





nos comentas resultados saludos

[msc hotline sat]

y el ELIPEN:









vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver



el resultado del proceso





saludos



ms, 31-5-2009

[llsrkll]

disculpe la tardanza

quize utilizar el comprobador pero me sale error xq fue modificado por un virus q hago ahora

y algo raro paso en mi compu el programa winrar sale como archivo desconocido pero [b][i]aun[/i][/b] esta funcionando solo cambio la imagen

[llsrkll]

a algo mas lo descarge de nuevo el comprobador y si funciono en una compu q tenia internet ahora bien como podre usar yo este programa si no tengo internet en mi casa no habra otra maner para eliminar el configk o como se llame

[msc hotline sat]

Sí, claro, el COMPROBADOR solo es eso, un comprobador, pero no lo necesitas para eliminar el conficker si lo tienes.



Simplemente lanza el USB445, y como que no tienes internet no podrás actualizar parches como deberías, pero acti seguido reinicia en modo seguro (pulsando repetidamente F8 al arrancar) y lanza un escaneo con tu antivirus en dicho modo, y se supone que este hará el resto.



saludos



ms, 2-6-2009

[llsrkll]

ejecute el USB445, luego reinicie en modo seguro, escanie my compu varias veces sobre todo el disco C

y esto me salio, te lo dejo con fotografias xq mejor se explican

[llsrkll]

esta es la ultima informe



(28-5-2009 20:26:52)

EliStartPage v18.66 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\auto.exe"

"Debugger"="C:\WINDOWS\SYSTEM32\DRIVERS\DRIVERS.CAB.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\autorun.exe"

"Debugger"="C:\WINDOWS\SYSTEM32\DRIVERS\DRIVERS.CAB.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\autoruns.exe"

"Debugger"="C:\WINDOWS\SYSTEM32\DRIVERS\DRIVERS.CAB.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\boot.exe"

"Debugger"="C:\WINDOWS\FONTS\FONTS.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\ctfmon.exe"

"Debugger"="C:\WINDOWS\FONTS\FONTS.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

Sospechosa Clave "HKLM\...\Image File Execution Options\msconfig.exe"

"Debugger"="C:\WINDOWS\MEDIA\RNDLL32.PIF"

Sospechosa Clave "HKLM\...\Image File Execution Options\procexp.exe"

"Debugger"="C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HELPHOST.COM"

Sospechosa Clave "HKLM\...\Image File Execution Options\taskmgr.exe"

"Debugger"="C:\WINDOWS\FONTS\TSKMGR.EXE"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-5-2009 20:27:38)

EliStartPage v18.66 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 15817

Nº Total de Ficheros: 99722

Nº de Ficheros Analizados: 23435

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-5-2009 20:32:02)

EliStartPage v18.66 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 396

Nº Total de Ficheros: 10929

Nº de Ficheros Analizados: 1758

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-5-2009 20:32:52)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Unidad G:\ YA esta Protegida



(28-5-2009 20:47:03)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR



(28-5-2009 20:49:05)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Windows\System32\01F89.tmp" -> NO pudo ser Renombrado a .VIR

[msc hotline sat]

El Conficker usa rootkit y lanza un servicio infectado que aun arrancando en modo seguro lo carga e impide acceder a los ficheros viricos.



Igual el NOD32 no lo tienes actualizado y no lo controla, sino con el USB445 y tras ello (no arrancar de otra forma antes!) arrancar en modo seguro y lanza un antivirus que lo controle, se soluciona el problema.



Si asi no lo logras es que el antivirus que usas no está actualizado o no conoce la variante en cuestión.



Hemos eliminado miles de casos de esta forma, asi que tu caso no tiene porque ser diferente...



saludos



ms, 3-6-2009





NOTA: Como que seguramente no tienes el antivirus actualizado y no podrás actualizarlo por impedir el virus acceder a las webs antivirus, baja el Cureit y pruebalo:



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe



Si no puedes desde este ordenador, descargalo en otro y lo copias a este, pero ojo, el pendrive que utilices, antes de nada, desde el ordenador bueno, vacunalo con el ELIPEN, no vaya a ser que se te infecte en el malo y propaguemos mas el virus !!!

[llsrkll]

quizas algo no quedo claro, como en modo normal el antivirus q uso me lo detecta ese virus y en modo seguro no lo detecta

xq razon pasa eso, :shock:

[msc hotline sat]

Posiblemente tu antivirus vea el virus en memoria arrancando en modo normal, pero en modo seguro, al no cargarlo en memoria, su rootkit, que sí se carga incluso en modo seguro, no permite ver los ficheros.



Prueba lo que te he dicho y nos cuentas el resultado, gracias



saludos



ms, 4-6-2009