Ayuda con Virus

[JESP]

Hola a todos, hace algún tiempo que tengo un virus en el equipo y no soy capaz de solucionarlo. Lo que me ocurre es, entre otras cosas:



- Se desactiva antivirus y firewall

- No me deja abrir el administrador de tareas ni regedit

- IE da errores de memoria y se cierra, además no puedo abrir las opciones.

- Se abre al iniciar el ordenador un supuesto antispyware que tras cerrarlo con tune up process manager se vuelve a abrir de vez en cuando.

- No puedo abrir pendrives

- ...

He intentado haceros un informe con el detector de kapersky, ahblab, panda... pero no se por qué, no me carga (cosa del virus, supongo), asi que no se. Mi antivirus es Avira y también tengo instalado Malwarebytes y me encuentra cosas en modo seguro, pero las elimina y esto sigue igual, y la ultima vez tuve que tirar de la ultima configuracion buena conocida porque no se que se cargó, pero el XP no cargaba.



A ver si me podeis ayudar. Gracias!

[msc hotline sat]

Pues lo que indicas de desactivar el taskmanager y la escritura del registro, lo hacen muchos malwares.



Puedes mirar si es de los que ya controlamos con el ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el



resultado del proceso
[/quote]

y si no, posteanos el sproclog.txt generado por el SPROCES y lo analizaremos:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un



copiar y pegar



saludos



ms, 10-6-2009

[JESP]

Esto es lo que me da el txt





(10-6-2009 13:43:31)

EliStartPage v18.66 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-6-2009 13:43:47)

EliStartPage v18.66 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\drivers\BCRWU.SYS --> Eliminado, Banker.AGNE(sys



Nº Total de Directorios: 5729

Nº Total de Ficheros: 52036

Nº de Ficheros Analizados: 13474

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(10-6-2009 13:51:41)

EliStartPage v18.66 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 7033

Nº Total de Ficheros: 139720

Nº de Ficheros Analizados: 16110

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Gracias!

[msc hotline sat]

Pues ya ves que tenias este Banker... :



C:\WINDOWS\system32\drivers\BCRWU.SYS --> Eliminado, Banker.AGNE(sys



que hemos eliminado, pero ojo con lo que puede haber enviado al coder que lo hizo, ya que los bankers acostumbran a enviar numeros de cuentas bancarias y passwords , asi que si hiciste transferencias desde este ordenador o consultante cuentas bancarias, habla con tu banco, no sea que hagan una transferencia de tus fondos a algun pais oriental... (Rusia y China son los usuales)



Entendemos que ya se ha restablecido el acceso al Administrador de Tareas y a la edicion de registro, como hace normalmente el ELISTARA, asi que damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 10-6-2009

[msc hotline sat]

Visto lo que indicaba, procedimos a darlo por solucionado, pero nos indica en privado que persisten los problemas o anomalias, y reabrimos el Tema en consecuencia



saludos



ms, 10-6-2009

[JESP]

Hola de nuevo, pues después de pasar elistara, los problemas persisten, sigo teniendo los mismos problemas que he descrito antes... Alguna idea?



Gracias

[lucl]

Pues como Msc te sugirio anteriormente





[i]y si no, posteanos el sproclog.txt generado por el SPROCES y lo analizaremos:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un



copiar y pegar[/i]



hazlo y seguimos saludos

[JESP]

Pffff no puedo descargar... Cuando clickeo sobre el botón no hace nada, como si no clickeara...



Saludos

[msc hotline sat]

Pruebalo arrancando en modo seguro con funciones de red, igual tienes algo residente que te está incordiando, y arrancando de esta forma posiblemnente no sea lanzado y consigas tu propósito.



En cuanto lo hayas descargado, pruebalo y tras pulsar SALIR, nos posteas con un copiar y pegar el contenido de c:\sproclog.txt



saludos



ms, 11-6-2009

[JESP]

No hay manera :? El problema es que no lo puedo descargar desde otro PC porque no me van los pen drives, y el ordenador no tiene lector de cd ni nada :oops:

[msc hotline sat]

Existen lectores de CD externos, que se conectan via USB, porque sino este ordenador está mu limitado ...



Y el Tema de que no le van los pendrives..., en otro ordenador empiece por vacunarlo con el ELIPEN, como tambien los pendrives a usar, y copiele el SPROCES , luego llevelo al infectado y tras probarlo, nos postea el contenido del informe resultante.



saludos



ms, 12-6-2009







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso