Win32/Pinit... Ayuda! (SOLUCIONADO)

[Jorge913]

Buenas! Resulta que al prestar un pendrive al devolvermelo venía con sorpresa, nada mas insertarlo en mi PC se puso la pantalla entera negra (esto pasa desde hace tiempo, al insertar algún dispositivo USB hay veces que la pantalla se queda así y hay que reiniciar, no se por qué) y al reiniciar y volver a empezar el Nod32 me dice que ha detectado una infección. Se trata del virus Win32/Pinit y me esta haciendo la vida imposible.



Para empezar el Nod32 dice que el virus se encuentra en la memoria operativa y no hay manera de borrarlo, también esta en algunos archivos de System32 de los cuales solo he borrado uno y el otro cada vez que el PC se reinicie debido a que el Nod32 lo pide para poder desinfectar, vuelve a aparecer sin poder hacer nada. Además programas como el MSN u otro que se sirva de la barra de tareas junto al reloj no deja abrirlos (salvo el ZoneAlarm y el Nod32).



También he intentado restaurar pero cuando toca darle a "Siguiente" para que comience la restauración no funciona, le doy una y otra vez pero es como si el botón no hiciese nada.



No hace falta decir que todoe esto lo he probado también en el Modo Seguro y tengo el mismo resultado. Por ahora he formateado el pendrive (en el que por cierto si lo inserto, aparece un archivo llamado game.exe que si borro aparece una y otra vez).



Espero poder encontrar aquí la solución porque no creía yo que con el Nod32 pudiese pasar algo como esto :x



Gracias.

[lucl]

Mira vas a pasar estos dos programas que te indico, el elipen es para vacunar el pc y pendrives diversos. Es probable que te pidan nos envies muestras, si es asi arriba a la derecha tienes el boton de envio. Debes comprimirlos en winrar o winzip y ponerles de contraseña la palabra virus. No obstante una vez los pases te dejaran en C un log llamado infosat.txt del que debes pegarnos el contenido. Y si tienes localizado el archivo infectado y nos lo puedes enviar hazlo tambien. Prueba al archivo game.exe añadirle extension .vir. Debe quedarte asi game.exe.vir y nos comentas tus avances gracias saludos.





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elipen.asp

[Jorge913]

Bien, me dispongo a descargar ambos programas pero tengo una duda. Debería hacerlos funcionar desde Windows normal o desde el Modo Seguro? Y si es esto último, desde mi perfil o el del administrador?



También decir que antes de ver la respuesta estuve escaneando el PC con AntimalwareBytes y con Spybot y han conseguido eliminar varios troyanos pero el virus sigue en la memoria operativa, lo que creo que es el problema principal ya que vuelve a aparecer tras desinfectar con el Nod32 tras un reinicio.



Un saludo.

[msc hotline sat]

Mejor probarlos en MODO SEGURO, y si en el informe se te pide que nos envies ficheros para analizar, hazlo, y sino, envianos los que el antivirus detecte y no haya podido eliminar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-8-2009

[Jorge913]

Bueno siento decirlo pero he enviado tres SMS y no me ha llegado nada :?



No se a que se debera esto pero ya que no puedo conseguir el codigo, que debería hacer? Enviar el archivo infectado o me ayudáis con alguna otra herramienta gratuita?

[lucl]

Es raro lo que comentas de los sms, mirare de comentarlo con los admins. Si lo tienes localizado envianoslo como te dije anteriormente, añadele extension .vir y asi no te incordiara hasta que lo analicemos. Nos comentas si pudiste enviarlo saludos.

[Jorge913]

Ahí esta, enviada la muestra. A ver como se soluciona esto :)

[msc hotline sat]

Mañana, cuando reentremos a trabajar en SATINFO, la analizaremos e informaremos.



Mientras tanto, posteanos el contenido de C:\infosat.txt y te diremos lo que debes hacer al respecto.



saludos



ms, 30-8-2009

[Jorge913]

Resulta que ayer, dos horas o así después de mandar los SMS llegaron los codigos :lol:



Bueno, cuando he descargado el Elistara y lo he pasado en Modo Seguro, no ha detectado nada. Os dejo el informe igualmente...





(30-8-2009 12:33:27 (GMT))

EliStartPage v19.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 12025

Nº Total de Ficheros: 143613

Nº de Ficheros Analizados: 33777

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Falta parte del informe, especialmente la parte de analisis por ACCION DIRECTA del ELISTARA, y todo el informe que corresponde al ELIPEN que es donde esperabamos ver si tenias un AUTORUN que ejecutara algun fichero...



Si no hubieras aun ejecutado el ELIPEN, como te decia lucl, hazlo, y luego nos posteas el contenido de C:\INFOSAT.TXT pero esta vez COMPLETO !!!



SALUDOS



ms, 30-8-2009

[Jorge913]

Pero es que no hay nada de ese analisis. A ver, yo puse en marcha el programa y me salió un mensaje diciendo que el archivo InfoSat.txt ocupaba ma de 200 KB y que si quería eliminarlo (o algo así). Yo le dije que sí y cuando miré en C:, el archivo estaba ahi pero pesaba solo 1 KB. Ese log es el que he puesto aquí en mi anterior post.



Ahora he vuelto a pasarlo y he dejado que pese tanto como quiera y lo unico que ha añadido es lo de borrar el fichero HOSTS y cosas del Internet Explorer, lo que creo que no es el analisis por acción directa.



Y por otro lado, el informe del Elipen es más de lo mismo, solo un par de lineas que dicen que la unidad del pendrive ha sido protegida. No hay nada más.


[quote]


(30-8-2009 20:58:40)



EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.



------------------------------------------







Unidad G:\ Protegida


[/quote]

Aparte de todo esto, yo también he estado investigando con esto del virus y me parece que voy a poder llegar a algo así que si lo consigo lo dejo escrito por aqui. Pero no me abandonéis todavia por esto :mrgreen:



EDIT: La manera que estaba investigando para acabar con el virus al final ha resultado ser más dificil de lo que parecía, asi que ya solo me quedais vosotros como ulitma esperanza :wink:

[msc hotline sat]

La información que necesitabamos podía estar en el fichero que eliminstes, al menos podías haberlo leido a ver lo que decía..., pero en fin, ahora ya se ha creado uno nuevo (al que se iran añadiendo los informes de testeos de nuestras utilidades), no lo borres pues es información que puede ser necesaria en casos como este.



Pero al menos ya tienes el ordenador y este pendrive protegido... Solo tienes uno ??? Hazlo con todos, y si tras ello el infosat indica haber detectado algun AUTORUN.INF, posteanoslo de nuevo, gracias



saludos



ms, 31-8-2009

[msc hotline sat]

Recibida la muestra enviada, el preanalisis indica que es un fichero del sistema modificado:



File user32.DLL received on 2009.08.31 08:49:15 (UTC)

Current status: finished



Result: 13/41 (31.71%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.08.31 -

AhnLab-V3 5.0.0.2 2009.08.29 -

AntiVir 7.9.1.7 2009.08.31 -

Antiy-AVL 2.0.3.7 2009.08.31 -

Authentium 5.1.2.4 2009.08.30 -

Avast 4.8.1335.0 2009.08.30 Win32:SysPatch

AVG 8.5.0.406 2009.08.31 -

BitDefender 7.2 2009.08.31 -

CAT-QuickHeal 10.00 2009.08.31 -

ClamAV 0.94.1 2009.08.31 -

Comodo 2124 2009.08.31 -

DrWeb 5.0.0.12182 2009.08.31 -

eSafe 7.0.17.0 2009.08.30 -

eTrust-Vet 31.6.6707 2009.08.28 Win32/Pruserinf

F-Prot 4.5.1.85 2009.08.29 -

F-Secure 8.0.14470.0 2009.08.31 Trojan.Win32.Patched.gq

Fortinet 3.120.0.0 2009.08.31 W32/Patched.D!tr

GData 19 2009.08.31 Win32:SysPatch

Ikarus T3.1.1.68.0 2009.08.31 -

Jiangmin 11.0.800 2009.08.31 -

K7AntiVirus 7.10.831 2009.08.29 -

Kaspersky 7.0.0.125 2009.08.31 Trojan.Win32.Patched.gq

McAfee 5725 2009.08.30 potentially unwanted program Patched User32

McAfee+Artemis 5725 2009.08.30 potentially unwanted program Patched User32

McAfee-GW-Edition 6.8.5 2009.08.31 -

Microsoft 1.5005 2009.08.31 -

NOD32 4383 2009.08.31 Win32/Pinit

Norman 2009.08.29 -

nProtect 2009.1.8.0 2009.08.31 -

Panda 10.0.2.2 2009.08.30 W32/Patched.H

PCTools 4.4.2.0 2009.08.30 -

Prevx 3.0 2009.08.31 -

Rising 21.45.01.00 2009.08.31 -

Sophos 4.45.0 2009.08.31 Troj/User32Hk-A

Sunbelt 3.2.1858.2 2009.08.31 Trojan.Win32.Patched.dr (v)

Symantec 1.4.4.12 2009.08.31 -

TheHacker 6.3.4.3.392 2009.08.31 -

TrendMicro 8.950.0.1094 2009.08.30 Possible_Patch-1

VBA32 3.12.10.10 2009.08.30 -

ViRobot 2009.8.28.1907 2009.08.28 -

VirusBuster 4.6.5.0 2009.08.30 -

Additional information

File size: 578560 bytes

MD5 : bbf624cbd87be2e48c774649cf7dd01b

SHA1 : f71ba360556d7e7da87a89a2d3f7c5a37433ed5e





Conviene que sustituya dicho fichero por el original, que puede obtener de otro ordenador con igual sistema operativo



Puede tambien hacerlo restaurando el sistema a un punto anterior al problema, para lo que puede probar elñ ELRSTRUI:





[b] ELRSTRUI.EXE [/b]

http://www.zonavirus.com/descargas/elrstrui.asp



saludos



ms, 31-8-2009

[Jorge913]

Bien a ver, lo borré porque al salir ese mensaje del propio programa había que hacerlo pero bueno, error por mi parte.



Ahora, muchas gracias por mirar lo del user32.dll pero tengo varias dudas. Puedo conseguir otro archivo user32.dll pero a la hora de cambiarlo debería hacerlo en modo seguro? O incluso mejor, tengo una partición que no usa Windows, por lo que creo que sería mucho mejor cambiarlo desde ahi ya que Windows no se inicia.



El Nod32 me decía que el virus se encontraba en la memoria operativa, así que si cambio el user32.dll infectado por uno en condiciones, no volvería a infectarse por estar en la memoria?



Y por último, Windows no me deja restaurar el sistema, le doy a siguiente y siguiente pero no pasa de ahi, es como si el boton no hiciese nada salvo dejarse pulsar. Me podeis explicar un poco mejor lo del ELRSTRU?



PD: El Elipen da protección a discos duros si lo aplico sobre ellos, verdad?

[msc hotline sat]

Vamos por partes:



Como sea que puede que el user32.dll lo tengas tambien en la carpeta c:\windows\syetem32\dllcache\ , lo primero es cambiar el de aqui, pues es el que se cuida de mantener el otro. Luego cambia el otro, y todo ello de acuerdo hacerlo arrancando en modo seguro.



La memoria es volátil y se borra cada vez que se apaga el ordenador o se reinicia. Son los ficheros los que ponen el virus en memoria, y luego esta hace el resto.



El RSTRUI.EXE es una aplicacion de windows. Nuestra utilidad no es mas que una facilidad de acceso a la misma. Mira el manual de windows para conocer sus pormenores, pero básicamente sirve para crear y restaurar puntos de restauracion, con lo que se restauran los ficheros y claves de registro que hubieran en dicho punto.



El ELIPEN aplicacdo a las unidades crea una carpeta AUTORUN.INF quie impide que los virus de pendrive creen un fichero que se llame igual, el cual usan dichos virus para lanzar el malware cuando se accede a dicha unidad.





Y tras restablecer dicho fichero, reinicie y ciuentenos el resultado, gracias



saludos



ms, 31-8-2009

[Jorge913]

Ok, voy a ello. Lo unico que no tengo la carpeta dllcache, por lo que voy a cambiar el fichero de system32 por el de otro ordenador directamente.



Dentro de un rato comento!

[msc hotline sat]

MUY RARO !



Dentro de la de windows y system32 tienes dicha carpeta, de sistema , por ello quizas no la ves.



Configura windows para ver ficheros ocultos y de sistema, y veras dicha carpeta y el fichero en cuestion.



Sino miralo desde una ventana al DOS, lanza un DIR \user32.DLL /a /s y verás dicho fichero dentro de dicha carpeta.



Y si no empiezas por cambiar este, de nada te va a servir, pues ello sirve para cuando se pierde un fichero, se borra o altera, restairarlo automaticamente windows con los que alli haya, asi que ...



saludos



ms, 31-8-2009

[Jorge913]

Pues mira, ahora mismo acabo de reiniciar tras intentar sustituir el archivo en modo seguro y ya te digo que el Windows dice que user32.dll esta siendo usado por algun programa y que no puede sustituirse, que cierre antes los programas que puedan estar usandolo.



En cuanto a la carpeta dllcache, ya tengo la opción de ver archivos ocultos y no había nada y en el otro ordenador del que he cogido el user32.dll limpio tampoco está. Voy a mirar por DOS como me has dicho.

[Jorge913]

Vale, perdon que es que hay dos casillas que se refieren a archivos del sistema y solo tenía marcada una :lol:



Ahora veo la carpeta, si cambio primero ahí podré cambiar luego en system32? O volverá a salir el mismo error de que está siendo usado?

[msc hotline sat]

Si ya ves la carpeta DLLCACHE, sustituye el fichero user32.DLL por el bueno, y tras ello la cuestión es que al borrar el de la carpeta de sistema, será sustituido por este automaticamente, que es como el virus ha logrado sustituirlo.



Si se resiste, mira si puedes añadirle la extension .VIR, que windows lo permite aunque esté en uso, y asi lograrás cambiarlo.



Y nos cuentas el resultado, gracias



saludos



ms, 31-8-2009

[Jorge913]

j**e, ahora si la he hecho buena :cry:



Me he equivocado creyendo que al borrarlo el sistema se encargaria de sustituirlo desde dllcache, he reiniciado y ahora como no error porque no se encuentra user32.dll. Y mira que yo ya sabía que no debía borrarse, pero con las prisas me he equivocado.



Creo que todavía puedo poner el archivo desde el CD de instalación de Windows :cry: :cry:

[msc hotline sat]

Tranquilo, siempre puedes copiarlo arrancando con el disco de instalacion de windows, entrando en consola de recuperacion (pulsando R) y desde DOS acceder a C:\windows\system y copiar dicho fichero.



Todo fuera tan fácil ...



saludos



ms, 31-8-2009





NOTA: Tambien arrancando desde un LIVE CD o colocando el disco duro como esclavo en otro ordenador, pero vamos, lo primero creo que es mas fácil !



Y por cierto, como que el ELISTARA 19.16 de hoy controla algo mas sobre el MARIOFEV!.worm que parece ser un alias del PINIT, tras copiar el USER32.DLL indiado, descarga dicha versión de hoy y pruebala:




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Por cierto, este Mariofev (Mario forever) se propaga haciendo copias del gusano a las unidades de Red, asi que si este ordenador está en Red, ojo que los demás pueden estar infectados.



ms.

[Jorge913]

Gracias, lo descargaré en cuanto termine.



Es que acabo de restaurar user32.dll y ahora la pantalla azul me dice: STOP c0000135. No se encuentra winsrv.

Dice aplicación, así que existe un exe con ese nombre? Porque he intentado copiar tambien el winsrv.dll y decía que ya existía asi que he sobreescrito. Pero al reiniciar ha salido la misma pantalla azul.



PD: Supuestamente no estoy en red con los otros ordenadores porque con el ZoneAlarm activado no me dejaba acceder a los documentos compartidos, asi que supongo que no se habrá propagado.

PD2: Perdón por liarla tanto, estamos haciendo una montaña de un grano de arena.

[msc hotline sat]

Entiendo que se refiere al winsrv.dll pues el winsrv.exe lo controlamos en la carpeta de sistema como malware.



Comprueba que realmente tengas la DLL indicada en la carpeta de sistema...



saludos



ms, 31-8-2009

[Jorge913]

Si, si esta. Tras decirme que iba a sobreescribir y aceptar, he mirado para comprobar si es así. Es una dll en la carpeta System32.



He estado mirando buscando información y he encontrado esto:


[quote]Buenas. Ayer pase toda la noche buscando soluciones a este problema, hasta que di con la combinacion perfecta (al menos para mi lo es), y desde luego muy rapida. Puedes tener la maquina otra vez en marcha en unos 20 minutos.

Ahi van los pasos que yo sigo.



Herramientas necesarias: CD WinXP SP2, Floppys, Pendrive o CDs virgenes para mover los parches, Maquina alternativa con XPSP2 sin infeccion, o bien descargar librerias de http://www.dll-files.com/ , y

drivers SATA en floppy del PC infectado, por si el CD de WinXP no reconoce el disco duro.





1.- Cargo el cd de Winxp SP2, con los controladores SATA de la maquina si los necesita.



2.- Arranco la recuperacion del sistema, con "R" mediante la consola de recuperacion.



3.- Inserto un disquete en el que previamente he conseguido meter una version limpia de estos dos ficheros : "winsrv.dll" y "user32.dll" . (version limpia= mas moderna, porque es la que aplica el parche que luego meto) Como indicacion de la version en propiedades de esos ficheros yo tengo:

winsrv.dll 5.1.2600.3099

user32.dll 5.1.2600.3103



4.- Uso estos comandos, en este orden:

a: <Enter>

copy winsrv.dll c:\windows\system32 <Enter>

"desea sobreescribir?" s <Enter>

copy user32.dll c:\windows\system32 <Enter>

"desea sobreescribir?" s <Enter>



5.- Reinicio EN MODO A PRUEBA DE FALLOS. (pulso F8 en cuanto aparece el arranque en pantalla)

****OJO!!! si reinicias UNA sola vez en modo normal despues de sobreescribir esos ficheros,

tendras que repetir los pasos 1 al 5!!!! *****



6.- Aplico el parche "WindowsXP-KB925902-x86-ESN"

->> http://www.microsoft.com/downloads/d...displaylang=es

que habre copiado en un pendrive o cd descargado desde una maquina limpia.



7.- Reinicio en modo normal.



8.- Aplico la acumulacion de parches "winup.ver27"

->> www.winup.es/, la puedo descargar en la maquina ya que ahora es 100% operativa.



7.- Reinicio en modo normal.



9.- Limpio registro con el Regseeker.

- >> http://www.hoverdesk.net/freeware.htm



10.- Maquina operativa SIN necesidad de eliminar el AVG.[/quote]

Es de unos problemas que hubo con AVG hace un tiempo, seguro que lo conoces ;) Pero me llama la atención que quizá necesite una actualización y si no no hay manera, como le pasa a ese user.

[msc hotline sat]

Entiendo que tienes los parches al día, pero si no fuera el caso, debes instalarlo, claro



Y lo del AVG ya quedó solucionado, pero prueba las indicaciones, por probar ...



saludos



ms, 31-8-2009

[Jorge913]

Tras sobreescribir los dos y reiniciar ha pasado lo mismo, no se encuentra winsrv.dll pero he mirado y ambos están tanto en system32 como en dllcache. Además,el virus no tocó winsrv. Hay algun otro directorio donde debería ir winsrv?



Veo todo muy negro, no había una forma de que Windows reinstalase componentes sin tocar la información o es cosa mia?

[msc hotline sat]

Sí, lanzando una REPARACION DE SISTEMA:


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



saludos



ms, 31-8-2009

[Jorge913]

Bueno cuento finalmente como ha terminado la cosa...



Resulta que al reinstalar y reiniciar, la pantalla se quedaba en negro tanto al reiniciar normal como si entraba al modo seguro. Volví a reinstalar y más de lo mismo. Al final conseguí entrar Windows, salvé las cosas importantes y ale, un formateo y a empezar de nuevo (que en realidad ya tocaba pero siempre encontraba exucsa para no hacerlo).



Pasare el Elistara y usaré de nuevo el Elipen pero esto está limpio sí o sí.



Muchas gracias por las molestias :wink:

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 1-9-2009









NOTA: Recuerde tras formatear instalar todos los parches de Microsoft con un windowsupdate y vacunarlo con el ELIPEN. ms.