Usuario desesperado (CERRADO)

[rnelessar]

Hola gente. Un saludo a los especialistas. Vengo como toda la gente de aquí, a contar un problema. LA verdad quiero invocar a todos los software-sicologos de esta web y visitantes a q traten de colaborar conmigo porq de veras q estoy desesperado. Mi problema es el siguiente. Tengo el sistema operativo windows XP professional sin conexión a internet y de un tiempo a esta parte se me han metido unos virus malditos, q aunq no me han borrado o modificado seriamente archivos importantes -al menos hasta donde sé-, me fastidia porq me limita ciertos elementos de windows y no me deja ejecutar antivirus. Los sintomas son los siguientes:

-Administrador de tareas bloqueado. (al presionar Ctrl+Alt+Supr aparece un cuadro de diálogo con "El Administrador de tareas ha sido deshabilitado por un administrador)

-Editor de registro bloqueado (al tratar de acceder via "Ejecutar" aparece el mismo cuadro de diálogo)

-Antiviruses bloqueados. La mayoria no se puede ejecutar (NOD32, Avira, Panda, Mxone ya algunos mas en versiones no actualizadas) los pocos que se instalan se cierran al iniciar el escaneo. Por último no puedo ni ejecutar el CCleaner, q bien podría haberme servido en estos casos

-Entrada al modo seguro (a prueba de errores) bloqueada. En el arranque preisono F8 y selecciono "modo seguro", pero a los pocos segundos, antes de que aparezca la pantalla de carga de windows, o los logs, se reinicia.

Creo que tampoco se puede activar la opción de mostrar carpetas ya archivos ocultos, porque cuando la activo, se muestran, pero al cambiar de directorio (al ir a otra carpeta) se desactiva automáticamente.

No crean q no he intentado nada,porq quizá pueda decir q lo he intentado todo. Entre estas cosas estan hacer escaners con antivirus ejecutables, como el Flash Disinfector, el USB Cleaner, ClamWin Portable, Elistara, y varios más q ya ni recuerdo el nombre. Estos se bloquean o algunos solo detectan viruses hijitos pero no van a la raíz. Revisando por internet he sabido varias cosas. Primero q nada q este virus bloquea o corrompe ciertas aplicaciones (archivos .exe). Luego q es un virus q se inserta en el directorio de win32. Luego q solo es detectable por una version ultimisima de NOD32 a la q no tengo acceso (tambien si sera cierto- Alguien sabe porq ya no se puede descargar versiones demo de nod32???). Lo ultimo q hice al respecto fue hacer un escaner con Malwarebytes' Anti-Malware 1.39 y me detecto solo cuatro viruses. Dos de ellos eran las entradas de registro:

Elementos de Datos del Registro Infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Se eliminaron y se soluciono lo del administrador y el registro pero al poco de reinicar la maquina el problema volvio.

Este es mi problema gente, os invoco a q me socorran, y si lo hacen los tendre como genios de la web. Es mas, me comprometo en publicitar su link en el perfil de mi HI5 y en el portal principal de mi blog, facebook y msnspaces. SOS!!



ESTE ES EL INFORME DE ANALISIS DEL MALWAREWBYTES (cON TODO Y USBS CONECTADOS)

Debo mencionar que iniciando el análisis, aparece este mensaje, justo cuando empieza analizar el archivo mscories.dll de la carpeta system32





Malwarebytes' Anti-Malware 1.39

Versión de la Base de Datos: 2421

Windows 5.1.2600 Service Pack 2



23/07/2009 22:59:22

mbam-log-2009-07-23 (22-59-17).txt



Tipo de examen : Examen Completo (C:\|D:\|F:\|G:\|)

Objetos examinados: 128293

Tiempo transcurrido: 25 minute(s), 16 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 2

Elementos de Datos del Registro Infectados: 3

Carpetas Infectadas: 0

Ficheros Infectados: 4



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gcesh (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> No action taken.



Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\documents and settings\omar\jlnr.exe -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

C:\WINDOWS\system32\gcesh.exe (Trojan.Agent) -> No action taken.

c:\documents and settings\User\jlnr.exe (Trojan.Agent) -> No action taken.

d:\mis documentos\playrockgame 1.7\Members\fcPSGRun.exe (Malware.Packer) -> No action taken.

d:\system volume information\_restore{e020d744-f9d0-4153-a5d3-51c89892fb9b}\RP6\A0005283.exe (Malware.Packer) -> No action taken.



El "no action taken" fue antes de proceder a eliminar los archivos, tras esto, el virus seguía presente, como explico abajo.

Como antes dije, no tengo conexión a internet, de modo que no puedo hacer analisis online. Algo que recalco, es que a pesar de que este programa parece haber eliminado algunos virus, no los ha quitado todos, porq al reiniciar la maquina, y supuestamente completar el examen, el administrador de tareas se bloquea de nuevo y el editor de registro tambien.

[julibaga]

Una de las cosas que deberías hacer es actualizar a SP3 y los parches posteriores, sobre todo los parches [b]MS08-067[/b] y [b]MS08-078[/b]

También es importante que pudieras pasar el [b][url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url][/b] aunque fuese desde un USB.

Además. para ver los procesos bájate el [b][url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[lucl]

Y por si acaso las moscas yo probaria tambien el elibagla pero ve haciendo poco a poco ok, saludos.





http://www.zonavirus.com/descargas/elibagla.asp





Nota; debes pegarnos el log de infosat que te dejara en C saludos

[msc hotline sat]

Tras hacer lo antes indicado por lucl y julibaga, si aun tienes estos ficheros, envianoslos para analizar:



C:\WINDOWS\system32\gcesh.exe



c:\documents and settings\omar\jlnr.exe



d:\mis documentos\playrockgame 1.7\Members\fcPSGRun.exe



y para este prueba el [url=http://www.zonavirus.com/descargas/elimover.asp]ELIMOVER[/url] :



C:\RECYCLER\S-1-5-21-0989346863-8877962607-489029024-1925\sysdate.exe







y elimina estas claves:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman



HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools



HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-9-2009







nota:

Además vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[rnelessar]

Gracias por las respuestas, pero tengo dos detalles mas:

Primero, las herramientas como elistara y elibagla las he descargado hace unos dias y al ejecutarlas desde usb, me aparece un mensaje q dice "archivo modificado por un virus" contacte a satinfo. Y paf! se cierran. Antes el elistara me ha servido mucho, pero ahora parece ue cayo derrotado ante este cochino virus.

Segudo, como actualizo a sp3?? Servira esto a elkiminar el virus?? Gracias.

[msc hotline sat]

Por lo que parece, tiene un vius infector que modifica los ejecutables, y al tener nuestras utilidades un comprobador de checksum para garantizar su integridad, al haber sido modificados es detectado y se avisa al respecto.



No sé el virus del que se trata, pero posiblenente sea el VIRUT, por lo que le recomiendo descargue este AV y vea si con él lo detecta y elimina, pero claro, bajelo en otro ordenador y pruebelo arrancando en modo seguro, sino tambien se infectará !



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe



y nos cuenta el resultado, gracias



saludos



ms, 6-9-2009

[rnelessar]

Ok gente, este es el log del Sproc:





(6-9-2009 18:16:47 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: MORFEO1

Nombre Usuario: Omar



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\INSTALLER\MSI63.TMP

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\MY LOCKBOX\FLOCKBOX.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM32\SVUHOST.EXE

C:\ARCHIVOS DE PROGRAMA\D-TOOLS\DAEMON.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

F:\DOWNLOADS FILINGCLERK\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: Taskman=C:\RECYCLER\S-1-5-21-6434696057-4073500824-299018789-7852\bfrss.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Reader 8.0\ActiveX\AcroIEHelper.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [flockbox] C:\Archivos de programa\My Lockbox\flockbox.exe /a

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe

O4 - HKLM\..\Run: [Microsoft Windows Sound] svuhost.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\RunServices: [Microsoft Windows Sound] svuhost.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Adobe Reader Speed Launch.lnk

O4 - Global Startup: Adobe Reader Synchronizer.lnk

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Activada Restricción del Administador de Tareas.(DisableTaskMgr)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SolidConverterPDFv4ReadSpool (SCPDFV4ReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI63.tmp



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: asc3360pr - Unknown owner - C:\WINDOWS\system32\drivers\ormjrn.sys (file missing)

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Netgroup Packet Filter (NPF) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



18 Servicios.

4 de Carga Automatica.

13 de Carga Manual.

1 Deshabilitados.







Ahora este es el log de la ultima version de elistara, q acabo de descargar, llego a dar con un par de gusanillos pero no logro desbaratar el virus principal







(30-8-2009 18:30:10 (GMT))

EliStartPage v19.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "MICROSOFT WINDOWS SOUND")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\svuhost.exe

a "virus@satinfo.es". Gracias.

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=wyukf.pif

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(30-8-2009 18:30:56 (GMT))

EliStartPage v19.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 1900

Nº Total de Ficheros: 24528

Nº de Ficheros Analizados: 8855

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(30-8-2009 18:33:01 (GMT))

EliStartPage v19.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\Mis documentos\T.M.F. Encyclopedia\Comptron\G.G. Project\Hacker roba datos USB\Hack\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 848

Nº Total de Ficheros: 11600

Nº de Ficheros Analizados: 2111

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(30-8-2009 18:33:48 (GMT))

EliStartPage v19.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Agosto del 2009)

--------------------------------------------------





Por ultimo, un detalle mas. Desde hacia tiempo que, en pleno proceso de cualquier aplicacion (esto pasa con ciertas aplicaciones, como juegos), me aparece de la nada una ventana que dice "No hay disco en la unidad E", y en la barra de titulo de esta ventanita aparece



"HPWuShd2.exe No hay disco"



Eso es un virus definitivamente creo porq no se puede explicar de otra manera que la lectora de cd se autoejecute.





Voy a seguir la sugerencia del "virut", en breve te cuento q paso gracias

[msc hotline sat]

Pues para empezar le faltan un monton de parches: Los 1073 del SP3 y posteriores, entre ellos el tan importante MS08-067 contra el Conficker !!!



Lance un windowsupdate e instale todos los que le detecta que faltan.



Ademas, vemos estos sospechosos, envianoslos para analizar:



C:\WINDOWS\SYSTEM32\SVUHOST.EXE



C:\RECYCLER\S-1-5-21-6434696057-4073500824-299018789-7852\bfrss.exe ----> (para enviarnoslo primero copielo a C:\muestras con el [url=http://www.zonavirus.com/descargas/elimover.asp]ELIMOVER[/url])



C:\WINDOWS\system32\msupdte.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





Y TIENE DESHABILITADO EL REGEDIT Y EL ADMINISTRADOR DE TAREAS:



O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



Activada Restricción del Administador de Tareas.(DisableTaskMgr)



PERO ELLO YA LO RESTAURARÁ EL ELISTARA...





y en el Infosat vemos:



Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\svuhost.exe





lo cual ya se lo pedimos gracias al SPROCES... :)



y que el ELISTARA ha restaurado las claves para arrancar en modo seguro que por lo visto el bicho impedía:



Restaurada Clave: "SafeBoot\Minimal y Network"



y le pedimos que nos envie mas ficheros:



Detectado AUTORUN.INF en la Unidad (F)

open=wyukf.pif

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



este Wyukf.pif estará en F: (seguramente pendrive), pruebe el ELIMOVER para copiarlo a C:\muestras desde donde le será mas facil enviarnoslo.



y sobre el fichero que menciona que le aparece una ventana de que no lo encuentra, no hay datos:



http://www.processlibrary.com/directory/files/hpwushd2.exe/



posiblemente sea de un resto de alguna aplicacion antigua...



Y como que hemos visto que colea por aqui un virus de pendrive por lo del AUTORUN,





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Cuando recibamos las muestras solicitadas, las analizaremos e informaremos



saludos



ms, 9-9-2009

[rnelessar]

Ya envie las muestras.

Aparte de los q hemos mencionado aqui las q me pediste, meti unos q el elimover no detectaba, q son unos archivos en un carpeta llamada recycler, con icono de papelera, yo las copie y les quite los atributos de archivo oculto y las empaque junto con los otros en las muestras. Cabe aclarar q yo no tengo conexion a internet, (ya lo especifique en el primer post), y no puedo ejecutar updates. So me dieras otra solucion...

[msc hotline sat]

Pues mañana veremos las muestras que nos envias y tras analizarlas, informaremos



Y los updates conviene hacerse con el ordenador conectado a internet, llevalo a un punto donde lo haya, que seguro que tienes un amigo que te dejará hacerlo.



La otra solucion de bajarte los parches sueltos y los instales no te lo aconsejo, pues muchos depende del sistema operativo, del lenguaje etc. Conviene hacerlo ONLINE



saludos



ms, 15-9-2009

[msc hotline sat]

Tienes virus de pendrive, un AUTORUN.INF que llama a un fichero sito en:



\drive\usbchk.exe



que es generado por el PALEVO, y como que el BFRSS.EXE que nos envias lo es, con el ELIPALEVO lo controlamos , pruebalo



[b] ELIPALEVO.EXE[/b]

http://www.zonavirus.com/descargas/elipalevo.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Y el otro fichero SVUHOST.EXE está infectado por el Sality, que es un virus infector, lo raro es que no tengas muchos mas infectados por el mismo... Este lo debes eliminar, pero debes examinar todo con un antivirus actualizado, que no tengas ninguno mas infectado por él.





Y vacuna ordenador y pendrives contra la prpopagacion de virus de pendrive con el ELIPEN







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





SALUDOS



MS, 16-9-2009

[rnelessar]

Gracias porla respuesta, pero quiero contarles algo mas. Hace poco baje el trojan remover, con lo que parece que se pudo con algunos bichos, porque, por ejemplo el editor de registro y el taskmanager se desbloquearon. El problema es que cuando accedo a cualquiera de ellos, se abren, pero luego de 5 segundos se cierran automaticamente. Seguira el virus?? Pero al menos pude hacer algo mas. Yo tenia el modo seguro bloqueado tambien, como lo postee arriba. PEro ya q tenia el registro accesible, ejecute un archivo q modifica la entrada del modo seguro, y al fin pude acceder a el. En modo seguro, ejecute el "virut", pero no dio con ningun virus luego de que termino el escaneo. Lo esencial es q tengo acceso al modo seguro. Puedo hacer algo con esto???

PD: Reitero q no tengo conexion a internet

[msc hotline sat]

No nos ha posteado el infosat.txt como le pediamos despues que probara el ELIPALEVO y el ELIPEN... Si no nos hace caso, no hace falta que nos pida consejo...



[img]https://foros.zonavirus.com/download/file.php?id=1988[/img]



Proceda en consecuencia



saludos



ms, 26-9-2009

[hesm3]

hey tengo un problema similar y lo peor es que elipalevo no detectó nada, aunque cuando reviso mi usb aparece el mismo archivo. Desde otra pc que usa linux logré ver los archivos ocultos, entre ellos el mismo autorun antes mencionado. La misma carpeta "drive" y el mismo archivo usbchk.exe. Pero con la diferencia que puedo abrir el taskmanager y el msconfig, pero por ninguna parte encuentro rastro del mismo. Probé con el ELIPALEVO y nada. alguien conoce alguna herramienta para eliminar el archivo.

[lucl]

Prueba esto



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe





y nos pones el resultado en otro post que abriras para ti explicandonos bien los sintomas y los pasos que has dado. Este post es de otro forero y ademas es un tema antiguo



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382





Saludos.

[msc hotline sat]

Pues no sé a qué esperas para postearnos el contenido de c:\infosat.txt, como pedimos...



Seguro que en el mismo se pedían que enviaras muestras para analizar y asi poder detectar las nuevas variantes, como vamos haciendo cada día, pero si no colaboras...



Y como muy bien dice nuestra moderadora lucl, hazlo en un Tema que abrás para tí, que este es antiguo y se cierra en consecuencia



saludos



ms, 15-10-2009

ref PA/Pl+7.42-80.92