Win32 - (PC1) Problemas en 2 Pcs (TERMINADO)

[satyra]

Buenas,

No sé si este es el Foro correcto al que acudir si hay algún problema hacedmelo saber por pm

Hace dos semanas que tengo los dos ordenadores del trabajo con problemas (estaban conectados en red).

Os cuento: Primeramente el Pc1 dejó de entrar en Modo Normal al windows, y sólo puedo acceder a él con el F8 y Modo seguro con funciones de Red, el Pc2 iba correctamente.

Así que en un principio creía que sería del registro de inicio de windows o algo similar, reinstalé windows con restauración, ya que quería salvar los archivos del trabajo.

Al terminar la instalación del windows en el Pc1, el Pc2 dió el mismo problema. Deducción, están infectados por virus.

Encontró en el Pc1 el virus Win32/Induc32 detectado por el Avast! No me dejaba hacer restauración, así que la desactivé para proceder a detectar y eliminar virus. Pasé varios antivirus, y fui eliminando las aplicaciones y archivos infectados.

Aun así sigo teniendo problemas.

El ESET online me detectó más cosas: una variante de Win32/Adware.ADON, una variante de Win32/HackTool.Patcher.C Troyano, una variante de Win32/Induc.A virus.

El Pc2 pasé lo mismo y sólo me detectaba un archivo infectado con win32/PTCasino, el cuál borré.

Pasé el A-Squared a los dos y el Malwarebytes (así como spy-bot, ad-aware. Avg, ccleaner, regseek..)

Ahora mismo en el Pc2 no detecta ningún virus, ni spyware, ni nada, pero sigue si poder entrar en Modo Normal al Windows.

En el Pc1 tampoco detecta nada. Pero sigue con el problema.



Cómo deduciréis si fuera mi Pc Personal haría format C y a correr, pero al ser del trabajo me interesaría poder desinfectar las claves de registro o lo que sea y esperar a formatear en Febrero, que es cuando el programa de contabilidad lo permite de forma limpia.

Tengo los dos logs de HijackThis del Pc1 y Pc2.

Os los copio:
[attachment=1]hijackthis-PC1.txt[/attachment]
[attachment=0]hijackthis-PC2.txt[/attachment]

Mil gracias de antemano, porqué llevo días peleándome con esto.

[flacoroo]

Haz lo siguiente: bajate estos programitas y ejecutalos de forma normal y si no puedes reinicia tu computadora y hazlo de modo seguro, despues que termine nos pegas el resultado que se crea en C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar ElistAra[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Descargar Elinotif[/url] (complemento de ElistAra deben estar en el mismo lugar)

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]



Esta Utilidad es para proteger los discos duros y Pendrives(usb) contra la propagacion de virus atraves de dichas unidades removibles.

[url=http://www.zonavirus.com/descargas/elipen.asp]Descargar EliPen[/url]



pero primero desactiva tu activirus para que no problemas al escanear las utilidades.

[msc hotline sat]

Hay muchos ficheros sospechosos, de nombre parecido parecido al wmspdmod.dll, como wmpdxm.dll y wmp.dll



y este otro: unregmp2.exe





Envianos muestras de estos ficheros para analizar:



C:\WINDOWS\INF\unregmp2.exe



C:\WINDOWS\system32\mspmsnsv.dll



C:\WINDOWS\system32\wmp.dll



C:\WINDOWS\system32\wmpshell.dll



C:\WINDOWS\system32\wmpasf.dll



C:\WINDOWS\system32\wmpdxm.dll



C:\WINDOWS\system32\wmnetmgr.dll



C:\WINDOWS\system32\wmv8dmod.dll



C:\WINDOWS\system32\wmvdmod.dll



C:\WINDOWS\system32\wmvdmoe2.dll



C:\WINDOWS\system32\wmadmoe.dll



C:\WINDOWS\system32\wmspdmod.dll



C:\WINDOWS\system32\wmspdmoe.dll



C:\WINDOWS\system32\wmsdmoe.dll



C:\WINDOWS\system32\wmsdmoe2.dll



C:\WINDOWS\system32\wmadmod.dll



C:\WINDOWS\system32\mpg4dmod.dll



C:\WINDOWS\system32\mp43dmod.dll



C:\WINDOWS\system32\mp4sdmod.dll



C:\WINDOWS\system32\wmsdmod.dll



C:\WINDOWS\system32\laprxy.dll



C:\WINDOWS\system32\wmvcore.dll



C:\WINDOWS\system32\drmstor.dll



C:\WINDOWS\system32\drmclien.dll



C:\WINDOWS\system32\drmv2clt.dll



C:\WINDOWS\system32\blackbox.dll



C:\WINDOWS\system32\msnetobj.dll









[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 22-12-2009

[msc hotline sat]

y para otra ocasion, recuerda no postear mas de 1 log por Tema:

https://foros.zonavirus.com/viewtopic.php?f=13&t=6268



y mejor con SPROCES; vemos mas claves y datos...

https://foros.zonavirus.com/viewtopic.php?f=5&t=29543



saludos



ms, 22-12-2009

[satyra]

Mil gracias! El EliStarA lo tengo, mañana mismo me descargo los otros 3 y os envio la información. Ya que lo haré desde los ordenadores en cuestión.



Sobre lo de pasarlo en modo normal me es imposible, solo me arranca Windows en Modo Seguro. Para pasarlos es mejor hacerlo sin funciones de red?



Siento no saber muy bien el funcionamiento de postear en el Foro, intentaré seguir las normas :)



Gracias de nuevo!!

[msc hotline sat]

Lo que es mejor es pasarlo en MODO SEGURO, "a pelo" o con funciones de red si ademas quiere poder navegar.



A la vista de los informes, procederemos



Pero igualmente envienos los ficheros indicados para analizarlos, ya que son probablemente la causa del problema.



saludos



ms, 22-12-2009

[satyra]

abrí un [url=https://foros.zonavirus.com/viewtopic.php?f=5&t=30673]Tema para el PC2[/url]



Tal como me pedíais me descargué los programas indicados y los pasé a Modo a Prueba de Fallos sin red.

Os adjunto los resultados:[attachment=0]InfoSat.txt[/attachment]
(tb tengo el SProcLog.txt pero como en las normas pone que un archivo, de momento no lo adjunto)



También os mando a través de este Tema las Muestras de las .dll del PC1

[i]Aquí expongo algunos de los que me pedíais que no encontré: unregmp2.exe, wmnetmgr.dll, mv8dmod.dll, wmadmoe.dll, wsdmod.dll.[/i]

[msc hotline sat]

No, lo que no se debe es postear logs de 2 ordenadores, pero infosat y sproclog de uno sí que procede.



Postee a continuacion este informe que dice tiene al respecto, como respuesta de este Tema, con un copiar y pegar del contenido de dicho fichero.



En el infosat.txt que adjunta, solo vemos:





(23-12-2009 9:30:14) (GMT)

EliTriIP v6.34 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7677

Nº Total de Ficheros: 82330

Nº de Ficheros Analizados: 28103

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



ni siquiera hay el analisis por accion directa, ni el de las demas utilidades como el ELISTARA...



Y no abra nuevos Temas hasta terminar el que tiene abierto !!!



https://foros.zonavirus.com/viewtopic.php?f=1&t=17624



Lease bien las Normas. La reincidencia en incumplimiento de Normas puede conllevar la desconexion del foro.



saludos



ms, 23-12-2009

[satyra]

Lo abrí pq me dijeron que debía abrirlo para poner el log del otro pc ya que van relacionados, si queréis lo elimino -_-



Pasé todos los programas el EliStarA, el EliTriIP.exe y tenia el fichero EliNotif.dll en la misma carpeta.

Siento no entender demasiado de esos programas, pero envieé los sms para poder descargarlos y usarlos y es la primera vez que los uso.

Me decía que si quería crear otro SATinfo.txt pq sobrepasaba de los 200Kb o algo asi.

Puede que por eso no salga esa información?

[msc hotline sat]

Cuando el fichero de informacion excede de 200 kB, al ser acumulativo, se pregunta si se quiere borrar el antiguo y partir de cero, y si fue el caso...



Otra vez, antes de aceptar borrarlo, si está en proceso de limpieza, guardelo cambiandolo de nombre, para no perderlo.



Ahora ya no sabemos si encontró algo sospechoso y pidió que nos lo enviara para analizar.



Por si fuera el caso, mire si tiene algun fichero en C:\muestras y si es el caso, envienoslo para analizar:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 23-12-2009

[satyra]

Os mando pues el log Sproces: [attachment=0]SProcLog.txt[/attachment]

Me dice que tengo que instalar el parche de Servidoress MS08-067 con Windows update, pero el explorer no me funciona correctamente, solo me funciona el modzilla. Igualmente lo probaré hasta conseguir actualizar el windows y volveré a pasar los 3 programas.

[satyra]

las muestras os lo envié hace una hora.



usé el 7z con la contraseña virus tal como decía el tutorial.

y me dio como enviado correctamente.



Imaginé que estaría sobrescrito. Instalaré las actualizaciones y procederé a la exploración guardando los logs en otra carpeta y renombrado como me indicas. Muchas gracias

[msc hotline sat]

Me indican que has enviado mas de 30 MB de ficheros de los que ninguno indica ser muestra movida a C:\muestras por nuestras utilidades ... ???



Te hemos pedido solo las que tuvieras en C:\muestras.



Vemos que has anexado un SPROCES, vamos a verlo y seguiremos.



Te falta por lo menos el parche MS08-067, QUE ES EL DEL AGUJERO DEL cONFICKER !!!



Parche MS08-067 (Servicio Servidor) NO Instalado.



Lanza un windowsupdate e instala todos los que encuentre a faltar





Tras ello dinos si persiste alguna anomalia y, en su caso, cual



y si quieres enviarnos alguna muestra sospechosa que no pidamos en nuestras utiliodades, primero subela al [url=http://www.virustotal.com]VirusTotal[/url] y si mas de 5 antivirus de los 40 detectan virus, envianosla para analizar.



saludos



ms, 23-12-2009

SP/Ta+41.17+1.25

[satyra]

sí, en ello estoy...problema, el explorer me hace el tonto de lo lindo.

Me abre las ventanas en el mozilla y como sabréis sólo funciona con el explorer.



Si le doy al archivo de actualizaciones del windows/system32/ tampoco

me he bajado el ie8 por si las moscas y tampoco em rula.

Hay algún modo de intentarlo desde ms-dos con un disco de arranque? es decir ejecutando la orden desde allí, aunque supongo que sin funciones de red...chungo

[flacoroo]

haga esto....desde firefox baje este parche que le hace falta...Parche MS08-067 ....y le da guardar en un lugar de su compu y ya despues lo ejecuta....baje tambien el Ccleaner, que es un limpiador de archivos temporales y registros dañados, cuando ejecute el Elistara, ElitriIP, primero sale un ventanas haciendole preguntas, dele que si a todo, cuando le salga la ventana con las opciones Explorar y salir le da Explorar y deje que se ejecute, solo estar pendiente de que termine. y de ahi nos manda el resultado creado en C:infosat.txt y cuando le pregunte si desea borrar este archivo por que excede digale que no y despues lo abre y nos copia el resultado y nos lo pega en el siguiente post......



y claro esta no se le olvide usar el windowsupdate que viene con el Internet Explorer, para que baje todas sus actualizaciones o en su defecto en panel de control, en el icono actualizaciones automaticas, configurelo como la primera opcion y si es posible deje encendido su compu todo una noche para que se bajen las actualizaciones que le hacen falta

[satyra]

sí conseguí bajarme el parche e instalarlo. Mañana iré a pasar los test y subirlos.



Gracias de nuevo



Mañana más -_-

[satyra]

A ver que ya tengo los dos infosat, aunque no se si está correcto ya que no pone mucha información


[attachment=1]InfoSat-EliStarA.txt[/attachment] y [attachment=0]InfoSat-EliTrIP.txt[/attachment]

Si hay algun error me decís, tb tenog hechos los del otro Pc2, pero lo dejo hasta que solucione este tema no?

[msc hotline sat]

Acostubrese a postear los informes del infosat con un copiar y pegar de su contenido, y solo si es demasiado grande, entonces anexar el fichero:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



y no vemos los informes por accion directa de ambas utilidades, que estan antes de los de exploracion.



saludos



ms, 24-12-2009

[satyra]

[quote]y no vemos los informes por accion directa de ambas utilidades, que estan antes de los de exploracion.[/quote]
He deducido que te hace 2 informes por programa... intento ponerlos en .txt



He intentado pegar el sproces, pero no me deja por demasiados carácteres. Lo siento



Tengo que ponerlo de nuevo los 2 informes de acción directa como adjuntos por tamaño: [attachment=0]InfoSat-EliTrIP-Acciones.txt[/attachment] y [attachment=1]InfoSat-EliStarA-Acciones.txt[/attachment]

[quote]Y SOLO. SI POR SER DEMASIADO GRANDES, NO PUEDEN POSTEARSE, ENTONCES AGREGARLOS AL MISMO TEMA.[/quote]

Perdonad las molestias

[msc hotline sat]

Pues nada significativo, y otra vez que no le quepa un copiar y pegar, agregue el fichero entero c;\infosat.txt



y dando por terminado el analisis de este PC, damos por terminado el Tema y procedemos a cerrarlo para que nos postee (o añada) el contenido o el fichero c:\sproclog.txt y c:\infosat.txt del otro ordenador, tras haber probado primero el ELISTARA actual y luego el SPROCES



Abra un nuevo Tema para ello, gracias



saludos



ms, 24-12-2009