Corrí el troyan remover y mi máquina no arrancó más (TERMINADO)

[ricardopetrela]

Hola, tengo una laptop Dell y ayer quise sacar un virus que me tenía mal con el "Troyan Remover" A partir de ese momento tuve mas problemas que antes. La máquina tarda cerca de 40 minutos en prender. Si lo hago en "a prueba de fallos" la pantalla queda negra y no cambia. Si la enciendo normalmente, me abre el escritorio, me deja hacer algunas funciones pero muy lentamente, a veces estoy 15 minutos esperando sómo para que despliegue los programas de incio.

No se que hacer.

No reconoce tampoco los puertos USB.

Logré pasarle el Avira que tenía pero no detecta nada.

LE pasé el CCLeaner y fue como normal.

Abro el administrador de tareas y la actividad es cero aunque intente abrir cualquier archivo o programa.

No se ni por dónde empezar.

AYUDA!!

[julibaga]

Pues nada.... lo de siempre... empieza por aquí:

Arranca en Modo Seguro con entorno de red y baja el [url=http://www.zonavirus.com/descargas/descargar-elistara.asp]Elistara[/url]

Lo ejecutas y cuando termine abres el archivo [b]c:\infosat.txt[/b],

copias el contenido y lo pegas en tu siguiente post para ver los resultados.

[ricardopetrela]

Bueno, como puse antes, si lo pongo en modo seguro con entorno a la red no abre nada, queda la pantalla en negro y además no me reconoce los puertos USB asi que tampoco puedo ponérselo con un pendrive

[julibaga]

Es importante que pases es utilidad.

Si te deja pasarla en modo normal, adelante.

En caso contrario, mira a ver si puedes bajarlo en otra máquina, lo grabas en un CD y arrancando la máquina en DOS puedes ejecutarlo directamente.

A ver si así te sirve.

[ricardopetrela]

Ni yo puedo creer el problema que tengo.

La historia empezó así: un día murió la lectora de CD, ni si quiera expulsaba los discos. Además sabía que tenía algún spy porque el super antyspyware se colgaba en un punto y no arrancaba más. Entonces cuando pasó lo de la lectora de CD, para sacarme la duda de que si era el hardware o algún virus que estaba molestando, le pasé el "Troyan remover" a ver si encontraba algo. Ahí fue que colapsó todo. Ahora me encuentro que el la unidad CD no la puedo usar y recién me metí en el setup del Bios para que lea el pendrive con el programita que me pasaste y no lo reconoce, queda la pantalla en negro con rayas de colores verticales a los costados.

Estoy como atado de pies y manos y no encuentro la manera de salir de esto.

[julibaga]

Por lo que me cuentas, me inclino a pensar que es más un problema de Hardware que de Software, pero bueno. Si no tienes CD, si los USB's no sirven y si el disco duro tampoco arranca, creo que lo tienes muy crudo.

Pero a ver si [color=#800000]msc hotline sat[/color] tiene alguna idea al respecto.

[ricardopetrela]

Si, está durísimo. En realidad el disco dura arranca, sólo que tarda como una hora y luego lo que le intento hacer tambíen tarda mucho. HAsta para desplegar la lista de programas a veces está 10 minutos. De todas maneras puedo acceder el tema que no sé qué otra cosa hacer cuando me meto. Pasé el C Cleaner, Pasé el Avira, los dos me dieron bien. El super antispyware no termina de abrir, el tune up tampoco.

[julibaga]

y no pudiste bajarle el elistara en ese modo y ejecutarlo??

[ricardopetrela]

Bajé el programita con otra compu que tengo pero no puedo pasarlo a la LAptop. Si conecto la laptop en "Modo a prueba de fallos con acceso a la red" o"Modo a prueba de fallos" queda la pantalla completamente negra y no pedo hacer nada. La única posibilidad de abrir el sistema es como "normal" pero claro..sólo para que aparezcan los íconos de las carpetas y todo eso estará 40 minutos-1hora.

[julibaga]

Tienes un privado. Léelo y comenta.

[ricardopetrela]

Ahí va el informe!





(4-2-2011 02:00:54 (GMT))

EliStartPage v22.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v22.54

a "virus@satinfo.es". Gracias.

E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX --> Eliminado

C:\WINDOWS\SYSTEM32\ARKING.EXE.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\ARKING0.DLL --> Eliminado PWS-OnLineGames.Arking

C:\DOCUME~1\USR\CONFIG~1\TEMP\\DSOQQ.EXE.VIR --> Eliminado.

C:\DOCUME~1\USR\CONFIG~1\TEMP\\DSOQQ0.DLL --> Eliminado PWS-OnLineGames.Dsoqq

Entrada Eliminada [HKLM\...\Run] @=" "

Entrada Eliminada [HKCU\...\Run] @=" "

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-2-2011 02:08:03 (GMT))

EliStartPage v22.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\9D6RESF.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.Dsoqq(inf)

C:\F662SJD.EXE --> Eliminado, PWS-OnLineGames.Dsoqq

C:\H3WP9.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\IO3YALC.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\JEO3KY.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\JOFK1WF.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\WQ.EXE --> Eliminado, PWS-OnLineGames.Apiqq



Nº Total de Directorios: 3972

Nº Total de Ficheros: 41211

Nº de Ficheros Analizados: 15613

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 8



De todas maneras luego de esto la máquina sigue igual

[msc hotline sat]

Pues lo que tienes es una nueva variante del Conficker !!!



Envianos esta muestra para analizar y controlar:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v22.54

a "virus@satinfo.es". Gracias.





y ve mirando esta informacion al respecto:



https://foros.zonavirus.com/viewtopic.php?f=12&t=34567&p=179376&hilit=conficker#p179376



saludos



ms, 4-2-2011

[julibaga]

Veo que el tema ya lo tomó msc hotline sat en relevo, y lo mismo te digo... envía esa muestra y sigue sus indicaciones después de que lo analicen. Estás en buenas manos y esperamos darte solución a tu problema.

Sigue pendiente de este tema e insisto en la importancia en que envíes dicho archivo como se te indica.



Saludos msc.

[ricardopetrela]

Hola a todos!

Muchas gracias por contestar!!

Ahora mando el INFOSAT.TXT pero no sé qué es lo otro que me piden (C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v22.54) o cómo se lo obtiene. Por otro lado no me permite ingresar al Link que me enviaron.

Disculpen mi ignorancia

[ricardopetrela]

...quiero aclarar que no puedo ingresar al link porque no soy un usuario autorizado. Por suerte estoy tratando de limpiar la notebook con otra compu al lado que es con la que me comunico con ustedes.

[julibaga]

Creo que el archivo que te indicó msc hotline sat lo acaban de incluir.

Debes bajarte ahora el Elitriip de aquí:

http://www.zonavirus.com/descargas/descargar-elitriip.asp



Haces lo mismo que con el Elistara. Lo pasas y envías el informe. Luego vemos cómo continuar.

[msc hotline sat]

La muestra que te pedimos envies la tienes en C:\muestras\ :



C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v22.54



y como que lo que tienes es un CONFICKER como una catedral, sigue las indicaciones al respecto:



http://www.zonavirus.com/noticias/2011/resumen-informacion-y-procesos-para-eliminar-el-conficker.asp



El Conficker es un mal enemigo, se propaga por IP, por comparticiones administrativas, por pendrive... y es Rootkit, dificil de detectar y eliminar, pero en el enlace anterior lo tienes todo, siempre y cuando ya lo detecten los antivirus, que es lo que veremos cuando nos envies la muestra que se te pide.



saludos



ms, 5-2-2011

[ricardopetrela]

Esto se va poniendo más dificil...

Le pasé de vuelta el programita que me dijeron porque quise poner el archivo de "Muestra" en un rar y no sé porqué pero se borró. Ahora que lo pasé de vuelta, la carpeta de Muestra quedó vacía.



Mando el archivo de texto a ver si con eso sacan algo....







(4-2-2011 02:00:54 (GMT))

EliStartPage v22.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v22.54

a "virus@satinfo.es". Gracias.

E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX --> Eliminado

C:\WINDOWS\SYSTEM32\ARKING.EXE.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\ARKING0.DLL --> Eliminado PWS-OnLineGames.Arking

C:\DOCUME~1\USR\CONFIG~1\TEMP\\DSOQQ.EXE.VIR --> Eliminado.

C:\DOCUME~1\USR\CONFIG~1\TEMP\\DSOQQ0.DLL --> Eliminado PWS-OnLineGames.Dsoqq

Entrada Eliminada [HKLM\...\Run] @=" "

Entrada Eliminada [HKCU\...\Run] @=" "

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-2-2011 02:08:03 (GMT))

EliStartPage v22.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\9D6RESF.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames.Dsoqq(inf)

C:\F662SJD.EXE --> Eliminado, PWS-OnLineGames.Dsoqq

C:\H3WP9.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\IO3YALC.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\JEO3KY.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\JOFK1WF.EXE --> Eliminado, PWS-OnLineGames.Apiqq

C:\WQ.EXE --> Eliminado, PWS-OnLineGames.Apiqq



Nº Total de Directorios: 3972

Nº Total de Ficheros: 41211

Nº de Ficheros Analizados: 15613

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 8



(5-2-2011 15:09:07 (GMT))

EliStartPage v22.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] @=" "

Entrada Eliminada [HKCU\...\Run] @=" "

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-2-2011 15:20:22 (GMT))

EliStartPage v22.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4011

Nº Total de Ficheros: 41402

Nº de Ficheros Analizados: 15636

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-2-2011 15:33:56 (GMT))

EliTriIP v7.24 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 4 de Febrero del 2011)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(5-2-2011 15:39:17 (GMT))

EliTriIP v7.24 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 4 de Febrero del 2011)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3981

Nº Total de Ficheros: 41298

Nº de Ficheros Analizados: 13700

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[ricardopetrela]

Compré un cable para ver la posibilidad de usar el disco rígido como disco externo a ver si de esa manera es más fácil limpiarlo.



Espero sus ideas

[msc hotline sat]

Ayer tenías la muestra vírica:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\JWGKVSQ.VMX.Muestra EliStartPage v22.54

a "virus@satinfo.es". Gracias.



Si lo borraste de ahí con algun antivirus, señal de que lo controla, procede segun las instrucciones que indicamos al respecto de eliminarlo, esperemos que lo logres...



Y si te vuelve a aparecer el fichero indicado, envianoslo para analizar y obraremos en consecuencia.



saludos



ms, 5-2-2011

[ricardopetrela]

No puedo continuar porque quiero bajar el USB445.exe y me dice "Acceso no autorizado".

[julibaga]

Perdón por la intromisión, pero ese virus es controlado por le Elipriip en su última versión. Al pasarlo de nuevo lo eliminaría automáticamente de las Muestras a enviar. Supongo que por eso ya no dispone de él.



Saludos

[msc hotline sat]

Gracias julibaga, pero el ELITRIIP detecta y elimina dicho fichero, pero el virus va mucho mas allá y requiere todo un protocolo de actuación, que se indica en el enlace al respecto:



http://www.zonavirus.com/noticias/2011/resumen-informacion-y-procesos-para-eliminar-el-conficker.asp



y para bajar el USB445, pruebalo desde http://www.zonavirus.com/descargas/usb445.asp



saludos



ms, 5-2-2011





julibaga, tienes un privado :)





ANEXO: y por cierto, cuando pedimos una muestra, la movemos a cuarentena (C:\muestras\) pero no la controlamos especificamente hasta que nos llega la muestra, la analizamos, e implementamos su control y eliminación en nuestras utilidades (aparte de subirla a VT para que las casas antivirus la controlen en sus nuevas versiones) ms.

[ricardopetrela]

Bueno, como el tema comenzó a superarme porque no podía ir haciendo lo que me pedían quise cortar por lo sano y formatear pensando que eso sería sencillo. Otro dolor de cabeza.

Como la máquina no le funciona la unidad CD-DVD le puse un cable adaptador USB a una lectora. Pongo el BIOS para que botee desde el USB, porque tiene esa opción, y nada. Probé poner que Bootee desde el CD-DVD pensando que quizas lo leyera de esa manera y a tampoco lo logré. Esperé 2 horas hasta que se iniciara el sistema a ver si podía acceder desde adentro y no lo lee. Jamás pude hacerla andar en modo a prueba de fallos, queda la pantalla negra y no abre nunca.

No se qué más hacer. Por favor necesito ayuda y si pueden explíquenmelo como, lo que soy, un ignorante en todo esto.

Por suerte pude recuperar archivos porque saqué el disco rígido y comprimí lo que era importante y lo pasé a otra máquina.

Se me ocurrió la posibilidad de formatearlo como disco externo ¿se puede hacer eso? para después ponerle el sistema operativo. Pero quería consultárselo a ustedes así no hago más "#$%&$$##.

POR FAVOR AYUDA!!

[msc hotline sat]

Claro que se puede formatear un disco externo, pero si no le va la unidad de CD-DVD, el problema lo tendrá al querer instalar el sistema.



Asi que lo primero es cambiar dicha unidad de CD-DVD para que pueda arrancar desde ella el CD de instalacion de windows, si lo que quiere es formatear el disco duro e instalar luego el sistema.



Y sobre todo lo primero tras ello es protegerlo con el ELIPEN, pues teniendo como tiene pendrives infectados con el Conficker, lo mas fácil es que, de lo contrario, volviera a infectar el disco duro, y, por supuesto, instalar todos los partches de Microsoft, especialmente el MS08-067 !!!



saludos



ms, 6-2-2011

[ricardopetrela]

Bueno, quería cerrrar el tema porque finalmente tuve que llevar la máquina a un técnico y que la formatee. La mitad de cosas que me iban diciendo la máquina no me las permitía hacer y la otra mitad me resultaba demasiado técnico como para entenderlo.



Saludos

[lucl]

Bien pues cerramos el tema dandolo por terminado. Una vez te lo formateen y arreglen no olvides que actualizar los parches, es muy importante pues si no lo haces no hay antivirus que valga para evitar que entren ciertos bichos como el Conficker. Saludos.