Sin internet, sin teclado ni ratón.Virus 95.p.com

[Dídac89]

Hola! Recurro aquí por que se me hace muy complicado ya solucionarlo.Escribo desde otro ordenador. Gracias de antemano.



Ordenador portátil: Windows Vista Home Premium (service pack 2)



[b]Síntomas actuales:[/b]



1)No inicia en Modo seguro (se bloquea cargando drivers, exactamente en el crcdysk.sys).

2)Al iniciar en Modo normal se escucha el sonido de inicio de windows pero la pantalla está totalmente negra.

3)Al acceder en Modo seguro con red no tengo conexión a internet (la señal es excelente pero no acaba de conectarse nunca) y varios controladores no se pueden ejecutar. Tampoco funciona ni el teclado ni el ratón instalados, si funciona si conecto otro teclado y ratón.



Los puntos 2) y 3) me han ocurrido después de conseguir que el chkdsk funcionase y reparase errores del disco (había un error que no me dejaba pasar el chkdsk, ponía al reiniciarse el ordenador : "El tipo del sistema de archivos es NTFS No se puede abrir el volumen para acceso directo. Windows ha terminado de comprobar el disco").



[b]Síntomas anteriores [/b](2 o 3 días, por orden cronológico):



-Tanto en Modo seguro con red como en modo normal aparece en escritorio pantalla de publicidad de antivirus Vista Total Security 2012 ( es un virus).

-Tanto en Modo seguro con red como en modo normal el Google me redirecciona a una página que he visto que es otro virus, 95.p.com .

-Alguna pantalla azul.

-No arranca en modo seguro.



[b]Antivirus pasados (escaneo completo):[/b]



-SUPER Antispy, Kaspersky (desde arranque CD)

-Advanced System Care

-Malwarebytes

-Sypbot Search and Destroy.



También el TDSS Killer.



Online: ESET NOD32



[u]Datos adicionales:[/u] No existe ningún punto de restauración anterior, no poseo el CD original de Windows Vista xk venía preinstalado de fábrica, todos los antivirus me detectaron virus, también el TDSS Killer y di a curar.



Gracias por atenderme! espero haberme explicado bien.

[msc hotline sat]

Tiene dos malwares, el fake alert del Vista Total Security 2012, que se soluciona con el ELISTARA y lo del 95p.com, que ya indicamos como solucionarlo en Temas anteriroes de este foro:



https://foros.zonavirus.com/viewtopic.php?f=5&t=38545&start=15



Para descargar el ELISTARA.EXE:


[quote="para DESCARGAR el ELISTARA, msc"]
http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]



Y una vez lo tenga, arranque en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y lancelo.



saludos



ms, 18-1-2012

[Dídac89]

Hola!



Bien, he pasado el ELISTARA y me ha detectado 4 infecciones, este es el log generado:





--------------------------------------------------

Usuario: Invitado2

ID de Usuario: S-1-5-21-1745083102-4086982181-3505639740-1001



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Acer\Empowering Technology\eRecovery\Autorun\SW1\Audio\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Program Files\Ask.com\GENERICASKTOOLBAR.DLL --> Eliminado, ASKToolbar(bho/tb)

C:\Program Files\Softonic_Espana_FF\TBSOFT.DLL --> Eliminado, TBConduit(tb)

C:\Users\Invitado2\Documents\DriverGenius\Downloads\ATHEROS_WLAN_900125_WIN7.EXE --> Eliminado, Spy.Banker.BATS(pack)



Nº Total de Directorios: 23573

Nº Total de Ficheros: 144026

Nº de Ficheros Analizados: 36367

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4





Días atrás pasé el TDD Killer 2 veces y estos son los informes (están cortados, porque la lista es muy larga):



12:39:55.0581 3356 Wdf01000 (a1bd4ad37b361199dc326cccc9c179de) C:\Windows\system32\drivers\Wdf01000.sys

12:39:55.0590 3356 Suspicious file (Forged): C:\Windows\system32\drivers\Wdf01000.sys. Real md5: a1bd4ad37b361199dc326cccc9c179de, Fake md5: b6f0a7ad6d4bd325fbcd8bac96cd8d96

12:39:55.0593 3356 Wdf01000 ( Virus.Win32.Rloader.a ) - infected

12:39:55.0593 3356 Wdf01000 - detected Virus.Win32.Rloader.a (0)

12:39:55.0676 3356 winachsf (c9c63410d8cf98f621b9cc62243fb877) C:\Windows\system32\DRIVERS\HSX_CNXT.sys

12:39:55.0699 3356 winachsf - ok

12:39:55.0793 3356 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\DRIVERS\wmiacpi.sys

12:39:55.0794 3356 WmiAcpi - ok

12:39:55.0860 3356 WpdUsb (0cec23084b51b8288099eb710224e955) C:\Windows\system32\DRIVERS\wpdusb.sys

12:39:55.0862 3356 WpdUsb - ok

12:39:55.0890 3356 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys

12:39:55.0892 3356 ws2ifsl - ok

12:39:55.0947 3356 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys

12:39:55.0949 3356 WUDFRd - ok

12:39:56.0009 3356 XAudio (2e579520e114a9ca309f13bf40ad8292) C:\Windows\system32\DRIVERS\xaudio.sys

12:39:56.0010 3356 XAudio - ok

12:39:56.0044 3356 MBR (0x1B8) (a863475757cc50891aa8458c415e4b25) \Device\Harddisk0\DR0

12:39:58.0940 3356 \Device\Harddisk0\DR0 - ok

12:39:58.0999 3356 Boot (0x1200) (8587bee52a1f87c60d492b026fbcb6f5) \Device\Harddisk0\DR0\Partition0

12:39:59.0000 3356 \Device\Harddisk0\DR0\Partition0 - ok

12:39:59.0027 3356 Boot (0x1200) (c4f7b282a35556539982518d336213b6) \Device\Harddisk0\DR0\Partition1

12:39:59.0028 3356 \Device\Harddisk0\DR0\Partition1 - ok

12:39:59.0029 3356 ============================================================

12:39:59.0029 3356 Scan finished

12:39:59.0029 3356 ============================================================

12:39:59.0046 3348 Detected object count: 2

12:39:59.0046 3348 Actual detected object count: 2

12:43:55.0452 3348 VerifyFileNameVersionInfo: GetFileVersionInfoSizeW(C:\Windows\system32\drivers\afd.sys) error 1813

12:44:02.0575 3348 Backup copy found, using it..

12:44:02.0601 3348 C:\Windows\system32\drivers\afd.sys - will be cured on reboot

12:44:07.0114 3348 AFD ( Virus.Win32.ZAccess.g ) - User select action: Cure

12:44:07.0530 3348 Backup copy not found, trying to cure infected file..

12:44:07.0535 3348 Cure success, using it..

12:44:07.0558 3348 C:\Windows\system32\drivers\Wdf01000.sys - will be cured on reboot

12:44:07.0558 3348 Wdf01000 ( Virus.Win32.Rloader.a ) - User select action: Cure

12:45:18.0131 3296 Deinitialize success



--------------------------------------------------------------------------------------

15:56:00.0412 0440 Suspicious file (Forged): C:\Windows\system32\DRIVERS\netbt.sys. Real md5: 5926079800fa78df8c7620f9e31a8cb4, Fake md5: ecd64230a59cbd93c85f1cd1cab9f3f6

15:56:00.0412 0440 netbt ( Virus.Win32.ZAccess.c ) - infected

15:56:00.0412 0440 netbt - detected Virus.Win32.ZAccess.c (0)

15:56:00.0537 0440 NETw3v32 (35d5458d9a1b26b2005abffbf4c1c5e7) C:\Windows\system32\DRIVERS\NETw3v32.sys

15:56:00.0693 0440 NETw3v32 - ok

15:56:01.0301 0440 NTIDrvr ( UnsignedFile.Multi.Generic ) - warning

15:56:01.0301 0440 NTIDrvr - detected UnsignedFile.Multi.Generic (1)

15:56:01.0317 0440 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys

15:56:01.0364 0440 ntrigdigi - ok

15:56:12.0845 0440 Scan finished

15:56:12.0845 0440 ============================================================

15:56:12.0861 0724 Detected object count: 2

15:56:12.0861 0724 Actual detected object count: 2

15:56:30.0754 0724 Backup copy found, using it..

15:56:30.0754 0724 C:\Windows\system32\DRIVERS\netbt.sys - will be cured on reboot

15:56:33.0843 0724 netbt ( Virus.Win32.ZAccess.c ) - User select action: Cure

15:56:33.0843 0724 NTIDrvr ( UnsignedFile.Multi.Generic ) - skipped by user

15:56:33.0843 0724 NTIDrvr ( UnsignedFile.Multi.Generic ) - User select action: Skip

15:56:38.0367 0780 Deinitialize success





También he iniciado el ELISIREFEF, me pide reiniciar en modo normal porque ha detectado un rootkit pero no puedo reiniciar en modo normal porque como ya he dicho se carga el sistema operativo pero aparece una pantalla negra cuando debería aparecer el usuario para acceder al escritorio y no funciona ni teclado ni el touchpad. El teclado incorporado si funciona para elegir las opciones (modo seguro, modo seguro con red, etc..) del F8. Aqui el mini informe:



(20-1-2012 13:39:56 (GMT))

EliSirefef v1.41 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.



Gracias.

[msc hotline sat]

Pues ya que tienes el SIREFEF y dices que no puedes reiniciar en modo normal, hazlo en modo seguro y vuelve a lanzar el ELISIREF.



Cuando decimos que se reinicie en modo normal es porque instalamos un RUNONCE lanzando de nuevo la utilidad en cuestion, pero es lo mismo qu hacer lo arriba indicado



Pero hazlo con la nueva version del ELISIREF, siempre se ha de usar la ultima, claro.



Y resuerda que en este foro no damos soporte a sistema VISTA, y solo te respondemos por la infección detectada. Si por culpa del SIREFEF luego te falla algo, (por la eliminacion del driver que afectó), lanza una REPARACION DE SISTEMA



saludos



ms, 21-1-2012

[Dídac89]

¡Hola!



He entrado en modo seguro, he lanzado el EliSiref y siempre me dice lo mismo : "La aplicación YA esta preparada para ejecutarse en el siguiente Reinicio del Sistema. Por favor, Reinicie el sistema para completar la limpieza"



Le doy a aceptar, reinicio en modo seguro, y vuelve a salir el mismo mensaje al iniciar de nuevo EliSiref.



En el log siempre pone lo mismo: "Detectado Sirefef (Rootkit) Reinicie el sistema para completar la limpieza"



[b]PROS:[/b]

-Decir que ahora puedo entrar en modo seguro ya que antes no podía (se bloqueaba).

-Decir que no me aparece ninguna ventana del falso antivirus, ni se me abre ninguna pestaña de internet redireccionandome a 95.p.com... pero esto último no se si es porque no puedo navegar por internet (no consigue conectarse vía wifi al router) o por que se ha eliminado el virus.



[b]CONTRAS:[/b](estos problemas me sucedieron [u]ANTES[/u] de ejecutar el EliSiref y el Elistara)

-Sigo sin poder entrar en modo normal (pantalla negra y no funciona teclado ni touchpad,pero si que se escucha el sonido de inicio).

-Sigue sin conectarse a internet ( siempre pone "identificando..." y una señal de exclamación amarilla diciendo conectividad limitada)

-Sigo con varios dispositivos sin controladores ( con exclamación amarilla), por citar alguno: ENE CIR Receiver, Intel (R) ICH8M LPCInterface Controller-2815, ... y también la unidad de DVD o CD-ROM.



Muchas gracias por vuestro tiempo y por la ayuda.

[msc hotline sat]

Pues parece que no has leido mi post anterior, cuando decimos " [i][b]Si por culpa del SIREFEF luego te falla algo, (por la eliminacion del driver que afectó), lanza una REPARACION DE SISTEMA[/b][/i]"



Pues seguro que el driver que escogió el SIREFEF y que se eliminó, no lo ha restaurado windows como debiera y sin él falla lo inherente a dicho driver.



Pero ya si se ha solucionado tanto lo del falso antivirus como lo de la redireccion a 95p.com , ahora es simplemente problema del driver de windows, y con una REPARACION DE SISTEMA quedará solucionado.



Podría ser que al menos uno de los que falta reponer es el CDROM.SYS, dado lo que dices de "Sigo con varios dispositivos sin controladores ( con exclamación amarilla), por citar alguno: ENE CIR Receiver, Intel (R) ICH8M LPCInterface Controller-2815, ... [i][b]y también la unidad de DVD o CD-ROM[/b][/i]", pero pudo haber sido mas de uno, si hubo reinfección, por lo que la REPARACION DE SISTEMA los arreglará todos, pero si quieres, empieza probando copiar dicho driver CDROM.SYS de otro ordenador, con igual sistema operativo, a la misma carpeta del tuyo (C:\windows\system32\drivers\")



Tras ello, informanos del resultado, gracias



saludos



ms, 21.1.2012

[Dídac89]

Holaa!



Traigo nuevas noticias...



He conseguido iniciar en modo normal conectando la pantalla del ordenador de sobremesa al portátil, entonces podía ver la pantalla de inicio y todo lo demás. Entonces he visto que se ha iniciado el [b] Elisiref[/b] diciendo que ha detectado un rootkit y que se debe reiniciar para acabar la limpieza. He reiniciado 5 veces porque en todas me ponía lo mismo, que ha detectado un rootkit y debe reiniciarse, [u]¿es normal tantas veces? ¿continúo reiniciando?[/u]



Bueno a la 5 vez le he dicho que no reiniciase porque quería ver que cosas me había dañado el virus y como se comportaba en modo normal. Bien, todo normal, menos la conexión a internet que no funciona y ahora hay 2 o 3 controladores más (aparte de los que ya había mal) que no consigue iniciar.



Tengo una pregunta, he visto que en el Administrador de dispositivos ni siquiera aparecen el touchpad ni el teclado integrado en el portátil,[u] ¿eso significa que no los detecta y que una reparación con el CD del S.O lo solucionará?[/u] en la BIOS si que funciona el teclado.



P.D Gracias por la información del post anterior. Confundí el virus SIREFEF con el Elisiref :oops:



Muchas gracias! :)

[msc hotline sat]

Sí, el Sirefef utilizó un driver que, al eliminartlo, windows no lo ha repuesto, como debiera haber hecho.



Con una Reparacion de sistema se vuelven a instalar todos los drivers del sistema, y con ello lo solucionaras.



No te olvides de lanzar un windowsupdate al final, para instalar los parches en ellos.



saludos



ms, 24-1-2012





ANEXO:



Los drivers que puede ser que le falten, por haberlos eliminado el TDDKILLER, segun vemos en sus informes al respecto, son:





12:44:02.0601 3348 C:\Windows\system32\drivers\afd.sys - will be cured on reboot



15:56:30.0754 0724 C:\Windows\system32\DRIVERS\netbt.sys - will be cured on reboot





mire de restaurarlos directamente, copiandolos de otro ordenador con igual sistema, a ver si con ello puede ahorrarse la reparacion en cuestion.



ms.