Virus que borra los programas instalados (Terminado)

[Regan]

Hola. Creo que tengo 5 virus, según el antivirus online de panda. Resulta que al encender mi ordenador todos los programas que había instalados han sido desinstalados. No me deja hacer casi nada. Además cuando intento instalar otros programas al guardarlos sale como que el ordenador no los reconoce. No puedo utilizar mi antivirus porque también lo ha borrado. Además todos los iconos han sido renombrados con extensión.lnk. Hay otas cosa que no me deja hacer como entrar en el panel de control, etc. No sé si será suficiente con esta información. Utilizo windows xP.

Gracias de antemano.

[msc hotline sat]

Si tienes conexion ADSL con router, puedes arrancar tu XP en modo seguro con funciones de red, y deshanilitando la restauracion de sistema, lanzar el antivirus ONLINE de Panda, ya que te lo detecta, y al no estar los ficheros en uso, podrás eliminarlos:



http://www.pandasoftware.es/activescan/es/activescan_principal.htm



Aparte, una vez eliminados los virus, si te hubiera quedado alguna clave modificada por los virus, pendiente de restaurar, lanza el ELIRESTR.VBS :



http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp



y si tienes algun problema, apuntate los virus que has detectado y eliminado y nos lo cuentas, para poder seguir ayudandote



saludos



ms, 16-05-2005

[Regan]

Creo que no lo entiendo muy bien.

Primero arranco en modo seguro, despues deshabilito restauración del sistema y en el mismo modo seguro lanzo panda online.

Si es así cuando llego al modo seguro no encuentro las tareas del sistema para deshabilitar restauracion del sistema.

He probado a deshabilitarlo arrancando windows normal pero no me deja pinchar sobre la pestaña de ver información del sistema.

Otra cosa, creo que no tengo adsl con router en ese caso.reinicio en modo seguro y ya está,no?

Lo siento por ser tan novata.

[Regan]

Creo que no lo entiendo muy bien.

Primero arranco en modo seguro, despues deshabilito restauración del sistema y en el mismo modo seguro lanzo panda online.

Si es así cuando llego al modo seguro no encuentro las tareas del sistema para deshabilitar restauracion del sistema.

He probado a deshabilitarlo arrancando windows normal pero no me deja pinchar sobre la pestaña de ver información del sistema.

Otra cosa, creo que no tengo adsl con router en ese caso.reinicio en modo seguro y ya está,no?

Lo siento por ser tan novata.

[maura63]

Primero

Desactivar restauracion del sistema



http://www.zonavirus.com/descargas/srestore.asp



Luego arranca en modo seguro y lanza tu antivirus.



Al no tener adsl olvidate de arrancar en modo seguro con funciones de red.



Saludos

maura63

[Regan]

No me deja guardar ningún programa nuevo. Al guardarlo el icono es el que aparece cuando tenemos archivos guardados con un programa y al quitar ese programa sale el icono de que no tenemos el programa instalado. El icono es blanco con un cuadrado con dibujos en el centro. Así se han quedado todos los iconocos de mi ordenador. Bueno, casi todos. Así que no puedo utilizar el srestore. Y sigo sin poder pinchar en ver informacion del sistema para deshabilitar.

[maura63]

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Saludos

maura63

[Regan]

Ya lo he intentado. No me deja guardar el programa. No me deja guardad nada. Bueno sí me deja pero despues no me deja ejecutarlo porque es como si no existiera. Sale sin icono.Bueno, con el icono que te he explicado antes.

[maura63]

Te funciona el administrador de tareas, pulsa ctrl+alt+supr :?:



Si puedes copia los procesos activos aqui.



Saludos

maura63

[msc hotline sat]

Pues creo que habremos de volver a empezar:



Ante todo, pincha con el Boton derecho MIPC. ve a PROPIEDADES y arriba en RESTAURACION, mira si está marcada la casilla de Deshabilitar la restauracion de sistema, y si no lo está, la marcas y aceptas, y si lo está, la dejas asi.



Tras ello, arranca pulsando repetidamente F8 hasta que aparezca el menu de inicio, y selecciona ARRANCAR EN MODO SEGURO CON FUNCIONES DE RED.



Si tienes ADSL con router externo, así podrás lanzar el siguiente antivirus ONLINE:



http://www.pandasoftware.es/activescan/es/activescan_principal.htm



y si detectas virus, lo eliminas, y nos dices cual ha sido, como respuesta de este Tema, gracias



Y si no puedes navegar arrancando así, lanza este mismo ONLINE arrancando en modo normal y nos cuentas lo que detectas.



saludos



ms, 17-05-2005

[Regan]

iexplore.exe

taskmgr.exe

NAVAPSVC.EXE

NSMdtr.exe

spoolsv.exe

alg.exe

CCEVTMGR.EXE

explorer.exe

SPBBCSvc.exe

SNDSrvc.exe

ISSVC.EXE

CCSETMGR.EXE

CCPROXY.EXE

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

wdfmgr.exe

Isass.exe

services.exe

winlogon.exe

csrss.exe

smss.exe

svchost.exe

symlcsvc.exe

System

Proceso inactivo del sistema



Ya he probado a abrir con el botón secundario en mi pc propiedades y no me deja. Así que he abierto Administrar->Administación de equipos->Servicios y aplicaciones->Servicios->Servicio de restauración de Sistema->Aquí le he dado a reiniciar el servicio y me ha salido una ventana que pone:Servicio de restauración de sistema de propiedades(equipo...). Pero no se si por aquí se puede. Hay una pestaña que dice.Tipo de inicio:Y teines que elegir entre automático, manual y deshabilitar.

[maura63]

Isass.exe

Added as a result of a variant of the OPTIX PRO series of VIRUSES!



Por si fuese el caso



http://www.vsantivirus.com/irc-sdbot-yk.htm



Saludos

maura63

[Regan]

El isass.exe con i minúscula no aparece en mi carpeta C:/windows/system32. Aparece Isass.exe con mayúscula.

[msc hotline sat]

Seguramente se trata del SYSTEM.EXE que puede estar en la carpeta de sistema



Se puede tratar del Colevo, Evomo o variantes.



Mueve este fichero a un disquete y reinicia, a ver si al no cargarse puedes lanzar tu antivirus y salimos de dudas, y si no, nos envias dicho fichero



saludos



ms, 17-05-2005

[msc hotline sat]

Sobre lo del LSASS o lsass es lo mismo, en mayusculas o minusculas, muy parecido al fichero gusano que empieza por I en lugar de L, ISASS o isass, que, segun que la primera letra esté en mayusculas p minusculas, se confunde entre lsass y Isass, el primero con l (ele) válido, y el segundo con i que es gusano.



saludos



ms, 17-05-2005

[Regan]

En los procesos activos no aparece system.exe sino System solo. De todas formas he mirado la carpeta system32 por si a caso pero ese archivo no está.

El archivo es con L->lsass.exe

[msc hotline sat]

Pues busque SYSTEM.EXE en la carpeta de windows



Es que sin saber el virus que es, no sabemos donde estará, pero lo mas seguro es que el fichero indicado sea el causante. Envienoslo si no sabe lo que es y no puede lanzar el antivirus, a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como respuesta a este Tema





Y el Lsass.exe es correcto, del sistema operativo, pero vea que tampoco está con EXE y lo es, ya que las tareas las ve sin la extension del fichero que las lanza



saludos



ms, 17-05-2005

[Regan]

He mirado en la carpeta de windows y no hay nada. También en system y system32 y lo único que he encontrado es un archivo system sin extensión y uno system.drv en la carpeta system32. Bueno también un system.ini en windows. No se si esto es algo.

[msc hotline sat]

Si no se lo ha eliminado un antivirus, y Vd tiene en los procesos la tarea SYSTEM, algun fichero con dicho nombre está lanzado en su ordenador y está siendo utilizado, pero puede estar oculto.



Configure su windows para ver todos los ficheros y con inicio-buscar trate de encontrar un SYSTEM.* pues haberlo hailo...



saludos



ms, 17-05-2005

[msc hotline sat]

Vea algunos de los virus que utilizan un SYSTEM.EXE, segun PANDA::





Bagle.AC [ Gusano ]

Efectos:



Notifica a su autor que el ordenador ha sido afectado. Termina los procesos correspondientes a diferentes programas de seguridad y algunos gusanos.







Bagle.M [ Gusano ]

Efectos:



Notifica a su autor que el ordenador ha sido afectado. Termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus.







Bagle.Z [ Gusano ]

Efectos:



Notifica a su autor que el ordenador ha sido afectado. Termina los procesos correspondientes a diferentes programas de seguridad y algunos gusanos.







Colevo.A [ Gusano ]

Efectos:



Abre el puerto de comunicaciones 2536, permitiendo ganar acceso a los recursos del equipo.







Meve [ Gusano ]

Efectos:



Impide el correcto funcionamiento de algunas aplicaciones y abre diversos puertos.







Mitglieder.A [ Gusano ]

Efectos:



Finaliza los procesos de distintas aplicaciones que realizan actualizaciones de varios programas antivirus.







Mydoom.AB [ Gusano ]

Efectos:



Descarga e instala un backdoor. Finaliza procesos pertenecientes a herramientas de seguridad, e impide el acceso a varias páginas de actualización de antivirus.







Mydoom.Z [ Gusano ]

Efectos:

Descarga e instala un backdoor. Finaliza procesos pertenecientes a herramientas de seguridad, e impide el acceso a varias páginas de actualización de antivirus.







saludos



ms, 17-05-2005

[Regan]

Ya he buscado todos los archivos system de mi ordenador. No aparece ninguno con extensión exe.

Cuando pasé el antivirus online de panda me dijo que los virus estaban ubicados así:

Uno en registro de windows, uno en C:/windows/downloaded Program Files/cc.inf, otro C:/windows/inf/localNRD.inf, otro en C:/windows/inf/localNrd.inf. Y creo recordar que dijo que eran spyware.

¿Hay algún antivirus online que me diga la clase de virus que tengo? Sino volveré a pasar el panda y apuntaré todo.

[msc hotline sat]

Entonces lo de SYSTEM debe ser lo utilizado por el sistema, si no tienes ningun fichero con dicho nombre. Podía haver sido uno de los virus indicados si hubiera existido, y de lo que indicas de tareas residentes solo cabrñia alguno de los SVCHOST, que inicialmente es el lanzador de tareas de windows, pero tienes uno separado de los demás, lo cual podría ser un sintoma, pero si no se vé desde donde se lanza. Si es desde el directorio de sistema (C:\windows\system32) es correcto, pero si lo hace desde otro directorio, podría ser virus. Podrías ver cuantos y donde tienes SVCHOST.EXE con inicio-buscar y decirnoslo.



Pero dado lo que indicas de que lo que detectaste en su día fueron spywares, no virus, puedes utilizar el mismo ONLINE para detectarlos, si bien no te los eliminará porque no son virus, para eliminarlos deberás utilizar los antispywares como el SPYBOT o AD_AWARE que se indican en el tutorial de antispywares:



https://foros.zonavirus.com/viewtopic.php?t=4795



De todas formas dinos los SVCHOST.EXE que encuentras en tu disco duro y donde.



saludos



ms, 17-05-2005

[Regan]

He vuelto a pasar el antivirus el cual me ha dicho que son programas espía.

Incidencia:Adware:Adware/nCase

Registro de Windows

Incidencia:Adware:Adware/Comet C:\WINDOWS\Downloaded Program Files\cc.inf

Incidencia:Spyware:Spyware/LocalNRD

Registro de Windows

Incidencia:Adware:Adware/Comet C:\WINDOWS\Downloaded Program Files\cc.inf



Aparte el archivo que he encontrado:

svchost.exe20050301-120534-00.hdmp

Colocado en la carpetaC:\windows\PChealth\ErrorRep\UserDumps

[maura63]

Eliminacion de adwares y spywares



Spybot S&D



Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



Parche dso/exploit



http://www.majorgeeks.com/downloadget.php?id=4392&file=11&evp=17a4645dc80f11461d8549719a9350e0



La descarga del parche es automatica.







Ad_Aware SE



AD_AWARE SE PERSONAL:



http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp



Descarga, actualiza y los pasas.



Saludos

maura63

[msc hotline sat]

Entonces no tiene virus, sino solo adwares que eliminará con los antispywares SPYBOT y/o AD_AWARE, siguiendo lo indicado en los tutoriales:



https://foros.zonavirus.com/viewtopic.php?t=4795



y sobre el SVCHOST.EXE, este no es un EXE sino un HDMP:



svchost.exe20050301-120534-00.hdmp



que es un fichero descomprimido de un volcado de ERROR con dicho fichero, que se le pidió enviar a Microsoft, pero aparte de este, seguro que tiene SVCHOST.EXE en C:\windows\system32, y sino le falta !!!





Si no lo tiene, o copielo allí el de otro ordenador con igual sistema operativo, o ya REPARE su windows XP, arrancando con el CD de instalacion y cuando detectara la particion instalada, seleccionar REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate para actualizar los nuevos ficheros, y reiniciar.



Realmente quizás sería lo mejor !



saludos



ms, 17-05-2005





This is the uncompressed version of an error dump. The .MDMP file is the compressed version and is the file sent to Microsoft.

[Regan]

Entonces voy a reparar windows xp. Sí que tengo el archivo svchost.exe en system32 y también en C:\windows\servicepackfiles\i386



Como no puedo instalar ningún programa en el ordenador que me quite los spyware, ni utilizar el antivirus mio, voy a probar entonces a reparar xp. A no ser que con el nuevo archivo que os he dicho me digáis otra cosa.

[Regan]

He intentado reparar el windows xp y no puedo. No me deja entrar en algunas de las opciones del cd. Aparte no sale lo de reparar por ningun sitio.

[maura63]

Tienes el XP Home :?:



Por lo menos el mio particular no repara.



Saludos

maura63

[Regan]

Pues sí, tengo el xp home.Q hago para solucionar esto?

[maura63]

Teniendo el HOME solo queda instalar.Drastico pero creo que es lo mejor



Y dados los problemas que tienes con los programas mi opinion particular seria formatear e instalar de nuevo el sistema.



Y por experiencia te aconsejo:



formatear

instalar XP

instalar antivirus y firewall

actualizar antivirus

conectar con windows update y actualizar sistema XP e Internet explorer

descargar Spybot, Ad-aware y actualizar, pasar y limpiar

instalar spywareblaster



y a disfrutar que son tres dias.





Saludos

maura63