Un virus ataca a mi pobre ordenador (cerrado)

[maura63]

Prueba esta utilidad



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Saludos

maura63

[msc hotline sat]

Mira si te reinicia normalmente y si se ha solucionado el problema, pues el ELISTARA actual controla el smitfraud.c, aunque no detectara los gusanos, por haber sido eliminados anteriormente, en cuyo caso restablecerá las calves de registro que el virus hubiera podido modificar, incluyendo las de las pestañas del fondo de escritorio.



Si no se ha resuelto el problema, arranca en modo seguro y lanza de nuevo el ELISTARA, no sea que algun residente de seguridad le impidiera acceder a ficheros infectados.



saludos



ms, 25-05-2005

[msc hotline sat]

Si, segun el sistema operativo se llama de una u otra manera, y aqui tienes el método:



https://foros.zonavirus.com/viewtopic.php?t=5266



saludos



ms, 15-05-2005

[maura63]

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Mandanos el log por si vemos algo mas.



Saludos

maura63

[msc hotline sat]

Lo mas importante es que elimines esta clave:



O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe



Hay otras superfluas que no encuentran el fichero (file missing) y que tambien pueden eliminarse, pero empieza por esta u cuentanos el resultado como respuesta de este Tema, gracias



Tambien mira si conoces esta aplicacion, y si no las has instalado, elimina la clave:



O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll



y tras reiniciar, mira si conoces este fichero, y si no, muevelo a cuarentena:



C:\WINDOWS\System32\winnook.exe



y como antes decía, puede eliminar todas las que indica file missing.





saludos



ms, 25-05-2005

[maura63]

Arranca en modo seguro y desactiva la restauracion, lanza hijackthis pulsa scan, masrcas estas entradas y pulsa FIX



Esta en C si no la conoces elimina buscandola con el explorador



C:\WINDOWS\System32\winnook.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp431.tmp (file missing)

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll

O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe



Innecesarios



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra button: Microsoft AntiSpyware helper - {2691C6FE-2983-45C6-878D-B24854D5E928} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2691C6FE-2983-45C6-878D-B24854D5E928} - (no file) (HKCU)



O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe





Saludos

maura63

[msc hotline sat]

El fichero winnook.exe puede ser un nuevo virus, troyano o bicho en general que no está controlado todavía.



Rogamos nos lo envies anexado a un mail dirigido a zonavirus@satinfo.es en el que como texto copies y pegues este post, para poder contestarte con el resultado del analisis como respuesta de este Tema.



Asi podrás eliminar claves de registro que no se ven en el HJT y que este bicho ha podido modificar y deben restaurarse



al parecer se trata de un malware, no virus, pero indeseable, claro, y que podría corresponder a estas caracteristicas:


[quote="sandbox"]
Report created: 25.05.2005 05:04:57



Automatic Sandbox analysis of unknown malware (NO_VIRUS)

[ General information ]

* Creating several executable files on hard-drive.

* File length: 36864 bytes.



[ Changes to filesystem ]

* Creates file C:\WINDOWS\SYSTEM\winnook.exe.

* Creates file C:\WINDOWS\desktop.html.



[ Changes to registry ]

* Creates key "HKLM\Software\AntivirusGold".

* Creates value "Intel system tool"="C:\WINDOWS\SYSTEM\winnook.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".



[ Process/window information ]

* Will automatically restart after boot (I'll be back...).

* Attempts to open CLSID {75048700-EF1F-11D0-9888-006097DEACF9}.


[/quote]

saludos



ms, 25-05-2005

[maura63]

[color=red]Manda antes las muestras [/color]como te ha indicado MSC y no hagas nada con hijackthis.



Salta un exploit



Saludos

maura63

[maura63]

Lo que te salta y se llama segun el antivirus es



Exploit-MhtRedir.gen (Troyano) Informacion



http://antivirus.hispavista.com/virus/50565/mhtredir-gen/



Manda las muestras.



Saludos

maura63

[msc hotline sat]

Mañana analizaremos el fichero y podremos saber a qué atenernos, pero mientras ya te hemos dicho que eliminaras una claves y tras reiniciar, pusieras el winnook.exe en cuarentena



Aparte de esto, lanza el ELIRESTR.VBS para eliminar las restricciones que tienes en el registro y te impiden acceder a las pestañas de cambios de fondo de escritorio:



ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp







saludos



nms, 25-05-2005

[msc hotline sat]

Pues por ultimo prueba de lanzar la ultima version del ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



y lo que decías de eliminaar claves, ni se te ocurra tocar el registro de sistema !!! Solo con conocimientos tecnicos avanzados puede manipularse el registro, y aun asi es muy delicado. Además, a tñi te hace falta añadir claves, no eliminarlas, ya que lo que encuentras a faltar son pestañas de claves eliminadas por algun bicho, dentro de las claves de politicas del windows, y eso es lo que tratamos de restaurar



Y cientanos el resultado, a ver si acabamos con tu problema



saludos



ms, 26-05-2005

[msc hotline sat]

Pues te falta una clave del registro que las considere activas, y vete a saber cual es!!!



Nuestras utilidades restauran las claves que modifican los virus, pero no las que modifican los usuarios, y ello puede ser tarea de chinos, pues el registro es grandioso.



Cabe la posibilidad de, si no sabes la clave que eliminaste, REPARAR windows XP o W2k, arrancando con el CD ROM de instalacion del sistema que usa este ordenador, como si fueras a instalar, y tras aceptar contrato con Microsoft, cuando detecte la particion instalada ofrecerá REPARAR o bien reinstalar. Debe escogerse REPARAR. pues si reinstalara se perderian las aplicaciones instaladas. Tras ello, finalizar con un windowsypdate y reiniciar el equipo.



Es de suponer que con ello se habrán restaurado las claves de sistema borradas, incluida esta.



Si supiera la clave que eliminó, sería muy facil restaurarla, pero si no se lo restaura nuestra utilidad ELISTARA es que no la modifican los virus de "escritorio", e ignoramos la clave a la que corresponde esta ventana.



saludos



ms, 26.05.2005

[msc hotline sat]

En HKCU/Soft.../Policies/Active Desktop hay un valor NoChangingWallpaper que si está a 1 no permite cambiar el fondo de escritorio.



Mire si está asi y si es el caso cambie a valor 0 y diganos si con ello se le soluciona el problema



SI se confirma, lo incluiremos en procimas versiones del ELIRESTR.VBS y en el ELISTARA.EXE para solucionar los casos que asi se presenten, por cualquier causa.



saludos



ms, 26-05-2005