¡ AUXILIO ! No funciona mi PC

norelen · Mensaje por **norelen** » 05 May 2004, 21:12

Hola a todos.

La historia comienza el domingo pasado, cuando estaba trabajando en el computador y me sale un aviso de Norton (2004) que me decía que tenía el sasser.b y no lo podía reparar (Win XP), inmediatamente empezar a investigar e hice todo lo que aconsejaban, les cuento que desde siempre he tenido mi antivirus actualizado y además desde que tengo conexión a internet por cable tengo instalado ZoneAlarm (aunque en el momento de la alerta que les digo, por descuido no lo tenía abierto). Bueno, el caso es que después de todo no pude encontrar el dichoso virus pero finalmente terminé instalando el parche y había quedado tranquila...pero resulta que ayer el computador comenzó a ponerse excesivamente lento y me dió por reiniciarlo y ya no quiso funcionar más (en modo normal), es decir, entra hasta el escritorio y de ahí no hace nada por más órdenes que le de, aunque el bombillito si muestra como si estuviera procesando...llega hasta el punto de no apagar ni reiniciar.

Gracias a Dios si funciona en modo a prueba de fallos por lo que en este momento estoy pudiendo escribirles, en este modo pasé mi antivirus además de un antivirus on-line y no detectó nada, también pasé el spybot y la utilidad que ustedes crearon para limpiar el sasser previniendo que el problema sea el mismo que me alertó inicialmente pero me dice que no tiene el virus, hasta traté de reinstalar el windows y quedó igual.

Qué puedo hacer? :?: ayúdenme por favor :!:

De antemano les agradezco la orientación que me puedan brindar.

Norelen.

P.D.: como soy una novata en esto, quisiera preguntarles si es muy peligroso trabajar en modo a prueba de fallos (Excel), por que además de todo tenía un trabajo urgentísimo que hacer y no he podido. Gracias.

carolxsiempre · Mensaje por **carolxsiempre** » 05 May 2004, 21:32

Sigue los pasos de éste post y bájate la utilidad.

https://foros.zonavirus.com/viewtopic.php?t=623&highlight=sasser

Pásala en modo a prueba de fallos y nos comentas como respuesta a éste tema.

Saludos

Carolxsiempre

norelen · Mensaje por **norelen** » 05 May 2004, 23:21

Hola Carol.

Gracias por tu respuesta. Hice de nuevo lo que me dijiste (ya lo había hecho) y me vuelve a salir que no tengo el virus sasser, aunque no lo hice desde inicio/ejecutar porque no me funcionó así, lo hice con doble click sobre el archivo.

Una cosa que se me había olvidado decir es que aunque no funciona el computador en modo normal, sí inicia y cuando lo está haciendo salen dos avisos de programas que no funcionan y se cerrarán: iledqj.exe y machine debug manager, después supuestamente termina de iniciar y luego no hace nada, a veces abre las ventanas y luego se bloquea y la otra gran mayoría de las veces no hace nada al darle una orden.

También le pasé el elirestr.vbs en el modo a prueba de fallos que es el único en el que trabaja y quedó igual.

Que hago?????

De nuevo gracias,

Norelen

carolxsiempre · Mensaje por **carolxsiempre** » 05 May 2004, 23:49

Este error viene del archivo mdm.exe pudo ser que con el contagio se hubiese dañado, puedes copiarlo de otro pc con el mismo sistema operativo y pegarlo en el tuyo, ó sigue los pasos del siguiente link.

http://mundopc.net/actual/cibererrante/2001/11/291101ba.php

Saludos

Carolxsiempre

Mensaje por **msc hotline sat** » 06 May 2004, 14:10

Por si además de lo indicado por Carol, el fichero iledqj.exe fuera el causante de la historia, convendría que nos enviaras este fichero a zonavirus@satinfo.es y lo analizaríamos. Envianoslo anexado a un mail cuyo texto sea un copiat y pegar de este post, y te contestaremos como respuesta a este Tema.

Adelanto que hay un nuevo virus, todavía no documentado por MCAfee, que es una variante del BugBear y que utiliza nombres de gusanos creador al azar, y este iledqj.exe podría ser uno de ellos.

Con la muestra, si es lo que pensamos, haremos una utilidad de eliminacion de los tres BugBear (incluido este) conocidos, y la subiremos a esta web en cuando esté lista, pero mientras, para salir de dudas, envianos el fichero indicado y veremos lo que es.

saludos

ms, 06-05-2004

norelen · Mensaje por **norelen** » 06 May 2004, 17:30

Hola.

Primero que todo de nuevo gracias a Carol por su último consejo que llevé a cabo ayer mismo y sí corrigió el problema del Machine Debug Manager, pero desafortunadamente el PC quedó igual.

A msc, efectivamente voy a mandarte el archivo pero como así que el texto sea "copiar y pegar de este post"?, quieres decir que en el cuerpo del mensaje te ponga: "https://foros.zonavirus.com/viewtopic.php?p=2631#2631"?, si es así, que te pongo en el asunto?. Disculpa la ignoracia :wink:

De antemano mil gracias,

Norelen

norelen · Mensaje por **norelen** » 06 May 2004, 18:14

msc, ya te envié el mensaje, quedo en espera de buenas noticias, mil gracias.

Norelen

Mensaje por **msc hotline sat** » 06 May 2004, 18:43

Lo del post en el texto del mail es simplemente es para poder contestar como respuesta al Tema adecuado.

Lo analizaremos y contestaremos como respuesta a este tema

saludos

ms, 06-05-2004

norelen · Mensaje por **norelen** » 14 May 2004, 00:48

Hola msc.

Te cuento que sigo "varada" sin poder usar mi pc en modo normal y muerta del susto cuando me atrevo a usarlo en modo a prueba de fallos por temor a llenarme de virus (aunque no me detecta nada), dime, no hay una forma de intentar arreglarlo si es el virus que tu dices, aunque todavía no se haya analizado el archivo que te envié?, reinstalando el windows no se supone que debería arreglarse el problema?, (aunque ya lo hice y no sé porque no funcionó!).

Por favor ayúdame, te lo pido, estoy desesperada!? :cry:

Norelen

Mensaje por **msc hotline sat** » 14 May 2004, 12:52

Se van procesando los mails al día, y no hemos recibido dicho mail con el iledqj,exe

No sé donde lo has enviado, pues si lo enviaste mal, debería haberte venido devuelto.

Vuelve a enviarnoslo a zonavirus@satinfo.es tal y como te indicaba. Aquí llegan cientos de mails a diario, pero todos se procesan.

Aparte, ya te indicó Carol que lo del MACHINE DEBUG MANAGER podía venir provocado por el MDM.EXE y te dió un link de informacion al respecto.

Tan pronto recibamos la muestra, obraremos en consecuencia

Y aunque no tiene porqué ser diferente para el Sasser a lo hehco por eli ELISASSA, baja y ejecuta la nueva utilidad ELILSA:EXE, para todos los que entran por el LSASS:

https://foros.zonavirus.com/viewtopic.php?t=737

saludos

ms, 14-05-2004

norelen · Mensaje por **norelen** » 14 May 2004, 20:50

Hola msc.

Te cuento que ya estando al borde de la demencia, me atreví a hacer algo parecido a lo que hice para eliminar el problema de Machine Debug Manager (que ya se me había ocurrido pero me daba miedo porque el susodicho archivo iledqj.exe se encuentra en la carpeta de windows y no muestra ser virus), entré al editor del registro y empecé a borrar como una loca todo lo que hiciera alusión al mismo, y resulta que me decía que no podía abrir archivos .EXE, tampoco funcionaba el msconfig, luego ejecuté elirestr.vbs y...voilà...ya empezó a funcionar todo, ahora lo que sucede es que al reiniciar el sistema, no activa automáticamente el norton auto-protect por más que le habilite esta opción y además noto que el pc en general sigue un poco lento.

Sigo pensando que el problema es cosa del archivo iledqj, el cual pensaba borrar finalmente, pero ya me da miedo hacerlo si es que este tiene que ver con la correcta identificación de las extensiones de archivos...o por lo menos de los .EXE. [color=darkred]~~[b]~~Quisiera que alguien que sepa o tenga WinXP me hiciera el favor de decirme si es normal que exista este archivo en la carpeta de windows[/b][/color].

De antemano mil gracias,

Norelen

Mensaje por **msc hotline sat** » 17 May 2004, 10:52

Bueno Norelen, en XP no existe dicho fichero, y es mas bien un gusano creado, con nombre aleatorio, por alguno de los 91000 virus conocidos actualmente, por esto te pedía que nos enviaras el fichero en cuestion.

Por fin nos ha llegado el fichero y la muestra de 64 kb no ha sido reconocida como virus conocido, por lo que lo hemos pasado a investigación, para que lo sometan a ensayos instalandolo en máquinas de pruebas.

De todas formas, aunque no se detectara como tal, podría deberse a la accion de antivirus y utilidades que has aplicado en este ordenador, los cuales hubieran dejado inutil al fichero, por lo que mejor sacarlo del ordenador.

Para ello, con XP muevelo a una carpeta de cuarentena, o incluso a un disquete, de forma que ya no esté en la ubicacion normal donde lo irá a buscar en cada reinicio, y una vez movido, cuando arranques de nuevo ya no podrá ponerlo en memoria y no quedará residente.

Por nujestra parte haremos pruebas con dicho fichero, y si encontramos cualquier indicio de virus, lo comunicaremos como respuesta a este Tema, pero en cualquier caso, sacalo del ordenador, que no es del sistema operativo y no oarece ser nada bueno, empezando por su nombre, de letras aleatorias, y llegando a ser la causa de anomalías de proceso, indicando que se cerrarían las aplicaciones, pero como que por aquel entonces teníamos lo del MDM.EXE y habíamos tenido el SASSER...

Saquemos de enmedio dicho fichero iledqj.exe y reinicie a ver si ya trabaja normalmente. Y tenganos informados de sus progresos, como respuesta a este Tema, gracias.

saludos

ms, 17-05-2004

Mensaje por **msc hotline sat** » 17 May 2004, 17:40

Noticias sobre el fichero recibido:

Este fichero resulta ser un interceptador de ejecutables que modifica la clave de registro de EXEFILES de forma que mientras está en un directorio con PATH, y puede ser ejecutado por windows antes de cada EXE, lanza el proceso PSTORES.EXE y sigue todo normal, pero si el fichero es eliminado, no podrá ejecutarlo antes de cada EXE y el ordenador quedaría "frito"

Con la utilidad ELIRESTR.VBS podrás eliminar la clave de interceptacion de los EXE, y evitar ejecutar dicho fichero antes de cada EXE y en consecuencia librarte de la carga del PSTORES.EXE dichoso, que posiblemente sea el residente que te ralentiza el ordenador.

Baja y ejecuta el ELIRESTR.VBS:

*******************************************************************

ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)

ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICIKN DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEdIT POR SI ESTUVIERA RESTRINGIDA SU EDICION.

http://www.zonavirus.com/descargas/EliRestr.vbs

*******************************************************************

Para ello, arramca en modo seguro o a prueba de fallos,. borra el fichero gusano interceptador que nos has enviado, y ejecuta el ELIRESTR.VBS

Aparte habría que ver que es esto del PSTORES.EXE, pues es un proceso cuya ejecucion es obligada en tu ordenador hasta que lo normalices.

Una vez ejecutado el ELIRESTR.VBS, arranca normalmente y ya debe ir sobre ruedas.

No sé porqué se obligaba a ejecutar el PSTORES.EXE, que originalmente es del sistema operativ de windows98 o, pero igual es un gusano que ha sobreescrito el fichero de windows con el mismo nombre.

Pero es que veo que solo existe en el directorio de sistema de Windows98, no en XP, por tanto no lo deberías tener en tu ordenador.

Cuando ya lo tengas solucionado, mira de hacer una Edicion-buscar del fichero PSTORES.EXE y si lo encuentras, nos lo envías a zonavirus@satinfo.es , anexado a un mail cuyo testo sea un copiar y pegar de este post. Luego muevelo a undisquete, sacandolo del ordenador, pues no es logico que lo tengas en XP, y menos siendo llamado de una clave de imterceptacion de EXEFILE con un fichero de nombre de 6 letras aleatorias.

Además, la ejecucion de dicho fichero crea la clave de interceptacion a base de que sea de 6 letras el fichero, pues sino, coge las seis letras anteriores al punto de la extension, con lo que en las pruebas, alcopiarlo en un dorectorio C:\PRUEBAS con el nombre VIR.EXE, nos creaba la clave de interceptacion llamando al fichero AS\VIR.EXE , cuyas primeras letras AS\ eran relativas al nombre de la carpeta que lo contenía

Con la ejecucion de la indicada utilidad normalizaras la situacion, pero nos interesa el fichero PSTORES.EXE que debes tener en tu PC, por no ser normal, y ser en realidad el causante de la discordia.

Esperamos tus noticias, Norelen

saludos

ms, 17-05-2004

Mensaje por **msc hotline sat** » 17 May 2004, 18:04

Y para complementar la informacion para tí, al respecto de esta historia del PSTORES.EXE en tu XP y del fichero que lo llama interceptando la ejecucion de EXES dentro del registro de sistema, he cruzado dichos datos en Internet y visto que es posible que se trate de un spyware variante del N-CASE.

Primero enviame la muestra solicitada, y luego, baja y ejecuta el SPYBOT y elimina todos los bichos, que si tenías este, tendrás otros.

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Spybot - Search & Destroy 1.3

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Quizás con esto desde el principio habríamos ido directos al grano, pero no se pensó en spywares...

saludos

ms, 17-05-2004

Mensaje por **msc hotline sat** » 18 May 2004, 13:56

Bueno Norelen, tu bicho pasa a ser controlado por McAfee como BACKDOOR CCE , según el siguiente EXTRA.DAT:

__________________________________________

256 178 136 180 77 179 192 130 141 49 205 179 158 52 141 243

141 115 141 254 87 232 140 191 214 50 128 104 12 47 86 178

45 232 140 149 214 50 161 79 9 115 157 179 13 13 177 22

4 60 130 188 2 60 130 0 253 31 40 187 2 60 130 188

2 60 120 126 168 55 130 188 2 252 40 182 2 60 126 157

157 150 136 71 254 193 215 3 168 54 125 157 68 23 236 22

8 195 163 250 41 122 40 183 253 29 196 149 168 55 125 159

77 197 40 183 253 31 205 149 168 49 76 183 168 50 64 22

12 252 40 177 41 122 40 177 17 43 40 187 64 60 130 22

168 165 232 86 168 52 192 188 2 60 130 124 168 150 143 255

95 150 138 183 2 60 130 188 105 118 249 76 9 162 143 178

12 213 143 75 242 250 136 126 170 150 40 150 121 183 143 182

13 150 140 126 252 49 149 179 142 49 139 179 235 49 114 156

196 54 64 20 168 150 168 199 137 49 136 179 168 50 64 199

241 55 29 163 13 51 85 183 13 51 137 179 214 50 165 48

15 50 141 206 214 50 129 190 143 54 141 76 242 50 141 167

10

21656 256 12486 335 M1

119 178 136 180 77 51 192 133 158 52 141 243 13 51 141 254

87 232 140 190 241 55 29 163 13 51 85 183 13 51 137 179

214 50 151 143 168 55 125 157 68 47 40 182 253 29 196 149

108 64 54 182 88 89 233 48 242 213 143 76 13 250 157 126

2 60 130 188 192 60 130 188 2 254 130 188 2 60 192 244

196 35 192 188 2 60 130 126 2 60 130 188 192 60 130 188

2 126 249 48 15 56 141 206 214 50 128 104 12 41 128 49

8 51 114 76 12 51 153 180

8262 256 12486 335 M6

57 178 136 180 77 179 192 128 141 49 205 179 158 52 141 243

141 115 141 254 87 207 137 243 29 51 141 141 142 49 177 179

39 176 143 51 13 150 137 22 168 150 40 192 118 232 140 165

0 177 136 179 242 204 140 179 25 52

4121 256 12486 335 M3

199 178 130 178 77 51 207 210 110 88 201 220 98 65 160 240

78 118 30 180 10 115 141 179 13 87 44 105 12 62 14 177

77 49 40 186 87 221 97 66 87 221 97 66 14 150 133 108

254 131 91 125 230 240 43 22 5 151 79 88 213 136 63 66

212 71 114 178 121 176 143 179 11 214 130 27 159 241 124 4

221 178 76 77 196 172 72 73 192 168 104 188 222 207 88 102

194 159 15 83 216 222 78 97 177 252 79 86 2 243 106 119

160 243 106 119 160 43 107 119 160 17 107 119 0 233 140 165

143 54 141 248 43 204 132 49 8 51 129 217 242 58 15 182

13 125 240 76 4 39 114 153 166 27 141 168 104 75 232 213

100 95 232 239 126 91 232 223 97 111 226 195 104 93 209 208

98 94 224 210 99 87 141 178 13 59 175 150 60 17 173 150

39 51 64 177 10 51 195 180

23277 256 12486 335 BackDoor-CCE

__________________________________________

Si usas el antivirus de McAfee, selecciona los datos entre líneas copialos y pegalos con el bloc de notas y guarda el fichero como EXTRA.DAT y el fichero resuitante lo copias en el directorio del antivirus d McAfee, junto con los demás ficheros DAT, y con ello ya se controlarán los gusanos del mismo, y así eliminarlos.

Esperamos haberte complacido. Y si encuentras el fichero PSTORE.EXE y nos lo envías, podremos hacerte una utilidad de eliminacion si es necesario.

saludos

ms, 18-05-2004

norelen · Mensaje por **norelen** » 18 May 2004, 17:36

Hola msc.

Te cuento que ya llevé a cabo las instrucciones que me diste ayer de borrar el iledqj.exe y pasar el elirestr y al reiniciar el pc hasta ahora parece ir normal, procedí a buscar el pstores.exe y no encontró nada, extrañísimo no?, tal vez sea por lo que dices de que todo esto se debió a un espía y yo ya había pasado el spybot y tal vez por eso, como me explicaste ya, quedó "frito" el ordenador inicialmente.

En cuanto al antivirus, desafortunadamente el que tengo instalado no es el McAfee, pero afortunadamente el problema ya parece estar resuelto, o me aconsejarías mejor intentar conseguirlo para estar mas segura?. Bueno, de todas formas les agradezco a tí y todo tu equipo por la inmensa ayuda que me brindaron.

Saludos,

Norelen :lol:

Mensaje por **msc hotline sat** » 18 May 2004, 20:04

Pues nada, Norelen, si ya parece que está solucionado, es de lo que se trataba.

No sé si se trataba de un spyware que ya se había eliminado con el SPYBOT, y splo quedaba un resto, pero que desde luego molestaba lo suyp.

Me complace haberte podido ayudar. Un saludo para esta tierra tan hermosa donde vives y para sus habitantes, con los que me unen grandes lazos de amistad.

ms, 18-05-2004