Si alguien es tan amable de echar una mano ...pues no se qué hacer con este virus.
Tengo Panda instalado, firewall y todo, y es el único antivirus que hasta ahora detecta este virus. Se trata del W32/OleADM.A, instalado en el archivo del sistema System32/wininet.dll.
Panda se limita a informarme que está ahí, pero ni lo puede mover a cuarentena ni eliminarlo pues está en uso por el sistema. He intentado hacer algo iniciando en modo a prueba de fallos, pero no se mueve.
Tengo, y he pasado varias veces, Spybot, Adaware, Hijackthis y no me detecta nada anormal.
No sé bien que es lo que está haciendo el bicho tampoco, la información que ofrece Panda no es de ayuda.
Saludos y gracias,
Susie
virus en el sitema operativo (solucionado)
Hijackthis no hace nada de por si.
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas,[color=blue]copia todo el contenido y pégalo como respuesta a este tema.[/color]
Saludos
maura63
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas,
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Al parecer has pillado un virus muy nuevo, que todavía no conocen los antivirus internacionales, pero sí Panda:
Mira de enviarnos este fichero System32/wininet.dll que dices que te detecta infectado con este virus, anexado a un mail dirigido azonavirus@satinfo.es en cuyo texto pongas un copiar y pegar de este post, para poder contestarte como respuesta a este Tema, con el resultado del analisis y la herramienta de eliminacion.
saludos
ms, 9-06-2005
[quote="Panda"]W32/OleADM.A
Nombre común: OleADM.A
Nombre técnico: W32/OleADM.A
Peligrosidad: Media
Tipo: Virus
Efectos: Realiza acciones perjudiciales para el ordenador infectado.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 07/06/2005
Detección actualizada: 07/06/2005
¿Está en circulación? Si
Descripción Breve
OleADM.A es un virus, que se introduce en el ordenador a través del correo electrónico, Internet, disquetes, etc, y que se reproduce insertando su código en otros ficheros o programas. Sus acciones pueden resultar molestas o dañinas para el usuario infectado.
OleADM.A presenta las siguientes estrategias de infección:
Información actualizada: 07/06/2005[/quote]
Mira de enviarnos este fichero System32/wininet.dll que dices que te detecta infectado con este virus, anexado a un mail dirigido a
saludos
ms, 9-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola y gracias por el interés.
Hijackthis me detecta estos (registros, creo):
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\M9F84~1.JES\CONFIG~1\Temp\Rar$EX00.712\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) -http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -http://software-dl.real.com/30b14eb1ba540b5e4605/netzip/RdxIE601.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -http://www.peterborough.gov.uk/_meta/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS2\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
Hijackthis me detecta estos (registros, creo):
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\M9F84~1.JES\CONFIG~1\Temp\Rar$EX00.712\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS2\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
Solo se ve esta entrada
O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exe
W32/Forbot-BD worm infection
Eliminala, la marcas con hijackthis y pulsa FIX.
Envia muestra que Msc te solicito del archivo.
Saludos
maura63
O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exe
W32/Forbot-BD worm infection
Eliminala, la marcas con hijackthis y pulsa FIX.
Envia muestra que Msc te solicito del archivo.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibida a muestra. Efectivamente es virus, pero no queda reflejada en el log del HJT, pasamos a debufyearla y monitorizarla para ver todo lo que hace y desarrollar la correspondiente utilidad de eliminacion.
Está claro que modifica la DLL de sistema del mismo nombre, convendrá sobreescribir el fichero infectado con la DLL original de otro equipo con el mismo sistema, pero limpio.
Seguiremos informando
saludos
ms, 9-06-2005
Está claro que modifica la DLL de sistema del mismo nombre, convendrá sobreescribir el fichero infectado con la DLL original de otro equipo con el mismo sistema, pero limpio.
Seguiremos informando
saludos
ms, 9-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
En el log del HJT ha cortado la cabecera y no podemos ver version del XP y parches aplicados.
Por favor posteanos de nuevo el log actual, incluyendo la cabecera, gracias
Y SI TIENES OTRO FICHERO INFECTADO ENVIANOSLO TAMBIEN, PORQUE AL SER UNA DLL NO PODEMOS UTILIZARLO PARA INFECTAR OTROS FICHEROS
saludos
ms, 9-06-2005
Por favor posteanos de nuevo el log actual, incluyendo la cabecera, gracias
Y SI TIENES OTRO FICHERO INFECTADO ENVIANOSLO TAMBIEN, PORQUE AL SER UNA DLL NO PODEMOS UTILIZARLO PARA INFECTAR OTROS FICHEROS
saludos
ms, 9-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Os reenvio el log the HjT(completo?), asi espero.
Logfile of HijackThis v1.97.7
Scan saved at 16:19:30, on 09/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mobsync.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\M9F84~1.JES\CONFIG~1\Temp\Rar$EX00.234\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) -http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -http://software-dl.real.com/30b14eb1ba540b5e4605/netzip/RdxIE601.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -http://www.peterborough.gov.uk/_meta/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS2\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
Logfile of HijackThis v1.97.7
Scan saved at 16:19:30, on 09/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mobsync.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\M9F84~1.JES\CONFIG~1\Temp\Rar$EX00.234\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
O17 - HKLM\System\CS2\Services\Tcpip\..\{3898FD19-4959-4F87-82FF-96556600280C}: NameServer = 212.55.8.132,212.55.8.133
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
La copia hazla arrancando en modo seguro, y si ni asi se deja, arramcas con el CD de instalacion, pulsas R para arrancar en consola de recuperacion, y desde su DOS vas a la carpeta de sistema y copias dicho fichero:
C:
CD \
CD WINNT
CD SYSTEM32
COPY A:\WININET.DLL
entendiendo que tienes copiado el WININET.DLL del mismo sistema operativo de otra máquina en el disquete A:
Pruebalo y nos cuentas el resultado.
Sin otras muestras, vemos que el codigo cambiado es solo de 96 bytes, aparte de los dos bytes del ENTRY POINT y DLL, pero todo muy limitado en assembler, entradas que pueden ser restauradas facilmente, pero que sin disponer de mas muestras para ver las variaciones entre ellas, es preferible sustituir el fichero por el original y ver si con ello se elimina el problema.
Si tienes algun problema en lo indicado nos lo cuentas, t si tienes mas muestras nos las envias.
Y nos cuentas el resultado, como respuesta de este tema. gracias
saludos
ms, 9-06-2005
PD; y por cierto, actualiza tu HJTm que la version actual es la 1.99.1 !!!:
http://www.hijackthis.de/downloads/hijackthis_199.zip
ms.
C:
CD \
CD WINNT
CD SYSTEM32
COPY A:\WININET.DLL
entendiendo que tienes copiado el WININET.DLL del mismo sistema operativo de otra máquina en el disquete A:
Pruebalo y nos cuentas el resultado.
Sin otras muestras, vemos que el codigo cambiado es solo de 96 bytes, aparte de los dos bytes del ENTRY POINT y DLL, pero todo muy limitado en assembler, entradas que pueden ser restauradas facilmente, pero que sin disponer de mas muestras para ver las variaciones entre ellas, es preferible sustituir el fichero por el original y ver si con ello se elimina el problema.
Si tienes algun problema en lo indicado nos lo cuentas, t si tienes mas muestras nos las envias.
Y nos cuentas el resultado, como respuesta de este tema. gracias
saludos
ms, 9-06-2005
PD; y por cierto, actualiza tu HJTm que la version actual es la 1.99.1 !!!:
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Pues parece que se ha solucionado por si solo.
Panda acaba de actualizarse y han debido incluir la herramienta de desinfección del virus, lo cual parece que ha dejado el wininet.dll limpio.
Estaba a punto de seguir los pasos que me indicaste, pero es que soy muy novata en esto y ahora mismo estaba intentando descubrir cómo se arranca desde el cd de instalación ...te puedes imaginar.
De todos modos muchas gracias por la ayuda, que estoy segura lo será tarde o temprano.
Saludos !!
Susie
Panda acaba de actualizarse y han debido incluir la herramienta de desinfección del virus, lo cual parece que ha dejado el wininet.dll limpio.
Estaba a punto de seguir los pasos que me indicaste, pero es que soy muy novata en esto y ahora mismo estaba intentando descubrir cómo se arranca desde el cd de instalación ...te puedes imaginar.
De todos modos muchas gracias por la ayuda, que estoy segura lo será tarde o temprano.
Saludos !!
Susie
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues de nada, aunque este tenía muy facil solucion ya que no había mas que restaurar unos bytes o sustituir el fichero.
Y solucionado el problema, cerramos el Tema
saludos
ms, 9-06-2005
Y solucionado el problema, cerramos el Tema
saludos
ms, 9-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online