CRITICAL WARNING (CERRADO)

[lechoncete]

System has been stopped due to a serious malfunction.

Spyware activity has been detected.

It is recommended to use spyware removal tool to prevent data loss.

Do not use the computer before all spyware removed.de





Este es el mensaje que me sale de fondo de escritorio con el fondo azul.

Le doy boton derecho y propiedades y en los fondos no me deja pinchar. no hay manera de quitarlo.

Se me colaron spywares. Con Panda Active Scan me eliminó algunos virus pero muchos spyware los dejó. Manualmente quité algunos.

Instalé version trial de panda titanium antivirus 2004 y actualice y no me detecta nada.

Spybot search & destroy me destruyó algunos y ahora no detecta nada.

los pasé en modo seguro.

Otra cosa el modo proteccion automatica de los antivirus me dan error. Tanto norton como panda, despues de instalarlo varias veces.

Utilizo WINDOWS XP.



Perdón si no me expreso con claridad pero en esto estoy mu verde.



GRACIAS

[msc hotline sat]

Es uno de los típicos mensajes o WARNING del "DANGER"



Prueba de bajar y lanzar el ELISTARA , y tras ello debes poder acceder a los botones de cambio de escritorio





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 3-07-2005

[lechoncete]

Vamos mejorando.

El mensaje de critical warning desapareció.

Pero el fondo de esritorio sigue bloqueado.

Pasé elistara. Tambien ad-aware de lavasoft y spybot.

Antivirus actualizado.

Que puedo hacer??

MUCHAS GRACIAS

[Andy:Johnson]

Los síntomas son similares a otros troyanos ya conocidos, lo más probable es que ya Panda, o EliStara ya lo hayan eliminado. Lo que persisten, en mi opinión, son los cambios efectuados a la configuración de tu PC por lo que sea te haya infectado. Te recomendaría que restaures tu sistema a una configuración anterior que sepas funcionara perfectamente.



Si no sabes como hacerlo, aquí va la secuencia para el XP:



1) Inicio

2) Accesorios

3) Herramientas del Sistema

4) Restaurar Sistema



Win te pedirá que elijas uno de los puntos de restauración que previamente hayan quedado registrados. Un punto de restauración es como una toma instantánea de la configuración de tu equipo que el sistema hace de manera automática. Si eliges una fecha, el sistema cambiará la configuración a la usada en ese momento. Elige obviamente una en la que no hayas tenido ningún problema, la idea es que quede bien el PC.

Esta opción es muy útil cuando ciertos troyanos te cambien la configuración del PC, como bloquear las opciones de pantalla, el administrador de tareas, etc.



Si el problema persiste... mmm... no lo sé... :? Intenta lanzando el EliStara u otra cosa en modo seguro. (o anda respaldando la información importante de tu PC)



De todos modos, las infecciones por troyanos son las más tontas de todas, ocurren por entrar a páginas de dudosa confianza, como páginas de Hackers o de pornografía. Como todo en la vida, lo mejor para estos casos es la Prevencion :wink: .



Saludos y suerte!

[lechoncete]

Acabo de intentar restaurar sistema pero no tengo ninguna fecha anterior disponible. O no me las guardaba o se borraron.

Ya probe en modo seguro. lo seguiré intentando.

Que mas puedo hacer??

GRACIAS

[Andy:Johnson]

Es imposible que no tengas puntos de restauración! Lo que pasa es que estamos en la primera semana de Julio, y restaurar sistema te tira el mes completo en pantalla, no? lo usual es que se hagan uno a dos puntos de restauración semanales, asi que no creo que tangas alguno porque en el corriente mes, solo llevamos 3 días... :)



En la pestaña del mes, cambia a Junio con los cursodes < o > que salen a los costados. Respondes si te va bien



Suerte!

[lechoncete]

No funcionan los cursores de los meses. Supongo que será porque el único punto de restauracion guardado es el de hoy 3julio.

Otra opcion.

Oye, muchas gracias otrra vez

[Andy:Johnson]

Bueno, lo de salvar tu información va en serio en estos casos...



Creo que te agarraste algo bueno... Intenta hacerlo en modo seguro (F8 al encender). Si aun asi no funciona... mmm... espera a ver que te dicen el lunes.



Como sugerencia, si ya conoces la rutqa de los archivos infectados, y puedes acceder a ellos, seria interesante que enviaras una muestra a Satinfo para que la incluyan en EliStara.



Agarras el archivo infectado, lo metes en un archivo zip con contraseña (encriptado) que sea "virus" (sin comillas) y lo envias a virus@satinfo.es



Eso es lo que puedo hacer por tí... Lo siento por lo poco...



Pero de nuevo, suerte, y mas cuidadop en el futuro!

[lechoncete]

Me acabas de acojonar. Crei q iba por buen camino.

El ordenador me va como la seda ahora salvo el problema del fondo de escritorio bloqueado.

Pasare otra vez el Scan de Panda pero los archivos infectados q me detecta es como si no estuviesen porque ni en windows ni en msdos los encuentro.

Perdona si mis comentarios son obvios pero no estoy muy puesto en esto; cuando te refieres a salvar informacion quieres decir que grabe los ficheros importantes en CD no??

En modo seguro tp pude restaurar.

No se llegar a los archivos infectados asi q no los puedo mandar.

Se podria restaurar o reparar con el CD original de instalacion o cambiaría ajustes y programas instalados.

MUCHAS GRACIAS

[Andy:Johnson]

jajaja, bueno, la idea no es acojonar tampoco, disculpa... Generalmente no es nunca tan grave un problema con spyware, pero si es una buena medida de precaución que vayas respaldando tus archivos en CD's u otros medios, por si alguna vez te agarras algo grave... A mi una vez me pasó con el chernobil que perdí todo, pero eso ya es un problema mayúsculo con un virus que fué en su tiempo mayúsculo...

de todos modos, si no encuentras los archivos infectados, lo más probable es que se encuentren ocultos. Me he dado cuenta que los archivos infectados tiendes a guardarse en carptas ocultas. Podrías intentar en las opciones de carpeta, marcar "mostrar todos los archivos". Ahí, sigue la ruta que te arroje el panda y haces lo que te dije, debería resultar. Pero repito, no te asustes que si te anda el PC es porque un bicho molesto se te metió, pero uno no tan grande...

[lechoncete]

Estoy pasando el Panda y me pilla mas de 20 archivos infectados.

Las carpetas y archivos ocultos los tengo visibles;es q me ponen una ubicacion y no estan; y eso q los busco desde msdos tambien.

Un ejemplo C:/WINDOWS/a.exe y voy alli y no hay ná.< Y en msdos me dice que no lo encuentra

Por supuesto los antivirus y anti spywares ni lo detectan.

En fin, no se si reparando con CD de instalacion me irá bien.

Esperaré unos dias.

GRACIAS

[msc hotline sat]

No, reparando sistema solo se añaden ficheros de sistema borrados y se sobreescriben los existentes, pero no se eliminan los viricos.



Como que indica que Panda le detecta determinados virus, diganos su nombre y el de los ficheros y su ruta, para poder ayudarle al respecto.



Hay virus quye aprovechan los privilegios de NTFS, que pueden impedir visualizar y acceder a los ficheros protegidos con dichos privilegios.



A tal efecto, vea nuestra utilidad ELITOTAL.EXE que libera totalmente de privilegios al fichero que se le aplique dicha utilidad :





ELITOTAL

http://www.zonavirus.com/datos/descargas/99/ELITOTAL.asp





Y nos indica los nombres solicitados de virus y de ficheros, como respuesta de este Tema, gracias



saludos



ms, 4-07-2005

[lechoncete]

Incidencia Estado Elemento



Adware:Adware/SaveNow No desinfectado Registro de Windows

Spyware:Spyware/Dyfuca No desinfectado C:\WINDOWS\nem???.dll

Adware:Adware/Startpage.ID No desinfectado C:\WINDOWS\nem216.dll

Adware:Adware/SuperSpider No desinfectado C:\m.exe

Adware:Adware/SpySheriff No desinfectado Registro de Windows

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system32\msxslab.dll

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system32\jac.dll

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system32\d2kpax.dll

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system32\services

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system32\d2kpax.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system\system.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\system\wmscrop.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\mssys.com

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\seksdialer.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\cvchost.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\reg33.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\rocky.exe

Adware:Adware/Startpage.ID No desinfectado C:\WINDOWS\nem216.dll

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\image.dll

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\msxmidi.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\mstaskss.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\msstasks.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\dlm.exe

Adware:Adware/SuperSpider No desinfectado C:\WINDOWS\dl.exe

Adware:Adware/SuperSpider No desinfectado C:\winspec.dat

Adware:Adware/SuperSpider No desinfectado C:\mssys.com

Adware:Adware/SuperSpider No desinfectado C:\q250204.exe

Adware:Adware/SuperSpider No desinfectado C:\m.exe

Adware:Adware/SuperSpider No desinfectado C:\soundmx.exe

Adware:Adware/SuperSpider No desinfectado C:\q.exe

Adware:Adware/SuperSpider No desinfectado C:\p.exe

Estos son los ficheros. Perdon por mi torpeza pero que debo hacer con Elitotal?? Ejecutarlo asi sin mas??

GRACIAS

[msc hotline sat]

Bueno, aqui hay mas triyanos aparte del Dyfuca !!!



Conbedría que nos enviaras muestras de todos los que te dice no haber podido eliminar, )NO DESINFECTADO) , e implementaríamos su control y eliminacion en el ELISTARA, sean SuperSpider, SpySheriff o lo que sean, ya que por lo visto puede tratarse de nuevas variantes no controladas por los antispywares.



Envianoslas a zonavirus@satinfo.es anexadas a un mail (o en un zip todas juntas) poniendo como texto "REF SuperSpider, SpySheriff " y te contestaremos como respuesta a este Tema



Es que parece que tienes una buena coleccion !!!



Y configura tu windows para poder ver todos los ficheros, incluso los de sistema, pues no creo que para estos haga falta lo del ELITOTAL, simplemente deben estar protegidos con atributos de oculto y/o sistema



Cuando los hayamos recibido, los analizaremos e implementaremos a una nueva version del ELISTARA y te informaremos como respuesta de este Tema



saludos



ms, 4-07-2005

[lechoncete]

Reitero mis disculpas por mi torpeza.

No se como puedo enviaros los archivos infectados. Tengo configurado windows para ver todos los ficheros; si os referis a "mostrar todos los archivos ocultos" en Propiedades/Opciones de carpeta y no puedo llegar a localizar esos ficheros.

Microsoft Antispyware actualizado no detecta nada; spybot y Panda titanium 2004 tampoco.

Creo q lo atributos ocultos de sistema no se que es.

Muchas Gracias

[maura63]

Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Saludos

maura63

[msc hotline sat]

Los atributos en cuestion son lo que no te dejan ver los ficheros , pero si dices que ya tienes ver ficheros ocultos, mira de seleccionar además ver los de sistema, ya que los atributos son muy faciles de poner e impiden ver, copiar, borrar, etc los ficheros segun los que haya:



H (HIDDEN) los ficheros permanecen ocultos



R (READ ONLY) solo pueden leerse, pero no borrarse



S (SYSTEM) atributo de sistema, los ficheros están protegidos por suponerse que pertenecen al sistema



Como que tienes muchos ficheros adwares en C:\windows , ve al MSDOS )inicio->ejecutar->CMD.EXE y como que sabemos que tienes un fichero detectado como adware en:



C:\WINDOWS\cvchost.exe



ejecuta DIR \cvchost.exe /s /a



y espero que te lo detecte, y si es asi lo has de poder ver desde windows, si además de ver los ficheros ocultos, tienes desmarcadas las dos casillas sobre ocultar los ficheros de sistema, ya que aunque no lo fueran, si tuvieran el atributo S, windows se pensaría que lo es y lo trataría como tal



En tal caso haz ATTRIB -R -S -H C:\WINDOWS\cvchost.exe



y deberás poder verlo y copiarlo para enviarlo, y así con todos los demás



Venos informando de los progresos y problemas que se te planteen y te iremos ayudando



saludos



ms, 4-07-2005

[msc hotline sat]

Desde windows, en el explorador o en MIPC, ir a Herramientas->Opciones de carpeta->Ver->



Aqui tiene que estar marcado el Ver todos los archivos



Y bajando hay que desmarcar "Ocultar ficheros protegidos de sistema..."



y la contigua que oculta las extensiones, desmarcando la "Ocultar Extensiones conocidas..."



Así podrá ver tambien los de sistema, que supongo será el problema que tiene



saludos



ms, 4-07-2005

[lechoncete]

MUCHAS GRACIAS!!

j**e. Que torpe soy. Tenia activado el ver archivos ocultos pero no sabia que habia otra casilla para los de sistema. Borre casi todos. Voy a pasar el Activ Scan de Panda a ver que me dice.

Los ficheros infectados estan en papelera de reciclaje, os lo mando?? decidme como lo hago de manera segura. O puedo borrarlos??

Eso si, el escritorio sigue bloqueado; no se si al reiniciar estara mejor.

Creo que voy por buen camino.

Insisto MUCHAS GRACIAS

[msc hotline sat]

Si los envias podremos seguir ayudandote a restaurar lo que te hayan podido modificar en el registro



Desactiva el antivirus, los empaquetas todos en un zip protegido con password VIRUS y nos los envias a zonavirus@satinfo.es indicando en el texto "REF SuperSpider, SpySheriff "



Posiblemente haya que restaurar claves modificadas por los bichos, que tan pronto recibamos las muestras, procederemos a implemnetar en nueva version del ELISTARA



saludos



ms, 2-07-2005

[lechoncete]

Ya estan enviados. Avisad cuando os llegue para borrarlos y pasar el Panda.

Gracias

[msc hotline sat]

Recibido ZIP con ficheros a 0 kb



Antes de empaquetarlos, quitales los atributos, no sea que ello lo impida.



Ponlos a todos en una carpeta, y desde DOS te vas a esta carpeta y ejecutas ATTRIB -H -R -S *.* y eso quitará los atributos a todos de golpe.



Luego miras de empaquetarlos en un zip con password virus y enviarnoslo de nuevo



Tan pronto lo tengamos procederemos a su analisis y realizacion de utilidad de eliminacion, incluyendo restauracopn de las claves que modifican estos bichos.



saludos



ms, 4-07-2005

[lechoncete]

Algo he tenido que hacer mal porque los archivos estan a 0bytes.

Hice lo que me indicaste y te lo he vuelto a mandar y creo que no vale.

Espero indicaciones.

GRACIAS

[msc hotline sat]

Si los ficheros están a cero bytes, evidentemente ya no sirven.



Es una pena que los mandaras a la papelera antes de enviarnos muestra, pues sin ellos no podemos saber las claves que modificaron para poder restaurarlas



Con la euforia de encontrarlos al permitir ver los ficheros de sistema, te precipitaste...



Si se regeneran o vuelves a infectarte con ellos, nos los envías y los analizaremos. Piensa que las modificaciones en el registro de sistema pueden haberlas hecho en cualquier parte y afectar a cualquier cosa.



Ahora bien, el fondo de escritorio, una vez eliminados los bichos que podían volver a modificar las claves que afectan a las pestañas de modificacion de pantalla, volviendo a lanzar el ELISTARA debería restaurate los botones con los que poder acceder a dicha modificacion. Pruebalo de nuevo ahora que ya no tienes bichos



saludos



ms, 4-07-2005

[lechoncete]

j**e.

Lo siento. Me hubiese gustado aportar algo. Despues de todo aprendi de vosotros.

Siempre aprendo cuando tengo el ordenador con virus; es didactico jeje..

Pasare Panda x si queda algo y os lo comento. Y ya se lo que hacer en estos casos; supongo que si no los elimina los antispyware son importantes de pillar no??

Pasare despues Elistara y a ver que tal.

MUCHAS GRACIAS

[msc hotline sat]

La cuestión es que una vez pasado de nuevo el ELISTARA sin tener ya los bichos (comprueba que no te quede ninguno), se hayan restablecido las claves de "policies" (politicas) de configuracion de pantalla y pa tengas acceso a los botones de cambiar el fondo



Esperamos que nos digas algo, pero positivo, eh !!!



saludos



ms, 4-07-2005

[lechoncete]

varias cosas.

Pasé scan de panda y solo me dio 6 archivos infectados (vamos mejorando).

Primero: uno estaba repetido; no se si esto es importante o no.

Segundo:esta vez los guarde en una carpeta pa mandarlos e hice lo que me decias en msdos y estan a 0 kb.

Tercero: hay un fichero que esta en registro de windows y no dice donde es. Ese como lo quito?? es un spyware SAVE NOW.

GRACIAS

[msc hotline sat]

SI están a 0 Kb ya no hace falta que los envies, porque no hay nada en su interior.



Sobre el Save Now es un adware con las siguientes caracteristicas:



http://vil.mcafeesecurity.com/vil/content/v_100836.htm



Para eliminarlo, mira si figura instalado en Panel de Control->Agregar Quitar programas u si no, sigue el tutorial de spywares:



https://foros.zonavirus.com/viewtopic.php?t=4795



Y con el Spybot o el AD_Aware lo podrás eliminar, en la forma que se indica en el tutorial.



Y nos informas de tus progresos, gracias



saludos



mns, 5-07-2005

[lechoncete]

A ver.

Scan Panda me sigue detectando Save Now en registro de windows.

Pasé Spybot actualizado en modo seguro y no detectó nada.

No soy capaz de meterme en internet en modo seguro pa pasar active scan de panda en modo seguro(tengo XP y pongo modo seguro y pincho en red, pero una vez en modo seguro no se conectarme).

Ejecute elistara y nada. Lo ejecuté en modo seguro y nada, sigue bloqueado el fondo de escritorio. Tengo que escanear tb con elistara cada vez que decis que lo ejecute?? o solo ejecutarlo??

Save Now no esta entre los programas instalados.

GRACIAS

[maura63]

Prueba con



Bajar Microsoft Antispyware



http://download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe





Saludos

maura63