Mi PC tiene un virus que no puedo identificar...

[maner123]

Hola amigos.



Tengo una red con 4 computadoras.

3 funcionan bien sin problemas, pero la otra, bueno les cuento.



Hace poco note que una de las PC se reiniciaba a cada instante.

y me puse a revisar, creí que el sistema operativo estaba inestable por temporales virus y demás, así que formatee la PC e instale el sistema operativo de nuevo. (Win XP Pro con SP2),

pero el problema continuo, seguía reiniciándose, cada vez mas frecuentemente, bueno empecé a sospechar que alguna parte estaba dañada, así que:

- reemplacé el disco duro con una de las otras maquinas, igual

- reemplacé la fuente de poder , igual

- reemplacé la memoria ram, igual



cada vez que se reinicia, sale un mensaje que dice que el sistema se ha recuperado de un error grave.



NOTA: las otras PC funcionan bien sin problemas.



luego se me ocurrió, actualizar el bios. y pude instalar el Norton Internet Security 2005 con Anti Spyware, creí que todo estaba solucionado y lo conecte al Internet para actualizar el Norton, pero hasta allí llego la suerte, se reinicio solo y cuando cargo el windows ya no arranco el Norton Internet Security.



comencé a indagar en Internet sobre este problema incluyendo esta pagina, y me puse a revisar el msconfig.



formatee todo otra vez y cuando entre al msconfig pone alli

dumprep 0 -k y otra dumprep 0 -u

en mis otras pc, no sale nada de esto, de alli que me parezca sospechoso.



formatee otra vez, y baje del emule un “actualizador de parches del windows xp” que incluye todas las actualizaciones criticas y baje las actualizaciones del norton. escanee toda la PC, y no me salio nada, entonces lo volví a conectar a la red, y otra vez en cuestión de 1 min., se reinicio, y volvió a dañarse todo otra vez.



Reinicie y entre en modo seguro y ejecute el siguiente scan en linea:

https://www.virustotal.com/es/

y no me detecta nada.



Intente probar con el scan en línea del panda, y es peor, sale errores en el Internet Explorer, y luego de insistir tres veces, me salio la pantalla azul y se reinicio. (estando en modo seguro)



Ahora se me reinicia sola aún sin entrar en alguna cuenta de usuario, y me sale el mensaje del blaster que dice que se va a reiniciar en 30 seg.

NOTA: pero este aviso no me salía antes, empezó hace dos días.



Le pase el programita de Microsoft que detecta y elimina el blaster, pero dice que no tiene nada infectado, le pase el fixblaster de norton y no lo detecta.

Ya no se mas que hacer, estoy tira esa PC al cesto de la basura…



Espero que me puedan ayudar…



Maner

[maner123]

hola



Logfile of HijackThis v1.99.1

Scan saved at 08:09:59 p.m., on 28/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis[www.trucoswindows.net].exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [mcappins.exe] "D:\VSc\Enu\mcappins.exe" vsocfg.ini

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe



haber si me ayudan, estoy algo desmoralizado.



Maner

[msc hotline sat]

En su log solo aparecen las entradas 015 PROTOCOL DEFAULTS con bajo nivel de seguridad en la navegacion, lo cual no se elimina borrandolas con el HJT, sino que se han de aplicar otros métodos, como ejecutar el ELIPROTO.REG, descargando el ZIP y extrayendolo de él:





ELIPROTO.ZIP/ELIPROTO.REG

http://www.zonavirus.com/datos/descargas/191/ELIPROTOREG.asp







Pero ello no tiene nada que ver con los reinicios, y visto todo el historial, cabe que haya una memoria degradada o que el ventilador de la CPU no funcione y el mismo sistema lance resets de proteccion, pero si es ya al arrancar es mas probable que sea por una memoria. Cambielas por las de otro equipo similar y saldrá de dudas, y vea que el ventilador de la CPU en placa base funcione cuando esté en marcha el ordenador



Y comentenos los resultados como respuesta de este Tema, gracias



saludos



ms, 29-08-2005

[maner123]

Hola



La memoria ram no puede ser, ya he probado reemplazándolo

por otra de las que funcionan bien (Esto lo mencioné en mi primer post).



Además estas memorias, la he probado en las otras maquinas y no tienen problemas.



Tampoco es la fuente de poder, y mucho menos los ventiladores, ya que mientras estoy reparando esta maquina la tengo abierta. Además en cada reinicio entro al bios y chequeo las temperaturas (Bueno no en todos).



Para ser mas exacto describiendo el detalle:

En la vez anterior, instale el Windows XP Pro SP2, el Norton Antivirus 2005, las actualizaciones para el Windows y las de Norton, todo parecía ir bien, instale los demás programas, y todo bien, pero lo conecte al Internet a través del switch (Concentrador), y empezó nuevamente el desastre, note que bloqueo un intento de instrucción de un caballo de Troya (y eso que puse el firewall en protección máxima), pero se congelo la maquina, y se reinicio al ratito, y cuando estaba cargando el sistema apareció un mensaje que decía que el bios se había modificado o la hora había sido cambiada, y se reinicio sola otra vez (esto sin cargar Windows), y cuando entro al Windows, el Norton desapareció (ó mejor dicho no cargo automáticamente), intente arrancarlo manualmente, pero salía un mensaje al rato que me decía que el Norton estaba corrupto, que contactara a Symantec.



y luego me puse a entrar en modo seguro con funciones de red para escanear por virus, pero nada, fui a intentar con panda, y comenzó a salir errores en el Explorer, luego de tres intentos salio la pantalla azul y se bloqueo la maquina.



intente con el f-prot y no me detecta nada.

intente con el elistara y dice que no hay nada sospechoso.



ahora entro al Windows cuando me deja y me muestra 2 errores, uno grave del sistema y otro de un archivo con 32 en el nombre, además del mensaje característico del blaster (que dice que la PC se va a reiniciar en 30 seg.)



con las otras maquinas he bajado todos fix para borrar virus de:

http://www.pandasoftware.es/descargas/utilidades/

pero ninguno detecta nada.



Tengo la ligera sospecha de que como tengo flash bios,

el virus se aloja en el, y de allí infecta al disco duro.

porque formateo, instalo de nuevo y se vuelve a infectar.



por favor ayúdenme, no sé que mas hacer, no habrá alguna aplicación MS-Dos que pueda ejecutar para detectar si el virus esta en el bios.



Maner

[msc hotline sat]

Olvide la hipótesis de virus en el Bios, Aunque tenga flash eprom, lo unico que puede hacer es poner todo el software de otra eprom como hacen las actualizaciones al respecto, o poner basura, como hace el CIH, pero no existe actualmente un virus que infecte al Bios, pues cada Bios es diferente y diseñar un software de Bios con virus no serviría mas que para un tipo de placa base, lo cual no sería lógico, además de que actualmente las placas base ya se protegen de las modificaciones del BIOS por software, y para actualizarlas se ha de puentear un jump, con lo que logra evitar desgracias como las que conseguía el CIH.



Si ya ha probado con las memorias de otra máquina y las de esta van bien en otro equipo, podría tratarse de un mal contacto en los zócalos de dichas memorias.



Si tiene varios módulos y puede reducir la cantidad, pruebe con la mitad cambiando de zocalos para tratar de eludir un posible mal contacto. La cuestion sería conseguir saber la causa, luego ya se vería de como solucionarlo.



Si como dice lo ha cambiado todo menos la placa base, el problema es probable que esté em ella. Si quiere salir de dudas cambiela por la de otro ordenador que le vaya bien, manteniendo lo demás.



Y lo que dice del " mensaje característico del blaster (que dice que la PC se va a reiniciar en 30 seg.)" sepa que tal mensaje no es del Blaster ni del Sasser, sino del sistema operativo, que lanza un shutdown ante un Error grave, para proteger al usuario ante un mal proceso ocasionado por dicho ERROR: que puede ser causado por anomalçia de hardware o de software y por alteraciones provocadas por software normal (por corrupto) o por malware, como el desbordamiento de buffer del LSASS ante el intento de intrusion del Sasser o por intento de intrusion del Blaster por el RPCDCOM, pero es el sistema operativo el que tiene previsto esta actuacion lanzando el shuthdown y dando el mensaje, no los virus.



Es de dificil solucion y se ha de ir por eliminacion, hasta cambiar o eliminar lo que lo produce, software o hardware.



Del log del HJT, tras haber eliminado las 015 con el ELIPROTO (o a partir de la 10.17 del ELISTARA que hoy hemos subido a esta web, simplente lanzado dicha utilidad), no se aprecian claves víricas, si bien hay una que considero sospechosa ya que normalmente es del instalador del McAfee, pero Vd usa Symantec...:



O4 - HKLM\..\Run: [mcappins.exe] "D:\VSc\Enu\mcappins.exe" vsocfg.ini



http://www.auditmypc.com/process/mcappins.asp





Si considera que puede ser un resto de una anterior instalacion de McAfee que hubiera tenido en esta máquina, elimine esta clave, ya que está en el inicio, y si no sabe de lo que es, tambien, no sea un bicho disfrazado...



y tras reiniciar, nos cuenta el resultado de sus pruebas, como respuesta de este Tema, gracias



saludos



ms, 29-08-2005

[maner123]

Hola



Efectivamente, estuve instalando el McAfee Viruscan 2006 y el Personal Firewall 2006.



pero no detecta nada. lo puse en seguridad máxima también.



parecía que todo iba bien, excepto porque me salían los siguientes errores:



AppName: explorer.exe AppVer: 6.0.2900.2180

ModName: kernel32.dll ModVer: 5.1.2600.2180

offset: 00008526



BCCode: 10000050 BcP1: DD44271C BcP2: 00000000

BcP3: 804E70DS BcP4: 00000000 OSver: 5.1.2600 SP:2_0

Product: 256_1



szAppName: NDETECT.EXE szAppVer: 2.6.14.0

szModName: unknown szModVer: 0.0.0.0 offset: 00019600



bueno descargue el messenger, y luego de reiniciar

ahora me sale la pantalla azul con el siguiente error

STOP: 0x00000050, COxDE13F69C, Ox00000000, 0x804E70D5,

0x00000000



y ya no puedo entrar a Windows, solo puedo entrar a modo a prueba de fallos.



encontré una pagina en ingles donde sugerían que pasara este comando.

chkdsk c: /f

sfc /scannow



http://www.experts-exchange.com/Security/Win_Security/Q_20986971.html



pero cuando lo intento ejecutar en modo seguro (el único al que puedo acceder), me dice que la librería rpc no esta disponible, que los archivos están protegidos.



me puede decir si nota algo extraño con estos errores, antes de cambiar de tarjeta madre.



yo insisto que es un virus, porque se comporta mal cuando se conecta a Internet.



la temperatura oscila entre 48-52º C, y el ventilador gira a 3550 rpm.



Nota: mi tarjeta madre no posee un jumper para desactivar el flash bios.



uno entra al bios y selecciona actualizar, ingresa el diskette y listo.

la tarjeta madre es una Gigabyte 2004 RZ Series.

modelo 7VM333M-RZ con un procesador AMD de 1.2 GHZ.



luego de su recomendación, realizo el cambio de tarjeta madre.



y gracias por el soporte.



Maner

[msc hotline sat]

Debe ser de las placas base de antes, sin proteccion, lo cual mejoraron a raiz del CIH, pero vamos, para su convencimiento de eliminar el hjipotetico virus del BIOS, actualicelo con la misma version que equipa, pero sepa que cualquier modificacion de un solo byte modificaría el checksum y al detectarlo en el inicio daría CHECKSUM ERROR ! y de ahí no pasaría. Solo con un software entero de BIOS puede funcionar, y la posibilidad de uno con virus, tal como le dije, solo funcionaría en un determinado tipo de placa, por lo que sería mucho trabajo para poco fruto, y los coders mas bien buscan lo contrario.



Por cierto, si tiene otras maquinas iguales, xon el mismo modelo de placa base y consiguiente BIOS, intercambielas y saldrá de dudas.



Por tenperatura y giro del ventilador no hay problema, por lo que to apunto a hardware, malos contactos o degradacion de algun componente.



Espero, en fin, que con el cambio de placa base se le solucione, o al menos saldremos de dudas al respecto !



saludos



ms, 30-08-2005