Programas y archivos desconocidos

[lanenadelsoe]

[b]Hola de nuevo!

Ésta mañana, me he sorprendido al encender el ordenador y ver que no podía ejecutar ningún programa, estaban todos los programas desconocidos, no puedo pasar el antivirus ni el elistara ni nada solo me puedo conectar a internet, le he pasado el antivirus online, y no me detecta nada :? espero vuestra ayuda.



Muchas Gracias.[/b]

[msc hotline sat]

Descarga esta utilidad y ejecutala: ELIRESTR.VBS



Al ser VBS aunque tengas restringida la ejecucionde EXE. COM. BAT, PIF, SCR, INF, REG, etc, propio de virus que intefceptan con su gusano dichas ejecuciones, los VBS normalmente pueden ejecutarse y ello restauraria las claves de registro restringidas.





ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp





Tras ejecutarla y aceptar los cambios, reinici y cuentanos el resultado como respuesta de este Tema, gracias



saludos



25-10-.2005

[lanenadelsoe]

He ejecutado el ELIRESTR y nada, no se ha arreglado, he probado que puedo abrir los programas dandole a inico<ejecutar aún así es un rollo :? a ver como ño podríamos arreglar :wink:

[msc hotline sat]

Pues mira de lanzar el HJT, igual puedes con boton derecho->abrir, y nos copias el log:



i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]





saludos



ms, 25-10-2005

[lanenadelsoe]

Pues aquí está:



Logfile of HijackThis v1.99.1

Scan saved at 18:30:16, on 25/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Real\RealPlayer\realplay.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\BizKit\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130248779914

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe



Gracias!

[maura63]

Usa la navajilla inglesa para las 015



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Saludos

maura63

[msc hotline sat]

Y tras ello, vuelves a lanzar el HJT, comprueba que ta no tengas todas estas 015 PROTOCOL DEFAULT y marca y elimina con FIX esta otra;



O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)



saludos



ms, 25-10-2005

[lanenadelsoe]

Ya he quitado todas esas claves.. pero no me deja descargarme ese elistara.. y aún sigo teniendo todos los archivos y accesos directos como aplicaciones desconocidas :?



Gracias..

[msc hotline sat]

Si estas registrado en las descargas, debes poder bajar dicho ELISTARA.



Mira si es este solo o es cualquiera de las descargas e informanos.



Prueba igualmente desde otro ordenador y si desde alli puedes, lo copias a un disquete y te lo llevas al ordenador infectado.



Es primordial el ELISTARA para lo que tienes.

(y todo el mundo se lo ha podido bajar)



____________________________________



OJO !!!! hay problemas de descarga del ELISTARA actualmente. Lo reviso a ver si subiendolo de nuevo se arregla



____________________________________





saludos



ms, 26-10-2005

[lanenadelsoe]

Vale.. ya lo he conseguido descargar, y me ha detectado el google toolbar, me lo ha eliminado, he reiniciado, y aún sigo teniendo los iconos como aplicaciones desconocidas :? ?¿

a ver que pasa..



Gracias.

[lanenadelsoe]

Ahora ya no puedo abrir los archivos ni yendo a ejecutar.. solo puedo conectarme a internet :? bueno a ver si lo arreglo..

[msc hotline sat]

pues entre las 015 que debio eliminar el ELISTARA y la 018 que le indiqué eliminara manualmente, el log del HJT ya estará limpio, pero en cuanto pueda vea de lanzar de nuevo el HJT y postearnos nuevo log, no sea que haya algo mas, no mostrado en dicho log, que nos buelba a generar estas entradas.



Realmente su equipo tenía estas anomakñias, pero ello no era la causa de lo que le pasabam sino posiblemente consecuencia de las mismas, que pudieron ser eliminadas por otros medios dejando estos restos, o permanecer ocultas y seguir incordiando, que es lo qye parece estar ocurriendo.



Bajese el actual ELISTARA.EXE v 10.50 que controla nuevas variantes, de las que aparecen a diario un promedio de 50 !, copie el ELISTAERA en el directorio raiz C:\ y arranque este equipo en modo seguro con solo simbolo de sistema y ejecute el ELOSTARA entrando C:\ELISTARA.EXE



Si le pide que envie alguna muestra, serña muy importante para Vd que nos la haga llegar, diganoslo en su caso para darle prioridad, pues la deteccion de ficheros sospechosos es una de las poretaciones que equipa el ELISTARA que ayuda a descubrir nuevas histoirias al respecto.



Esperamos sus noticias



saludos





ms, 27-10-2005

[lanenadelsoe]

Bueno pues despues de pasar varias veces el elistara, y varios antivirus online me sigue sin detectar nada!! pero no hay nada que elimine ese virus del exe??Algún programilla?? Os vuelvo a poner el log ok :wink:



Logfile of HijackThis v1.99.1

Scan saved at 13:40:19, on 27/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\EliStarA.exe

C:\Documents and Settings\BizKit\Escritorio\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130248779914

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe



Graxias!

[msc hotline sat]

Log del HJT limpio.



Lanza el ELIRESTR.VBS paea restaurar claves modificadas por virus mal eliminados, por si acaso.



v

ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp





saludos



ms, 27-10-2005