Es como una plaga (SOLUCIONADO)

matius · Mensaje por **matius** » 24 Ene 2006, 16:03

Hola

Tengo problemas con el ordenador y no se como solucionarlo,pues la pagina de inicio se cambia cuando quiere saliendome un monton de paginas publicitarias. el ordenador va muy muy lento y es que ya no se que hacer.

Paso:el Ad-aware SE Profesional; no detecta nada

paso:el antivirus que tengo instalado (McAfee);no detecta nada

El spybot me detecta lo siguiente HKEY_LOCAL_MACHINE/SYSTEM/controlSet001/services/cmdServices

HKEY_LOCAL_MACHINE/SYSTEM/currentcontrolSet/services/cmdServices.(Inacapaz de eliminar)

Antivirus on line (McAfee) me detecta estos archivos infectados

C:\...\count.jar-4ef836e7-4a2a318e.zip Exploit-ByteVerify

C:\...\count.jar-4ef836e7-4a2a318e.zip Exploit-ByteVerify

C:\...\count.jar-4ef836e7-4a2a318e.zip Exploit-ByteVerify

C:\...\count.jar-4ef836e7-4a2a318e.zip Exploit-ByteVerify

C:\...\count.jar-6e8e8ac3-67e3aebd.zip Exploit-ByteVerify

C:\...\count.jar-6e8e8ac3-67e3aebd.zip Exploit-ByteVerify

C:\...\count.jar-6e8e8ac3-67e3aebd.zip Exploit-ByteVerify

C:\...\count.jar-6e8e8ac3-67e3aebd.zip Exploit-ByteVerify

C:\Documents and Settings\...\file2.zip Generic Downloader.s

C:\Documents and Settings\...\file2.zip Generic Downloader.s

De antemano gracias por vuestra ayuda

Mensaje por **msc hotline sat** » 24 Ene 2006, 16:11

Ante todo lance un windowsupdate, pues por lo visto tiene el agujero del EXPLOIT BYTE VERIFY sin parchear (motor de Java)

tras ello arranque en modo seguro y lance su antivirus para eliminar el Byte Verify

Por ultimo pruebe el ELISTARA y elimime la página de inicio y cuando se la pida, pongala a su gusto, pero alguna, para enterarse cuando se la cambian

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 24-1-2006

NOTA: Y todos los ficheros ZIP y demás, que indica haberle detectado, arrancando en modo segurop, eliminelos sin mas.

matius · Mensaje por **matius** » 25 Ene 2006, 14:17

La mayoria de infectados los encuentro en la carpeta de ad-Aware en concreto en estos archivos

Default ASK,Medium blue,Greyscale yYeyow ¿Que hago? ¿Los puedo eliminar? de antemano Gracias por las respuestas

Mensaje por **msc hotline sat** » 25 Ene 2006, 15:00

Arranque en modo seguro, lance su AD_AWARE y elimine todo lo que detecte.

Y nos comenta el resultado, en cualquier caso, gracias

saludos

ms, 25-1-2006

matius · Mensaje por **matius** » 25 Ene 2006, 15:47

El Ad-Aware no detecta absolutamente nada cuando lo paso,el McAfee es el que detecta (cuando estoy pasando el Ad-Aware) la mayoria de esas infecciones encontrandolas ubicadas en esos archivos antes mencionados del Ad-Aware, por eso era mi pregunta de como los podia eliminar de ahi.pues suponia (no se si bien) que serian atrasados que en algun momento estubieran infectados decidme por favor los pasos a seguir Mil gracias

Mensaje por **msc hotline sat** » 25 Ene 2006, 15:55

Entonces haga lo mismo pero con el McAfee:

Arranque en modo seguro, deshabilite la restauracion de sistema si usa XP y lance su antivirus en modo de eliminacion y se los detectará y eliminará.

Como sea que es el antivirus residente el que al lanzar el ad_aware sobre todos los ficheros, le detecta los bichos en los ficheros indicados. con el Scaneo bajo demanda del antivirus los podrá detectar y eliminar.

No se olvide de actualizar los parches, en cualquier caso, lanzando un windowsupdate

saludos

ms, 25-1-2006

matius · Mensaje por **matius** » 25 Ene 2006, 20:53

Paso el Antivirus y siguen saliendo los mismos mensajes de la carpeta de Lavasoft aunque ahora añade: no analizados los archivos esta cifrados,eso que quiere decir? sigo esperando de vuestras respuestas maaas gracias

Mensaje por **msc hotline sat** » 26 Ene 2006, 13:00

Pues que los ficheros tienen password y al estar encriptados no puede analizarlos. Es posibles que sean ZIP con password o cualquier otra encriptacion de seguridad, que impida abrirlos

Si quiere, ponga todos estos en una carpeta decuarentena, asi no los pierde, pero ya no estaran en uso tras el siguiente reinicio, y no tendrán mas importancia.

saludos

ms, 26-1-2006

matius · Mensaje por **matius** » 26 Ene 2006, 14:50

Bueno,parece que vamos por el buen camino ya que excepto los dos infectados que detecta el Spybot que son:

HKEY_LOCAL_MACHINE/SYSTEM/controlSet001/services/cmdServices

HKEY_LOCAL_MACHINE/SYSTEM/currentcontrolSet/services/cmdServices ahora mismo no sale nada mas, si podemos hacer algo para limpiarlos bien sino me dare por vencido.

Una preguntita cuando paso el Elistara me pone:procesando 930 files y 1340 class lo dejo horas y no veo que que haga nada ¿es normal? ¿o es que estoy haciendo algo mal? saludos y muchas gracias por preocuparos de los que no sabemos

Mensaje por **msc hotline sat** » 26 Ene 2006, 16:29

No, el ELISTARA debe poder terminar y seguir ofreciendo el examen del resto de ficheros, pero en ocasiones los procesos de eliminacion de temporales y demas, segun su tamaño, se corta o queda en un bucle, quizas por lo del CMDSERVICE que al haber dos, uno crea al otro y el ELISTARA va eliminando a medida que el otro va creando em un bucle sin fin.

Como que tenemos una muestra de un Command.exe con la DLL correspondiente del Adware CommAd, que el ELISTARA ya contempla, verificaremos que con las dos vlaves que nos indica instaladas, se pueda eliminar, no sea que a medida que la eliminemos nos cree una nueva ...

Y como que los servicios pueden cargarse incluso en modo seguro, deberiamos arrancar en consola de recuperacion, eliminar el fichero COMMAND.EXE y asi poder reiniciar sin que se pusiera en marcha este servicio

Nosotros implantaremos esta tarde tanto al ELISTARA cono al ELINOTIF.DLL la eliminacion de estas claves, de forma que el ELISTARA si las encientre, procese el ELINOTIF, pero como en algun caso como el suyo puede no llegar al final, ello podrá hacerse tambien a través de la DLL, ejecutando la siguiente instruccion:

RUNDLL32 ELINOTIF.DLL, Instala

(ojo con las mayusculas minusculas, que tiene importancia con las funciones de las DLL)

Desde una ventana al DOS, y ello instalará en el registro la clave que ejecutará la DLL en el proximo reinicio, que eliminará las claves en cuestion antes de que entren en servicio.

Esta tarde acabaremos el ELISTARA 11.04 y el ELINOTIF correspondiente y ambos podrán descargarse para probar esta nueva funcion.

Confio que con ello daremos un paso mas en toda esta historia

Cuando lo haya probado, cuentenos el resultado, gracias

saludos

ms, 26-1-2006

Mensaje por **msc hotline sat** » 26 Ene 2006, 18:18

Subida la nueva version del ELINOTIF.DLL para el control y eliminacion de estas claves.

Descargalo y lanzalo desde una ventana del DOS entrando:

RUNDLL32 ELINOTIF.DLL, Instala

vigilando la opcion Instalam la I mayuscula y el resto minuscula, pues las funciones de las DLL son sensibles a las mayusculas /minusculas

Tras ello quedará instalada la clave, si detecta dicha infeccion del CommAd, y en el siguiente reinicio se ejecutará desde el WinLogon Notify antes que nada, y eliminará las claves deseadas.

Es toda una innovacion, que puede facilitar la eliminacion de las claves "rebeldes"

Esperamos sus comentarios como respùesta de este Tema, gracias

saludos

ms, 26-1-2006

matius · Mensaje por **matius** » 26 Ene 2006, 21:45

No puedo bajarme ELINOTIF. DLL no se a que sera debido

saludos

Mensaje por **msc hotline sat** » 27 Ene 2006, 05:59

Lo acabo de probar yo desde casa y me ha bajado bien

Utiliza este link:

http://www.zonavirus.com/descargas/elinotif.asp

saludos

ms, 27-1-2006

matius · Mensaje por **matius** » 27 Ene 2006, 13:49

Efectivamente desde ese link va perfecto,lo que pasa ahora es que no soy capaz de ejecutarlo por favor decidme los pasos a seguir un saludo y gracias por las molestias

Mensaje por **msc hotline sat** » 27 Ene 2006, 14:00

[quote="msc"]Descargalo y lanzalo desde una ventana del DOS entrando:

RUNDLL32 ELINOTIF.DLL, Instala

vigilando la opción Instala la I mayuscula y el resto minuscula, pues las funciones de las DLL son sensibles a las mayusculas /minusculas

[/quote]

y tras ello reinicia y automátocamente se procederá en consecuencia

Y nos cuentas los resultados, gracias

saludos

ms, 27-1-2006

matius · Mensaje por **matius** » 27 Ene 2006, 14:38

Ya lo he intentado y me da error al cargar ELINOTIF.DLL algo estare haciendo mal un saludo

matius · Mensaje por **matius** » 27 Ene 2006, 14:48

Lo e intentado y me da error al cargar ELINOTIF.DLL haber si sabeis cual es el problema para que de error sigo a la espera de vuestras noticias gracias

matius · Mensaje por **matius** » 27 Ene 2006, 14:50

Mil perdones por la duplicidad del mensaje

matius · Mensaje por **matius** » 27 Ene 2006, 15:15

Al quererlo ejecutar sale este error. Error al cargar ELINOTIF.DLL por mas que lo intento no soy capaz de ejecutarlo decidme por favor como hacerlo gracias

Mensaje por **msc hotline sat** » 27 Ene 2006, 15:34

Pues hazlo desde Inicio -> Ejecutar :

"RunDll32.exe" EliNotif.DLL, instala

poniendo entre comillas el ejecutable, como se indica, y especialmente la funcion con la I mayuscula

Es lo mismo que antes pero de otra manera

saludos

ms, 27-1-2006

matius · Mensaje por **matius** » 27 Ene 2006, 16:15

EliNotif.dll tiene que estar en alguna carpeta determinada? es que tampoco puedo ejecutarlo, que es lo que hago mal?por favor disculpar por todas las molestias saludos

Mensaje por **msc hotline sat** » 27 Ene 2006, 21:09

Sí, claro, en una del path, por ejemplo en la de sistema

saludos

ms, 27-1-2006

matius · Mensaje por **matius** » 29 Ene 2006, 19:34

Lo siento pero sigo sin poder ejecutar el Elinotif,dll intento de varias formas pero no hay manera si lo trato de ejecutar asi

RUNDLL32 ELINOTIF.DLL, Instala me da este error:no se puede encontrar el modulo especificado

Si lo trato de ejecutar asi RUNDLL32 EliNotif.dll, Instala da este error; No se reconoce como un comando interno o externo asi que por favor una vez mas, decirme los pasos a seguir sigo esperando vuestras respuestas Gracias

Mensaje por **msc hotline sat** » 29 Ene 2006, 19:58

Pon el ELINOTIF.DLL en la carpeta donde tengas el RUNDLL32.EXE, que es la carpeta de sistema, pero asegurate que estén allí los dos

Por si acaso bajate de nuevo el ELINOTIF.DLL desde:

http://www.zonavirus.com/descargas/elinotif.asp

Y lo unico importante de la ehecucion es que la llamada a la funcion Instala la hagas con I mayuscula y el resto minuscula, es un imperativo de las funciones de las DLL

tanto si lo gaces desde Inicio -> ejecutar como desde una ventana al DOS debe funcionar bien, claro, con los privilegios suficientes, por si acaso arranca en modo seguro con solo simbolo de sistema y solo tendras que escribir el comando indicado y pulsar <ENTER>

Yo voy a hacerlo en mi maquina, pero no estoy infectado...

Pruebalo

saludos

ms, 29-1-2006

Mensaje por **msc hotline sat** » 29 Ene 2006, 20:06

Tras hacer todo lo que te he indicado, lo he ejecutado y me ha abierto una ventana indicado NO DETECTADO TROYANO , y logicamente no ha instalado la clave que lanzarían el ELINOTIF en el proximo arranque.

Si no te dice esto (porque no tuvieras las claves en cuestion) o no consigues ejecutarlo, repite la operacion y comentanoslo, gracias

saludos

ms, 29-1-2006

matius · Mensaje por **matius** » 29 Ene 2006, 21:54

Efectivamente ahora ha salido con el nuevo que he bajado y me dice No detectado troyano asi que seguire esperando vuestros consejos gracias

Mensaje por **msc hotline sat** » 30 Ene 2006, 06:02

Sí claro, esta función la implementamos a raiz de tu problema, en las anteriores no existía.

Entonces ya no tienes malwares en las claves en cuestion

prueba a ver si ahora acaba el ELISTARA, y si no, pasa un Comprobar Errores (Scandisk) y Desfragmenta, pues posiblemente tengas errores en la estructura de ficheros, y todo sea debido a ello

Y nos informas del resultado, gracias

saludos

ms, 30-1-2006

matius · Mensaje por **matius** » 30 Ene 2006, 14:45

He desfragmentado y el Elistara sigue igual no acaba de realizar su cometido,alguna opcion mas? sigo a la espera de vuestra ayuda y una vez mas agradeciendo la paciencia y el interes mostrado que la verdad que es infinita saludos

Mensaje por **msc hotline sat** » 30 Ene 2006, 14:56

Puedes tener algo de sistema corrupto o dañado, o alguna DLL borrada, que impidan el normal comportamiento del ELISTARA, lo cual es posible que se solucionara REPARANDO ek sistema, pero a esto siempre estas a tiempo, arrabcando con el CD de instalacion u seguir como si se fuera a instalar, y tras detectar la particion instalada, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar lanzando un windowsupdate para actualizar los parces en los nuevos ficheros sobreescritos.

Pero si no notas nada mas y no te hace falta, mora si se ha solucionado el problema, pues ya no tienes el adware que decias, y nos lo comentas, gracias

saludos

ms, 30-1-2006

matius · Mensaje por **matius** » 30 Ene 2006, 17:35

Actualmente queda como sigue:

Paso el Antivirus (McAfee) y no detecta absolutamente nada

paso el Ad-Aware y tampoco detecta nada pero si detecta el antivirus McAffe troyano Generic downloaders

paso el Spybot y me detecta estas entradas

HKEY_LOCAL_MACHINE/SYSTEM/controlSet001/services/cmdServices

HKEY_LOCAL_MACHINE/SYSTEM/controlSet002/services/cmdServices

HKEY_LOCAL_MACHINE/SYSTEM/currentcontrolSet/services/cmdServices

una de ellas se soluciona aunque cuando vuelves a reiniciar vuelve a salir (HKEY_LOCAL_MACHINE/SYSTEM/controlSet002/services/cmdServices)

sigo dejandolo de vuestras manos lo que me digais asi hare es un engorro que te salgan cada vez que des una pasada pero molestia no es ninguna saludos y gracias