problema con virus

[nessa]

Hola, mi problema es que el día 9 el Norton me avisó de una intrusión de un virus que no pudo eliminar y este aviso se repetía constantemente hasta ayer, lo actualizé y escaneé pero el antivirus se bloqueaba y esto también me pasaba con los antivirus online y con los antiespias.Este virus no me dejaba acceder a la carpeta System32 que es donde según el Norton estaba, cuando anoche por fin pude acceder, (que fue después de eliminar una carpeta que se había creado en " documents and Settings/Administrador/Configuración local/Datos de programa/Mozilla/...../Cache") eliminé los archivos exe que se habían creado desde el día 9 hasta ayer, entonces pude pasar el antiespia y detectó 13 infecciones que eliminó, pero para entonces el Norton ya no funcionaba ni los online y tampoco puedo bajar ninguna herramienta de desinfección. sinembargo, ayer sí pude bajar el Elitrip y el elistara, esta última me eliminó una cosa y el otor me decía que no tenía acceso a ciertas carpetas de System32 y cuando fuí a verlas !estaban vacías! entre ellas estan "active scan, diretx, adobe, y muchísimas más" pero no detectó nada.

Creía que lo tenía medio solucionado y con reparar el sistema y volver a instalar el Norton estaría solucionado, pero hoy vuelve a estar la carpeta "Cache" y lo único que puedo hacer es eliminarla.

Tengo un inconveniente a la hora de intentar eliminar virus,y es que en modo seguro no me va la función de red.

Lo que detectó el antivirus " Trojan horse".

El Elistara me dice que envíe una muestra del fichero Windows sistem32/hzktq.exe pero no sé cómo hacerlo.

Saludos



Mon Sep 11 14:26:11 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\HZKTQ.EXE

a "virus@satinfo.es". Gracias.

Eliminada Class, "{08BEC6AA-49FC-4379-3587-4B21E286C19E}" -> C:\WINDOWS\system32\{B18CC0BB-F06C-4554-91D1-68D743A1D53D}.dll



Tue Sep 12 00:16:27 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "dmvdw.exe"="C:\WINDOWS\system32\dmvdw.exe"

[msc hotline sat]

El infosat.txt no debe agregarlo sino copiar su contenido en un post, para mantener la estructira y ser factible procesarlo



De todas maneras se adivina:



"envienos una muestra del fichero C:\WINDOWS\SYSTEM32\HZKTQ.EXE a "virus@satinfo.es". Gracias."



las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





saludos



ms, 12-9-2006

[nessa]

Entro en system32 y no encuentro ese fichero.

Perdonar mi ignorancia.

[nessa]

De todas maneras me acabo de dar cuenta de que el correo no funciona.... Lo siento, no sé que puedo hacer.

[msc hotline sat]

Puede estar oculto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 12-9-2006

[msc hotline sat]

Leido su ult¡imo post, puede copiarlo a un disquete y enviarnoslo desde otro ordenador...



Aparte miro de restablecer la estructura de su infosat:


[quote]


Mon Sep 11 14:26:11 2006 EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

-------------------------------------------------- Lista de Acciones (por Acción Directa):



[HKLM\...\Run]



Por favor, envienos una muestra del fichero C:\WINDOWS\SYSTEM32\HZKTQ.EXE a "virus@satinfo.es". Gracias.



Eliminada Class, "{08BEC6AA-49FC-4379-3587-4B21E286C19E}" -> C:\WINDOWS\system32\{B18CC0BB-F06C-4554-91D1-68D743A1D53D}.dll



Tue Sep 12 00:16:27 2006 EliStartPage v12.31

(c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------



Lista de Acciones (por Acción Directa):



Entrada Eliminada

[HKLM\...\Run] "dmvdw.exe"="C:\WINDOWS\system32\dmvdw.exe"


[/quote]

Pues solo falta recibir la muestra para proceder a controlarla.



saludos



ms, 12-9-2006



Así debía haberlo posteado (mas o menos)

[nessa]

Sigue sin aparecer, no sé si es que lo estoy mirando donde no debo, a ver, entro en Windows/ System32 y allí tiene que estar ¿no?

[msc hotline sat]

Pero estña viendo ficheros ocultos incluidos los marcados con atributo de sistema ???



Si sabe manejarse en MSDOS, ejecute CMD.EXE , ejecute "CD C:\windows\system32" (sin comillas) y luego



ATTRIB *.DLL a ver si está entre las que le lista y nos lo comenta, gracias



saludos



ms, 12-9-2006



Nota: Sino, podria tratarse de un rootkit que se ocultara cuando estuviera en uso, ...???

[nessa]

Hola de nuevo.

He intentado hacer lo de msdos pero no puedo, no sé si lo hago bien. Entro en símbolo de sistema y llego hasta que se pone en C: pongo \windows\system32 y me dice que no es un comando ejecutable.

[msc hotline sat]

Deciamos

< ejecute "CD C:\windows\system32" (sin comillas) >



Le faltó el CD delante para indicar CAMBIAR DIRECTORIO...



A ver si así puede



saludos



ms, 12-9-2006

[nessa]

Vale ahora sí, pero la lista es muy larga y no me deja retroceder, no veo el archivo.

[msc hotline sat]

Pues en lugar del * ponga el nombre del fichero a buscar:



ATTRIB HZKTQ.EXE



perdon, es que era un EXE !!!



a ver si eso si que lo encuentra



y nos dice los atributos que tiene, H, S, R, A o los que sean

[nessa]

Pone que no lo encuentra.

[msc hotline sat]

Entonces vuelve a lanzar el ELISTARA y mira al final del C:\infosat,txt, no sea que haya cambiado de nombre, y en tal caso envianos el que indique, sin haber reiniciado



saludos



ms, 13-9-2006

[nessa]

Hola.

Elelistara se queda bloqueado en "restaurando registro de sistema".

Con el Mozilla puedo descargar cosas de aquí, aunque se vuelve a crear la carpeta "cache". ¿paso otra herramienta?

[novatillo]

Prueba con el ultimo elistara y lanzalo arrancando en modo seguro a ver si asi no se te bloquea.



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp





Saludos.

[msc hotline sat]

Debe tener mal el registro de sistema



Pruebe de optimizarlo :





[b]DESFRAGMENTACION Y OPTIMIZACION DEL REGISTRO DE SISTEMA[/b]



[url=http://www.zonavirus.com/datos/descargas/260/registry-workshop.asp][b]Registry Workshop[/b][/url]





y si tras ello sigue sin funcionar el ELISTARA. ejecutelo con la opcion /SALTAREG



O sea desde Inicio -> Ejecutar ELISTARA /SALTAREG



(ello saltará la comprobacion del registro)



saludos



ms, 13-9-2006

[nessa]

No va, y si le doy a ejecutar me dice que no lo encuentra.

Tengo que dejarlo, hoy no he tenido mucho tiempo para esto. Gracias.



Un saludo

[msc hotline sat]

Pues ciuando tyengas tiempo ejecuta manualmente lo de:



"O sea desde Inicio -> Ejecutar ELISTARA /SALTAREG "



y tras ello nos posteas el contenido del c:\infosat.txt



saludos



ms, 14-9-2006

[nessa]

Hola de nuevo.



No puedo ejecutar elistara/saltareg, me dice que no lo encuentra.



Saludos

[msc hotline sat]

si no lo tienes en una ruta con path indicale la ruta, claro !



Lo mas facil es que lo copies en C:\windows\system32 (que es la carpeta de sistema) y tiene path



si desde MSDOS (entra en él ejecutando CMD.EXE) ejecutas el comando path te dirá qué carpetas tienes con path, si no lo sabes



saludos



ms, 14-9-2006

[nessa]

No sé muy bien lo que dices...pero he copiado elistara.exe en system32 y entonces lo he ejecutado y sigue sin encontrarlo, luego he probado en msdos he buscado en system32 elistara y me ha denegado el acceso cuando pongo elistara/saltareg me dice que no es ejecutable.

Siento de verdad ser mala colaboradora....me da un poco de verguenza :oops:

[msc hotline sat]

NO mujer, es falta de practica



Es solo copiar el fichero ELISTARA.EXE en la carpeta C:\windows\system32 suponioendo que uses XP, claro



y sino, copialo en C:\ y luego vas a Inicio -> Ejecutar y le indicas :





C:\ELISTARA.EXE /SALTAREG



Así lo irá a buscar a C:\ donde lo acabarás de copiar.



saludos



ms, 14-9-2006

[nessa]

Me he vuelto ha descargar el elistara directamente en system32, ahora cuando le doy a ejecutar elistara.exe/saltareg se abre el programa pero sigue haciendo lo de restaurar el registro.

sí tengo xp.

[msc hotline sat]

Bien, pues quizas no separas el ELISTARA de la opcion /SALTAREG, separalo con un especio



saludos



ms, 14-9-2006

[nessa]

Sigue saliendo lo del registro.

[msc hotline sat]

Pues hazlo desde una ventana al DOS, entrando



ELISTARA /SALTAREG <ENTER>



asegurandote que la version que usas sea la 12.33 !!!



saludos



ms, 14-9-2006

[nessa]

No sé cómo se hace eso. Lo siento

[msc hotline sat]

Pues pruebalo normalmente, como cuando hiciste anteriormente:


[quote]
Mon Sep 11 14:26:11 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\HZKTQ.EXE

a "virus@satinfo.es". Gracias.

Eliminada Class, "{08BEC6AA-49FC-4379-3587-4B21E286C19E}" -> C:\WINDOWS\system32\{B18CC0BB-F06C-4554-91D1-68D743A1D53D}.dll



Tue Sep 12 00:16:27 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "dmvdw.exe"="C:\WINDOWS\system32\dmvdw.exe"
[/quote]

saludos



ms, 14-9-2006



nota: y espera para ello a las 19 horas que subiremos nueva version 12.34

[msc hotline sat]

TYa disponibles nuevas versiones:



https://foros.zonavirus.com/aqui-vp66921.html#66921



Tras descargarlas y probarlas, comentenos los resultados, gracias



saludos



ms, 14-9-2006