AYUDAAA...como nunka antes la he pedido¡¡

[Ejecuter]

nesecito q me ayuden....soi nuevo aqui...pero me interesa la informatika....gracias a Dios q existe un foro dedicado.....saludos a todos antes de q les cuente mi problema...



todo empezo ahora mi hermano estaba chateando por el Live Messenger con un tipo al q le salia un mensaje automatico de la siguiente pagina....( POR SI ACASO NO LA ABRAN)..(video http://usuarios.lycos.es/<interceptado>/).....le dio click para descargar un video....y aparecio un ejecutable con el nombre de camila.exe.....bueno, luego me llamo me parecio raro....q no servia el administrador de tareas...y no sale me aparece como bloqeado....y tampoco funciona la herramienta restaurar sistema......y el menu de ejecutar desaparecio,.......ESTOI LOKO....q puedo hacer..????..ya le di al Nod32...pero no encontro nada...¡¡¡

[msc hotline sat]

Pues Norman y F-secure detectan un W32/Malware.KOO


[quote="VirusTotal"]


ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "camila.exe" que VirusTotal ha recibido el día 17.03.2007 a las 08:15:33 (CET).



Antivirus Version Actualización Resultado

AhnLab-V3 2007.3.17.0 16.03.2007 no ha encontrado virus

AntiVir 7.3.1.43 16.03.2007 no ha encontrado virus

Authentium 4.93.8 16.03.2007 could be a corrupted executable file

Avast 4.7.936.0 16.03.2007 no ha encontrado virus

AVG 7.5.0.447 16.03.2007 no ha encontrado virus

BitDefender 7.2 16.03.2007 no ha encontrado virus

CAT-QuickHeal 9.00 15.03.2007 no ha encontrado virus

ClamAV 0.90.1 16.03.2007 no ha encontrado virus

DrWeb 4.33 16.03.2007 no ha encontrado virus

eSafe 7.0.14.0 16.03.2007 suspicious Trojan/Worm

eTrust-Vet 30.6.3486 16.03.2007 no ha encontrado virus

Ewido 4.0 16.03.2007 no ha encontrado virus

FileAdvisor 1 17.03.2007 no ha encontrado virus

Fortinet 2.85.0.0 17.03.2007 no ha encontrado virus

F-Prot 4.3.1.45 16.03.2007 no ha encontrado virus

F-Secure 6.70.13030.0 16.03.2007 W32/Malware.KOO

Ikarus T3.1.1.3 17.03.2007 no ha encontrado virus

Kaspersky 4.0.2.24 17.03.2007 no ha encontrado virus

McAfee 4986 16.03.2007 no ha encontrado virus

Microsoft 1.2306 17.03.2007 no ha encontrado virus

NOD32v2 2122 17.03.2007 no ha encontrado virus

Norman 5.80.02 16.03.2007 W32/Malware.KOO

Panda 9.0.0.4 16.03.2007 no ha encontrado virus

Prevx1 V2 17.03.2007 no ha encontrado virus

Sophos 4.15.0 13.03.2007 no ha encontrado virus

Sunbelt 2.2.907.0 16.03.2007 no ha encontrado virus

Symantec 10 17.03.2007 no ha encontrado virus

TheHacker 6.1.6.076 15.03.2007 no ha encontrado virus

UNA 1.83 16.03.2007 no ha encontrado virus

VBA32 3.11.2 16.03.2007 no ha encontrado virus

VirusBuster 4.3.7:9 16.03.2007 no ha encontrado virus





Información adicional

Tamaño archivo: 134042 bytes

MD5: eb9901fcd58361acc69299eb9e62b80d

SHA1: eb3037f0e5ecc318bab426d70350f6cb13ddd856


[/quote]

que pudiera ser que fuera el mismo que Trend indica detectar en una reciente relacion :



http://es.trendmicro-europe.com/enterprise/support/pattern.php



pero como que este antivirus no participa en VirusTotal y el nombre poco indica, al usar muchas veces nombres diferentes, puede probarlo a ver si lo detecta y elimina, sino el lunes, cuando entremos a trabajar en SATINFO, lo analizaremos y haremos utilidad de control y eliminacion



Arranque en modo seguro con funciones de red y pruebe :



http://es.trendmicro-europe.com/consumer/housecall/housecall_launch.php





saludos



ms, 17-03-2007

[msc hotline sat]

El fichero que se descarga actualmente del link por Vd indicado resulta ser corrupto y no puede monitorizarse.



SI a Vd le funcionó, copielo a un disquete y envienoslo desde otro ordenador anexandolo a un mail como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



De todas formas en el ELISTARA de hoy 13.56 implementamos control por cadenas de dicho fichero, para asi detectar posibles copias que haya podido crear en el disco duro que se ejecutó



Descarguelo a partir de las 20 h GMT y nos comenta el resultado, gracias



saludos



ms, 19-03-2007

[Ejecuter]

jejeje.....XDXDXD amigo de SATINFO.....he como decirselo.....seria tan amable de hablarme en terminos un poco mas cristianos????....



io se q seria una molestia ...pero estaria demasiado agradecido si me explicara paso a paso.........sera q puede ser????

[Nuker]

Solo descargar Elistara desde aqui:



http://www.zonavirus.com/descargas/elistara.asp



Guardarlo en su escritorio, y ejecutarlo en Modo Seguro:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Le da a todo aceptar y al terminar el escaneo le creara un log en Unidad C, con el nombre de infoSat.txt (copia y pega aqui contenido). Para ver el resultado de eliminacion.

[Ejecuter]

muchas gracias amigo..........lo hare y lo posteo aca de nuevo.......

[msc hotline sat]

Y nuker se ha olvidado de repetir lo ya indicado pero que parece no entendió:



Envienos el fichero CAMILA.EXE ,si es que lo tiene, pues la muestra que descargamos resulta estar corrupta



recuerde:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 21-03-2007

[Ejecuter]

bueno ya lo elimine.....o al menos eso creo los resultados de la Elistara....me dio como resultado:






[list]

Tue Mar 20 20:03:46 2007

EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Tue Mar 20 23:08:58 2007

EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Tue Mar 20 23:09:31 2007

EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\RAMpage\RAMPAGE.EXE --> Eliminado, DownLoader.Vixup

C:\WINDOWS\CONFIG.EXE --> Eliminado, Malware.Camila(dam)

C:\WINDOWS\system32\DLLVER32.DLL --> Eliminado, PWS-Banker.I



Tue Mar 20 23:11:49 2007

EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Mar 20 23:16:47 2007

EliStartPage v13.57 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[/list]



gRACIAS AMIGOS....AHORA TENGO UN PROBLEMILLA ADICIONAL....NO SE POQ PERO NO TENGO RSTAURAR SISTEMA... y tampoco tengo "ejecutar" en el menu Inicio....y la combinacion ventana+ R....no sale nada....solo una ventana de dialogo donde dice algo de q esta deshabilitado por administrador...y io toi en la ssesion administrador....

[msc hotline sat]

Para deshabilitar /habilitar la restauracion de sistema y en su caso habilitar ventana, hicimos en su día el SRESTORE.EXE :





SRESTORE.EXE

http://www.zonavirus.com/descargas/srestore.asp



Pruebalo y nos cuentas el resultado, gracias



saludos



ms, 22-03-2007

[msc hotline sat]

Y vemos que con las cadenas de deteccion del fichero que recibimos por otra parte CAMILA.EXE se detecta y elimina el que tenía en CONFIG.EXE, por lo que ya se eliminó el virus, pero al no haberlo podido monitorizar, no hemos visto las claves que modifica ... lástima porque asi las hubieramos podido restaurar, cosa que ahora habremos de apañar usando otras utilidades como la indicada en el post anterior, en funcion de lo que encontremos modificado.



Si alguien mas nos envia la muestra,la analizaremos, pero mientras por lo menos la controlaremos como en su caso.



saludos



ms, 22-03-2007

[djgero]

bueno amigos soy nuevo igual y tengo el mismo problema y voy aprobar eso del elistara si y luego les muestro los resultados sii

[msc hotline sat]

Pues "djgero", si está a tiempo, antes de pasar el ELISTARA, envienos para analizar los ficheros CAMILA.EXE y C:\windows\CONFIG.EXE que tenga en su disco duro:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ya ha visto que la muestra que recibimos estaba corrupta y aunque pudimos extraerle cadena de control, no se pudo monitorizar y ver lo que hace y modifica, para deshacerlo con nuestras utilidades



saludos



ms, 24-03-2007

[djgero]

siento decirles que ayer pase el elistara por mi pc supongo que el virus desaparecio eso es lo que creo pero no sus efectos pues no cuento con :



administrador de tareas

Ejecutar

opciones de escritorio

restaurar el sistema(no funciona ni en modo seguro)



aqui lo que el elistara hiso:



Fri Mar 23 23:13:48 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3CJPEG.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3HTMLMU.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3POPSWT.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3PSSAVR.SCR --> Eliminado

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3REPROX.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3SCRCTR.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3HTML.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3SKIN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEPLG.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOESTB.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL --> Eliminado MyWebSearch

Entrada Eliminada [HKLM\...\Run] "My Web Search Bar"="rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S"

Eliminada Class, "{00A6FAF1-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

Eliminada Class, "{00A6FAF6-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

Eliminada Class, "{07B18EA1-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EA3-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EA9-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EAB-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3HTML.DLL

Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{7473D292-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D296-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{8E6F1832-9607-4440-8530-13BE7C4B1D14}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{938AA51A-996C-4884-98CE-80DD16A5C9DA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{98D9753D-D73B-42D5-8C85-4469CDA897AB}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{9FF05104-B030-46FC-94B8-81276E4E27DF}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{A9571378-68A1-443D-B082-284F960C6D17}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{ADB01E81-3C79-4272-A0F1-7B2BE7A782DC}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3OUTLCN.DLL

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 23 23:14:21 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MSN Messenger Guiños\INSTALAR GUIñOS.EXE --> Eliminado, Guiños(msn)

C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\M5I2BHOR\CAMILA[1].EXE --> Eliminado, Malware.Camila(dam)

C:\WINDOWS\CONFIG.EXE --> Eliminado, Malware.Camila(dam)

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch

[msc hotline sat]

Sí, el malware lo eliminó, pero nos quedamos sin vber lo que modifica, al no tener muestras operativas.



Tendremos que quitar la eliminacion y pedir muestras de nuevo, pues sino no podemos analizar sus efectos.



Ya otros virus desactivan el administrador de tareas... prueba el ELITRIIP a ver si te restaura el acceso:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y respecto a la pestaña de restauracion, prueba el SRESTORE:





SRESTORE.EXE

http://www.zonavirus.com/descargas/srestore.asp





Y a qué te refieres con "ejecutar", es que no puedes lanzar programas con doble click ? dinoslo y mira si es asi, tras probar el ELITRIIP





saludos



ms, 24-03-2007

[djgero]

pues lo de ejecutar es la opcion que me permite entrar al registro con regedit . o hacer el ping esa no aparece solo esta cuando entro en modo seguro ahhh me sale esto al tratar de usar el administrador de tareas:

[url=http://img365.imageshack.us/my.php?image=admwe7.jpg][img]http://img365.imageshack.us/img365/3958/admwe7.th.jpg[/img][/url]

cuando quiero restaurar el sistema me sale esto:

[url=http://img478.imageshack.us/my.php?image=restauly0.jpg][img]http://img478.imageshack.us/img478/2584/restauly0.th.jpg[/img][/url]

haber si le sirve de algo eso.

edit:

una ves ejecutado elitriip el resultado fue este:



Sat Mar 24 16:27:44 2007

EliTriIP v3.38 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Microsoft IT Update"="win43.exe"

Entrada Eliminada [HKLM\...\Run] "Microsoft IT Update"="win43.exe"

Entrada Eliminada [HKLM\...\RunServices] "Microsoft IT Update"="win43.exe"



Sat Mar 24 16:29:38 2007

EliTriIP v3.38 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{3819891A-030B-4a4e-98ED-B28A649E48AB}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\HP\Temp\{3819891A-030B-4a4e-98ED-B28A649E48AB}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\softnyx\GunboundWC\eje1.exe --> Eliminado, KillAV.FX

C:\Documents and Settings\usuario\Mis documentos\Mi música\ariel\VIRTUAL DJ\adobe audition 2 0.exe --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\usuario\Mis documentos\Mi música\ariel\VIRTUAL DJ\Parche1.0.exe --> Eliminado, KillAV.FX

C:\Documents and Settings\usuario\Mis documentos\Nueva carpeta\AimbotWC.exe --> Eliminado, KillAV.FX



haber si les es de ultilidad eso.

[leumania]

Yo tambien tengo ese problema .. ya arregle unos cuantos efectos .... pero como dice la opcion EJECUTAR del menu inicio esta bloqueada .... si alguien sabe como activarla de nuevo ... porfavor .... porque siempre la uso para un monton de cosas

[msc hotline sat]

Si es que fue por causa de este virus, envienos estos ficheros para monitorizarlos y corregir todas sus acciones:



C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\M5I2BHOR\CAMILA[1].EXE



C:\WINDOWS\CONFIG.EXE



recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Si lo que no puede con Inicio -> ejecutar es la edicion del registro, esto ya son varios los que lo hacen y normalmente se restaura con el ELITRIIP, pero la activacion de restauracion de sistema, la normalizamos con el SRESTORE, como ya se ha indicado en post anteriores de este mismo Tema.



Pero la solucion especifica para este virus la daremos cuando tengamos las muestras solicitadas... A ver si alguien nos las envia



saludos



ms, 25-03-2007

[KiDDiE]

Hola. Recientemente aparecio el Virus este en la PC de mi novia. El Norton no lo detecto y los efectos que trajo son los mismos, por ejemplo: Ejecutar bloqueado, adm de tareas bloqueado, propiedades de escritorio bloqueadas. El virus envía vía msn el link.



Ahora bien, el scanneo del Norton no lo detecta y por lo que he leído no lo hacen varios AV's.



La solución según he leído es pasar el Elistara para eliminarlo y luego hay que ir viendo de usar diferentes utilidades para ir restaurando las entradas del reg que han sido eliminadas. También sé que no se ha podido analizar que entradas elimina/cambia el Virus, debido a que no poseen una copia del mismo.



En estos días estoy yendo a lo de mi novia y les envío una copia del Config.exe y del otro.





Nos vemos. Gracias.

[msc hotline sat]

Cuidado, no pases el ELISTARA actual porque lo eliminará y nos quedaremos sin la muestra !!!



Primero envianos el C:\WINDOWS\CONFIG,EXE



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Luego pasa el ELISTARA, o mejor espera a esta noche, en el que en lugar de elimianr dicho fichero lo moveremos a la carpeta de C:\muestras, para dejarlo en cuarentena y que nos pueda ser enviado, para analizar comportamiento, cambios y asi poder restaurarlos



El nuevo ELISTARA será la 13.61 y estará disponible a partir de las 20 h GMT





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 26-03-2007

[msc hotline sat]

Bueno, hemos recibido por otro lado el fichero solicitado y procedemos a implementar su control y eliminacion en la nueva version del ELISTARA DE HOY 13.62



A partir de las 20 h GMT estará disponible en esta web para evaluacion. Pruebalo y nos comentas el resultado, gracias





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 27-03-2007

[msc hotline sat]

[quote="msc"]
MALWARE CAMILA:



Resumen de lo observado en primer analisis:



Se recibe al intentar ver un video de Camila ofrecido en un mensaje del MSN



El intento de ver este video descarga el fichero CAMILA.EXE , cuya ejecucion genera una copia exacta del troyano en C:\windows\CONFIG.EXE



La ejecucion de dicho fichero se instala en una clave del registro HKLM [autonomia]... RUN CONFIG.EXE que instala un fondo de pantalla AUTONOMIA,BMP (que se muestra al final) y que modifica varias claves criticas, que impiden:



- acceder al administrador de tareas



- editar el registro de sistema



- ejecutar ficheros con Inicio -> Ejecutar



- utilizar ventana de DOS



- modificar fondo de pantalla





Todo ello será controlado y restaurado a partir de la version 13.62 del ELISTARA



saludos



ms, 27-03-2007
[/quote]

reportado desde Peru, Argentina, Murcia, Bolivia

[vico_axl]

como restablecer el fondo q tenia el XP ???

es imposible de cambiar el fondo actual de XP del paisaje.!!1

[msc hotline sat]

Sí, una de las claves que restauramos con el ELISTARA 13.62 es la del fondo de pantalla, para que pulsando boton derecho en el fondo del escritorio y accediendo a Propiedades, se restablezca la clave en cuestion y, tras reiniciar, vuelva a aparecer, despues de Temas y antes de Protector de Pantalla, la pestaña de Escritorio, desde donde poder seleccionar de nuevo el fondo deseado.



Si has eliminado asi el troyano, debería habertelo restaurado, pero si no has utilizado la actual 13.62 del ELISTARA, o posterior, descargala y pruebalo.



Cuentanos el resultado, para obrar en consecuencia, gracias



saludos



ms, 28-03-2007

[vico_axl]

Gracias por la respuesta msc hotline sat pues ya pase ese interesante programa q esta muy bueno y muy util pero nose si es de la misma vercion q me dices yo lo pase este ELISTARA.7042007 lo pase en modo seguro encontro todo esto q mando el log..=>

Tue Mar 27 21:49:38 2007

EliStartPage v13.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Mar 27 21:49:58 2007

EliStartPage v13.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Internet\Mis documentos\Mis vídeos\CAMILA.EXE --> Eliminado, Malware.Camila

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15-3.INF --> Eliminado, MyWebSearch (inf)



Tue Mar 27 22:03:01 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado

ALERTA. WindowsUpdate Incompleto.



me funciono perfectamente.. pero lo reinicie y no me lo activo esa opcion de escritorio kisa sea la version ??

gracias por las respuestas ..!!! Saludos desde Bolivia

[msc hotline sat]

Pues sí, la version que usó es la 13.62, como se ve en la pantalla donde se pulsa EXPLORAR, Y EN EL INFORME DEL RESULTADO:


[quote]
Tue Mar 27 21:49:58 2007

EliStartPage v13.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Internet\Mis documentos\Mis vídeos\CAMILA.EXE --> Eliminado, Malware.Camila
[/quote]

Y en las pruebas que hicimos, una vez restaurada la clave de POLICIES/ACTIVE DESKTOP del valor NO CHANGE WALLPAPER correspondiente, que hace dicha utilidad entre muchas otras cosas, tras detener el proceso malware, eliminar los ficheros relacionados y las demas claves, ya tras reiniciar, pulsando con le boton derecho sobre el fondo de escritorio y pulsando en PROPIEDADES, se obtiene la pestaña de escritorio en segundo lugar en la parte superior izquierda, asi que si a Vd le persiste el problema, igual tiene otra variante no controlada, que le vuelve a modificar dicha clave, por lo que mejor postee en un nuevo Tema dentro del apartado del HJT, un post con el nombre de VARIANTE DEL CAMILA en el que nos postee el log del HJT actual, y lo analizaremos inmediatamente :



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



Si ya se hubiera resuelto, informenos igualmente aqui para no estar pendientes del problema, gracias



saludos



ms, 28-03-2007