Falta un arcivo vbs en discos locales

carlos cardona · Mensaje por **carlos cardona** » 10 Abr 2007, 20:49

Saludos, tengo un problema, cada vez que intento entrar a los discos locales c y d me aparece un mensaje que dice "no se encuentra archivo de comandos c:/autorun vbs", o "D:/autorun vbs", segun el caso. El problema comenzo despues de eliminarle un virus que tenia varios archivos infectados y que el antivirus (Kaspersky) no pudo desinfectar. Me dijeron que bajara el Hijackthis e hiciera Fix Checked sobre F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat. Asi lo hice, pero no se soluciono el problema. Espero su pronta ayuda. Por su atencion mil gracias.

Mensaje por **msc hotline sat** » 10 Abr 2007, 20:58

Pruebe el ELITRIIP

efectivamente se trata de un virus mal eliminado

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

La cuestion es si a medias como lo tiene ahora será capaz de eliminar los restos... Pero aunque no lo diga, porque ya no encuentre el virus, tras la exploracion, reinicie y cuentenos el resultado, gracias

saludos

ms, 10-04-2007

carlos cardona · Mensaje por **carlos cardona** » 10 Abr 2007, 22:05

Muchas gracias por su rapida y oportuna ayuda. Hice lo que me dijo y exploré ambos discos locales (C y D), con el Elitriip. El problema en el "C" se soluciono, ahora puedo acceder a este disco local, pero en el "D" no ha sido posible, sigue presentando el mismo problema.

Aqui esta el resultado para el disco local "C":

Tue Apr 10 13:37:38 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

Tue Apr 10 13:39:34 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Tue Apr 10 13:42:24 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Tue Apr 10 13:43:41 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Apr 10 13:50:31 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Apr 10 13:57:59 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Apr 10 13:58:25 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Apr 10 13:58:28 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Apr 10 13:58:31 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Apr 10 13:58:34 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Apr 10 13:58:37 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

De nuevo, gracias.

Nuker · Mensaje por **Nuker** » 10 Abr 2007, 22:12

Lanze un Windows Update que le hacen falta decargas críticas una vez instaladas reinicie y vuelva a pasar Elitriip (pero en Modo Seguro) a la Unidad D, para ver si le llegara a detectar algo. Nos vuelve a pegar el log.

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Windows Update:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

Elitriip:

http://www.zonavirus.com/descargas/elitriip.asp

Saludos.

[u]Atendido a las 2:19 p.m. (Hora México) 10/04/07 [/u]

carlos cardona · Mensaje por **carlos cardona** » 10 Abr 2007, 23:53

Otra vez gracias, baje algunas actulizaciones, no puedo bajarlas todas porque mi windows no es original. Instale las que baje, reinicié en modo a prueba de fallos y explore el dico local c con el Elitriip, pero el problema persiste.

Aqui estan los resultados:

Tue Apr 10 15:50:02 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Tue Apr 10 15:50:18 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Apr 10 15:50:34 2007

EliTriIP v3.42 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Mensaje por **msc hotline sat** » 11 Abr 2007, 08:19

Pues como le indiqué no se eliminó bien cuando había el virus, y ahora habrá de hacerlo manualmente

Con el BUSCAREG busque "AUTORUN.VBS" -sin las comillas- y pulsando doble click en las encontradas, podrá eliminarlas:

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

saludos

ms, 11-04-2007

carlos cardona · Mensaje por **carlos cardona** » 11 Abr 2007, 20:32

Ok, gracias, descargue el buscareg, lo ejecute y elimine las cadenas dentro del registro (las autorub vbs), el problema persiste, pero ahora con otro mensaje de error diferente que aparece al tratar de abrir el disco local, dice: "Este archivo no tiene un programa asociado para realizar esta acción. Cree una asociación en el panel de control opciones de carpeta" El problema es que no se como se crea una asociación de carpeta.

Aca esta el resultado del Buscareg:

Wed Apr 11 12:24:54 2007

BuscaReg v1.0 (c)2003 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.

[HKEY_USERS\S-1-5-21-448539723-1580818891-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\Shell\explore\Command]

@="WScript.exe .\\autorun.vbs"

[HKEY_USERS\S-1-5-21-448539723-1580818891-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\Shell\open\Command]

@="WScript.exe .\\autorun.vbs"

[HKEY_USERS\S-1-5-21-448539723-1580818891-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{79cd5dd1-ab10-11d9-9ada-806d6172696f}\Shell\explore\Command]

@="WScript.exe .\\autorun.vbs"

[HKEY_USERS\S-1-5-21-448539723-1580818891-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{79cd5dd1-ab10-11d9-9ada-806d6172696f}\Shell\open\Command]

@="WScript.exe .\\autorun.vbs"

[HKEY_USERS\S-1-5-21-448539723-1580818891-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee5e05ea-39f7-11db-b097-001109cef92a}\Shell\explore\Command]

@="WScript.exe .\\autorun.vbs"

[HKEY_USERS\S-1-5-21-448539723-1580818891-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ee5e05ea-39f7-11db-b097-001109cef92a}\Shell\open\Command]

@="WScript.exe .\\autorun.vbs"

Gracias.

Mensaje por **msc hotline sat** » 12 Abr 2007, 07:50

Pues cuando le aparecen el el BUSCAREG, pulse doble click sobre lo encontrado y verá que se le abre una ventana donde se le ofrece la posibilidad de eliminar la clave, obre en consecuencia

saludos

ms, 12.04.2007