Problema (SOLUCIONADO)

[maxgm]

Tengo 2 virus



C:\WINDOWS\system32\mscornet.exe

Infectado con: BehavesLike:Win32.ExplorerHijack



C:\WINDOWS\system32\wininet.dll



Infectado con: Trojan.Alemod



y tambien esa imagen..



[url=http://img279.imageshack.us/my.php?image=virus6ae.jpg][img]http://img279.imageshack.us/img279/6347/virus6ae.th.jpg[/img][/url]



Que puedo hacer? :(

Gracias

[kikke]

Para el BehavesLike:Win32.ExplorerHijack viene muy bien explicada la solución en... http://www.vsantivirus.com/trojandownloader-tiny-t.htm



Para el troyan.alemod en.... (Viene en inglés)

http://www.symantec.co.cr/avcenter/venc/data/trojan.alemod.html



Tan simple como buscar en http://www.google.es . Cuando jugamos con fuego corremos el riesgo de quemarnos.

[maxgm]

e puesto el ordenador a modo de fallo, he desintalado el norton para poder instalarme el NOD32 y al reiniciar se me cuelga el ordenador. Hay alguna solucion?

[maxgm]

El nod32 me pide que borre el antivirus..yo tengo el norton..y solo me detecta 1 virus cuando tengo 8..he hecho la analisis online desde bitdefender y panda y me detecta mas.

He desinstalado el norton, he reiniciado y ahora se cuelga.

[msc hotline sat]

Si todavía tienes el fichero mscornet.exe , envianoslo a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques referencia REF MAXGM y lo añadoremos a una de nuestras utilidades de eliminacion, de lo que te informaremos comor respuesta de este Tema.



El wininet.dll lo puedes copiar de otra maquina cualquiera con igual sistema operativo, y arrancando la tuya en consola de recuperacion, copiarlo, sobreescribiendo el que hubiera modificado el virus.



Y para ver la razon y darte una soluciona al problema del cuelgue, copianos el log que genera al lanzar un HiJackThis, y lo analiuzaremos y podremos indicarte lo procedente para normalizar la situacion, y tras ello poder lanzar un antivirus en modo seguro para eliminar los virus, y mientras dinos los virus que te detectan los ONLINE para ver si podemos sugerirte alguna utilidad especifica contra ellos, como el ELISTARA, que por el hecho de tener el ALEMOD, debes bajarla y probarla, y tras ello lanzar el HJT y enviarnos el log u copiarlo en un proximo post, como respuesta a este Tema:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]





Esperamos recibir el fichero indicado para proceder en consecuencia.



saludos



ms, 6-11-2005

[maxgm]

Tengo un problemilla...es que no puedo abrir nada..se me cuelga! No puedo abrir ningun programa :cry:

Ayudame porfavor

Muchas Gracias, saludos



Maxgm

[msc hotline sat]

Prueba de arrancar en modo seguro:



https://foros.zonavirus.com/viewtopic.php?t=5266



y si asi tampoco va, hazlo en modo seguro en solo simbolo de sistema.



Recuierda que esta de moda un nuevo Bagle que eliminan el proceso del EXPLORER, por si acaso tuvieras dicho problema, te descargas el ELIBAGLA y lo puebas en esta maquina, arrancando como te he dicho:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp





y nos cuentas el resultado, gracias



saludos



ms, 6-11-2005

[maxgm]

Pero es que yo..estoy al escritorio, no puedo abrir nada! ni internet explorer, nada! :cry: Hay alguna manera para que no se cuelge y pueda realizar todo eso?



Gracias

[msc hotline sat]

Supomgo que me escribes desde otra maquina, ya que no puedes ni abrir el I.E., por esto te daba un link de informacion de como arrancar en modo seguro.



Arrancando en dicha forma espero que puedas seguir las instrucciones, o no ???



Por si no te he entendido, apaga el ordenador afectado y cuando lo vuelvas a encender, pulsa enseguida repetidamente F8 varias veces, hasta que te aparezca el menú de inicio y en él escoge el ARRANCAR EN MODO SEGURO y si asi no puedes,m escoje ARRANCAR EN MODO SEGURO CON SIMBOLO DE COMANDO y ejecutas el ELIBAGLA.EXE que puedes descargarte en otro ordenador y taertelo a este en un disquete, y desde él ejecutarlo escribiendo:



A: <ENTER>



ELIBAGLA <ENTER>





Y nos informas del resultado, gracias



saludos



ms, 6-11-2005

[maxgm]

Sisi! estoy en otro pc!

LO ejecuto y despues?

[msc hotline sat]

Te lo indicaba en un post anterior de este mismo Tema !!!:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp





Recuerda que si no te has bajado nunca ninguna utilidad, debes registrate alli, entrando en Panel de Control,. con el mimo nombre y contraseña que en el foro.



saludos



ms, 6-11-2005

[maxgm]

ya..ya.

Lo ejecuto y luego?

[msc hotline sat]

Sabrenos si era culpa del Bagle, y si era asi lo habremos eliminado, y ya podrás reiniciar normalmente



saludos



ms,. 6-11-2005

[maxgm]

el elibagla no me detecta NADA!



qyue hago

[msc hotline sat]

Bueno, pues haz lo mismo con el ELISTARA que te decia tambien en otro post:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





y ya si no hay mejoras, luego nos posteas el log del HJT como te decia en el mismo post



saludos



ms, 6-11-2005

[maxgm]

me ìde borrar fichero hosts, lo hago?

[maxgm]

Me borra todos menos el gusano! :(

[maxgm]

Tengo el gusano [b]Alemod[/b] a

C:/windows/system32/wininet.dll



me pide restaurar con copia de seguridad en modo seguro con simbolo de sistema... :cry:



Desde donde escribo no es el PC DAÑADO, escribo desde otro!no puedo acceder ni al escritorio..en modo seguro con simbolo de sistema he aconseguido abrir el hijackthis. y tengo aki el log: dime que borro



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cmd.exe

A:\HijackThis[www.trucoswindows.net].exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B711} - C:\WINDOWS\adsldpbd.dll

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp87AE.tmp

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_09\bin\jusched.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Shareaza] "C:\Archivos de programa\Shareaza\Shareaza.exe" -tray

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: TV Remote Control.lnk = C:\Archivos de programa\Conceptronic Multimedia\TV878 Utilities\C7XRCtl.exe

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_09\bin\npjpi142_09.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_09\bin\npjpi142_09.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116671346328

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/ca/big/1.1.62-big/GoogleNav.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll

O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

O20 - Winlogon Notify: st3i - C:\WINDOWS\q2009875.dll

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

[maxgm]

Que debo borrar?

Gracias

[msc hotline sat]

El ELISTARA no te decia borrar el HOSTS, sino las entradas superfluas, dejando unicamente la del LOCAL HOSTS en 127.0.0.1, y eso si no utilizas para acceder dirfectamente a algunas webs, pasando del servidor de DNS, aceptalo.



Sobre el WININET.DLL no debe eliminarse sino sobreescribirse con el original, que copies de otra màquina con igual sistema operativo, con la consola de recuperacion, arrancando con el cd de instalacion y pulsando R.



y del log del HJT puedes eliminar estas dos claves:



O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)



O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)





saludos



ms, 7-11-2005

[maxgm]

ahora mismo no tengo el cd de instalacion..que hago?

[msc hotline sat]

Pruieba de arrancar en modo seguro en solo simboilo de sistema, a ver si te deja sobrteescribir este wininet.dll. Como que no ha cargado el explorer, igual no tiene rsidente este y permite sobreescribirlo



saludos



ms, 8-11-2005

[maxgm]

Estoy en prueba de fallos con simbolo de sistema

Como puedo sobreescribir??

Gracias

[msc hotline sat]

Copias el WININET.DLL de otra maquina con igual sistema operativo a un disquete, u te lo llevas a esta y ejecutas



COPY A:WININET.DLL C:\WINDOWS\SYSTEM32



saludos



ms, 8-11-2005

[maxgm]

No me deja sobreescribir porque me dice que esta siento usado ...

Que hago para que deje de ser usado y poder sobreescribirlo el wininet.dll?



Gracias, saludos

[msc hotline sat]

Pues arranca con el CD de instalacion y pulsa R para entrar en CONSOLA DE RECUPERACION, y en este modo seguro que no estará en uso Ino lo está nada del disco duro porque arrancas de CD) y asi lo sobreescribes sin poroblemas



saludos



ms, 10-11-2005

[maxgm]

No tengo cd de instalacion... :cry:

[msc hotline sat]

Pues apaga y vamonos !



Todas y cada uno de los ordenadores debe usar sistenma operativo legal y disponer del CD de instalacion correspondiente, de lo contrario pidelo a tu proveedor.



Y cuando lo tengas, ya sabes lo que hacer.



Y dando por solucionado el Tema,. procedemos a cerrarlo



saludos



ms, 11-11-2005