Problema Windows infectado (ayuda)
- Alejandro
- Administrador
- Mensajes: 4111
- Registrado: 04 May 2009, 18:28
- Twitter: @spamloco
- Ubicación: Uruguay
- Contactar:
Problema Windows infectado (ayuda)
A continuación dejo un correo que me llegó con un problema, a ver si entre todos lo podemos ayudar.
______________
Hola Spamloco,
Mi notebook es HP presario 2615LA - sempron 3000+ - 1GB - win xp home sp3 - AVG 8.5 free - Firefox.
Detecté que el funcionamiento constante del cooler del CPU se debía a que svchost ocupaba el 99% de sus recursos, cuando busqué info en la web, apareció tu página en primera línea, ingresé y encontré la guía para eliminación de virus, que ejecuté con los siguientes resultados:
Guía: http://spamloco.net/2007/04/gua-para-de ... rus-y.html
Llegado al 6º paso, el equipo se freno totalmente y la interfaz del AVG está vacía. El inconveniente surgió al iniciar la pc para ejecutar el paso 5, una vez finalizado el scan de MALWAREBYTES.
Adjunto un txt donde describo los procedimientos que hice además de incluir los logs que emitieron los programas y el estado actual del administrador de tareas, disculpame la extensión del adjunto ... espero que sirva para encontrar una solución!
Por otro lado, esta notebook olivetti tiene vista home basic y descargo desde el sitio de mozilla el setup de firefox sin problemas pero al ejecutarlo me notifica file corrupted y sale del setup, escanee el file con AVG 8 free actualizado y no detecta infecciones, es un chiste del vista? se puede solucionar?
gracias por lo que puedas hacer,
Jorge
Logs TXT. pasos realizados:
SPYBOT S&D 33333333333333333333333333333333333333333333333333333333333
para instalarlo tuve que salir de a prueba de fallos, se ejecutó por 1º vez normalmente y me indicó que debía reiniciar sin conexión a internet para terminar la limpieza e indicando que se reiniciaría auto.
DESDE AQUÍ EN ADELANTE HICE TODOS LOS PROCEDIMIENTOS DESCONECTADO DE INTERNET
NO lo hizo, debí ejecutarlo manualmente y realizó un nuevo scan y limpieza con las mismas insgtrucciones al final del proceso, se colgó en este estado y debí cortar el suministro electrico para apagar. Reinicié en modo normal y el booteo funcionó normal hasta mostrar el fondo del escritorio, esperaba ver aparecer los íconos pero se reabrió Spybot, escaneó por 3º vez el equipo, finalizó y guardó un log y repitió la 1º instrucción. Cerré Spybot y se reactivó auto e interrumpi la ejecución. Aparecieron entonces unas ventanas fondo negro tipo mensaje de DOS que se desplazaban por la pantalla esquivando el cursor, abrí el administrador de tareas y en aplicaciones alcancé a leer system32... y desapareció de mi vista el nombre, se normalizó la pantalla y cerré Windows normalmante.
MALWAREBYTES 4444444444444444444444444444444444444444444444444
Inicié el programa desde a prueba de fallos, se ejecutó normalmente y mostró un listado del que señalé como objeto a ignorar una infección en Hijack shell (no recuerdo otro detalle), pensando que pertenece al HIJACKTHIS, no se si hice lo correcto... El nombre del elemento en la lista a ignorar es:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon|Bad:(Explorer.exe csrcs.exe) Good:(Explorer.exe)
A continuación opté por QUITAR LO SELECCIONADO, enviando las infecciones a Cuarentena y que otras desaparecerían cuando se reiniciara el equipo.
Se reinicia la pc hasta presentar el fondo de escritorio vacio y se detiene.
Usando ctrl+alt+del puedo abrir el administrador de tareas y cargar las aplicaciones que uso.
Luego de abrir y cerrar algunos archivos para escribir este mail, el listado de procesos es:
IMAGEN user CPU RAM KB
ctfmon.exe 00 3.508
taskmgr.exe 00 2.892
notepad.exe 00 2.124
avgrsx.exe 00 50.712
svchost.exe 00 2.960
svchost.exe 00 1.948
svchost.exe 00 4.352
svchost.exe 00 3.136
lsass.exe 00 904
services.exe 00 3.252
winlogon.exe 00 1.708
csrss.exe 00 3.676
smss.exe 00 420
System 00 65.864
Proceso inactivo
del sistema SYSTEM 99 28
Tipo de examen : Examen Completo (C:\|D:\|F:\|G:\|)
Objetos examinados: 190796
Tiempo transcurrido: 2 hour(s), 3 minute(s), 37 second(s)
Procesos en Memoria Infectados: 1
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 2
Ficheros Infectados: 37
HIJACKTHIS 5555555555555555555555555555555555555555555555555555555
iniciádo desde el administrador de tareas funcionó sin problemas y emitio este log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:53, on 13/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\AVG\AVG8\avgrsx.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C67 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAL.EXE /P23 "EPSON Stylus C67 Series" /M "Stylus C67" /EF "HKCU"
O4 - HKLM\..\Policies\Explorer\Run: [sysmgr] C:\WINDOWS\system32\sysmgr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3743590613-564551192-3565080163-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3743590613-564551192-3565080163-1006 Startup: OpenOffice.org 3.0.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe (User '?')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Inicio rápido de HP Photosmart Premier.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Servicio de puerta de enlace de capa de aplicación (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avg8emc - Unknown owner - C:\ARCHIV~1\AVG\AVG8\avgemc.exe
O23 - Service: avg8wd - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Browser - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: COMSysApp - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: CryptSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: DcomLaunch - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Dhcp - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: dmadmin - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: dmserver - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: EapHost - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ERSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Eventlog - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: EventSystem - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: FastUserSwitchingCompatibility - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: gusvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: helpsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: HidServ - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: hkmsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: hpqwmi - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: hpqwmiex - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: HTTPFilter - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ImapiService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: JavaQuickStarterService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: lanmanserver - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: lanmanworkstation - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: LightScribeService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: mnmsrvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: MSIServer - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: napagent - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Netlogon - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Netman - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Nla - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: NtLmSsp - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: NtmsSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: PlugPlay - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: PolicyAgent - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ProtectedStorage - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RasAuto - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RasMan - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RDSessMgr - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RSVP - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SamSs - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Schedule - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: seclogon - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SENS - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SharedAccess - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ShellHWDetection - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Spooler - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: srservice - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: stisvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SwPrv - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: TapiSrv - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: TermService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Themes - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: TrkWks - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: usnsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: VSS - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: W32Time - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: winmgmt - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: WmdmPmSN - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: WmiApSrv - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: wscsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: WudfSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: WZCSVC - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: xmlprov - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
--
End of file - 10782 bytes
______________
Hola Spamloco,
Mi notebook es HP presario 2615LA - sempron 3000+ - 1GB - win xp home sp3 - AVG 8.5 free - Firefox.
Detecté que el funcionamiento constante del cooler del CPU se debía a que svchost ocupaba el 99% de sus recursos, cuando busqué info en la web, apareció tu página en primera línea, ingresé y encontré la guía para eliminación de virus, que ejecuté con los siguientes resultados:
Guía: http://spamloco.net/2007/04/gua-para-de ... rus-y.html
Llegado al 6º paso, el equipo se freno totalmente y la interfaz del AVG está vacía. El inconveniente surgió al iniciar la pc para ejecutar el paso 5, una vez finalizado el scan de MALWAREBYTES.
Adjunto un txt donde describo los procedimientos que hice además de incluir los logs que emitieron los programas y el estado actual del administrador de tareas, disculpame la extensión del adjunto ... espero que sirva para encontrar una solución!
Por otro lado, esta notebook olivetti tiene vista home basic y descargo desde el sitio de mozilla el setup de firefox sin problemas pero al ejecutarlo me notifica file corrupted y sale del setup, escanee el file con AVG 8 free actualizado y no detecta infecciones, es un chiste del vista? se puede solucionar?
gracias por lo que puedas hacer,
Jorge
Logs TXT. pasos realizados:
SPYBOT S&D 33333333333333333333333333333333333333333333333333333333333
para instalarlo tuve que salir de a prueba de fallos, se ejecutó por 1º vez normalmente y me indicó que debía reiniciar sin conexión a internet para terminar la limpieza e indicando que se reiniciaría auto.
DESDE AQUÍ EN ADELANTE HICE TODOS LOS PROCEDIMIENTOS DESCONECTADO DE INTERNET
NO lo hizo, debí ejecutarlo manualmente y realizó un nuevo scan y limpieza con las mismas insgtrucciones al final del proceso, se colgó en este estado y debí cortar el suministro electrico para apagar. Reinicié en modo normal y el booteo funcionó normal hasta mostrar el fondo del escritorio, esperaba ver aparecer los íconos pero se reabrió Spybot, escaneó por 3º vez el equipo, finalizó y guardó un log y repitió la 1º instrucción. Cerré Spybot y se reactivó auto e interrumpi la ejecución. Aparecieron entonces unas ventanas fondo negro tipo mensaje de DOS que se desplazaban por la pantalla esquivando el cursor, abrí el administrador de tareas y en aplicaciones alcancé a leer system32... y desapareció de mi vista el nombre, se normalizó la pantalla y cerré Windows normalmante.
MALWAREBYTES 4444444444444444444444444444444444444444444444444
Inicié el programa desde a prueba de fallos, se ejecutó normalmente y mostró un listado del que señalé como objeto a ignorar una infección en Hijack shell (no recuerdo otro detalle), pensando que pertenece al HIJACKTHIS, no se si hice lo correcto... El nombre del elemento en la lista a ignorar es:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon|Bad:(Explorer.exe csrcs.exe) Good:(Explorer.exe)
A continuación opté por QUITAR LO SELECCIONADO, enviando las infecciones a Cuarentena y que otras desaparecerían cuando se reiniciara el equipo.
Se reinicia la pc hasta presentar el fondo de escritorio vacio y se detiene.
Usando ctrl+alt+del puedo abrir el administrador de tareas y cargar las aplicaciones que uso.
Luego de abrir y cerrar algunos archivos para escribir este mail, el listado de procesos es:
IMAGEN user CPU RAM KB
ctfmon.exe 00 3.508
taskmgr.exe 00 2.892
notepad.exe 00 2.124
avgrsx.exe 00 50.712
svchost.exe 00 2.960
svchost.exe 00 1.948
svchost.exe 00 4.352
svchost.exe 00 3.136
lsass.exe 00 904
services.exe 00 3.252
winlogon.exe 00 1.708
csrss.exe 00 3.676
smss.exe 00 420
System 00 65.864
Proceso inactivo
del sistema SYSTEM 99 28
Tipo de examen : Examen Completo (C:\|D:\|F:\|G:\|)
Objetos examinados: 190796
Tiempo transcurrido: 2 hour(s), 3 minute(s), 37 second(s)
Procesos en Memoria Infectados: 1
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 2
Ficheros Infectados: 37
HIJACKTHIS 5555555555555555555555555555555555555555555555555555555
iniciádo desde el administrador de tareas funcionó sin problemas y emitio este log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:53, on 13/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\AVG\AVG8\avgrsx.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C67 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAL.EXE /P23 "EPSON Stylus C67 Series" /M "Stylus C67" /EF "HKCU"
O4 - HKLM\..\Policies\Explorer\Run: [sysmgr] C:\WINDOWS\system32\sysmgr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3743590613-564551192-3565080163-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3743590613-564551192-3565080163-1006 Startup: OpenOffice.org 3.0.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe (User '?')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Inicio rápido de HP Photosmart Premier.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Servicio de puerta de enlace de capa de aplicación (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avg8emc - Unknown owner - C:\ARCHIV~1\AVG\AVG8\avgemc.exe
O23 - Service: avg8wd - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Browser - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: COMSysApp - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: CryptSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: DcomLaunch - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Dhcp - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: dmadmin - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: dmserver - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: EapHost - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ERSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Eventlog - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: EventSystem - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: FastUserSwitchingCompatibility - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: gusvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: helpsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: HidServ - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: hkmsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: hpqwmi - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: hpqwmiex - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: HTTPFilter - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ImapiService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: JavaQuickStarterService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: lanmanserver - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: lanmanworkstation - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: LightScribeService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: mnmsrvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: MSIServer - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: napagent - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Netlogon - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Netman - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Nla - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: NtLmSsp - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: NtmsSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: PlugPlay - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: PolicyAgent - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ProtectedStorage - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RasAuto - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RasMan - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RDSessMgr - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: RSVP - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SamSs - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Schedule - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: seclogon - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SENS - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SharedAccess - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: ShellHWDetection - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Spooler - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: srservice - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: stisvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: SwPrv - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: TapiSrv - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: TermService - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Themes - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: TrkWks - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: usnsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: VSS - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: W32Time - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: winmgmt - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: WmdmPmSN - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: WmiApSrv - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: wscsvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: WudfSvc - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: WZCSVC - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
O23 - Service: xmlprov - Unknown owner - C:\WINDOWS\TEMP\VRTB.tmp (file missing)
--
End of file - 10782 bytes
- Alejandro
- Administrador
- Mensajes: 4111
- Registrado: 04 May 2009, 18:28
- Twitter: @spamloco
- Ubicación: Uruguay
- Contactar:
Re: Problema Windows infectado (ayuda)
Respondiendo:
El problema ahora es que al iniciar Windows el escritorio aparece vacio.
Prueba esto: cuando Windows se inicie... desde el Adminitrador de tareas (Ctrl+Al+Sup)... ejecuta explorer.exe que es el que carga la interfaz de Windows.
Todo comienza luego de finalizado el análisis con MalwaresBytes...
El archivo csrcs.exe no sé exactamente qué es... pero no es del Hijackthis . Buscando en Google por todos lados lo relacionan con una infección, además aparece con el log del Hijackthis como elemento a eliminar.
Copiando y pegando el log en esta web [url]http://www.^.de[/url] se puede obtener un análisis automático, marca 2 lineas como cosas que no deberían de estar, una de esas es del archivo csrcs.exe.
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [sysmgr] C:\WINDOWS\system32\sysmgr.exe
En el modo a prueba de fallos, también faltan los iconos en el escritorio?, si lo del explorer.exe de arriba no funciona... yo intentaría restaurar el sistema a un punto anterior, por ejemplo ayer, para ver si se recuperan los iconos y los archivos modificados por MawaresByte... o sino utilizar MalwaresBytes para sacar de cuarentena los archivos que mandó a cuarentena. Alguna de estas 2 cosas para ver si se normaliza Windows.
Esto implica volver a activar los virus que encontró, si Windows se normaliza... yo probaría otra herramienta, como un antivirus online para eliminarlas porque parece que la limpieza que hace MalwaresByte afecta archivos del sistema.
Sobre la otra laptop y el problema al instala Firefox... probaste bajarlo varias veces, si sigue dando el error... no sé a qué se debe.
El problema ahora es que al iniciar Windows el escritorio aparece vacio.
Prueba esto: cuando Windows se inicie... desde el Adminitrador de tareas (Ctrl+Al+Sup)... ejecuta explorer.exe que es el que carga la interfaz de Windows.
Todo comienza luego de finalizado el análisis con MalwaresBytes...
MalwaresBytes, según el log encontró varias infecciones que al parecer eliminó o las mandó a cuarentena.Inicié el programa desde a prueba de fallos, se ejecutó normalmente y mostró un listado del que señalé como objeto a ignorar una infección en Hijack shell (no recuerdo otro detalle), pensando que pertenece al HIJACKTHIS, no se si hice lo correcto... El nombre del elemento en la lista a ignorar es:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon|Bad:(Explorer.exe csrcs.exe) Good:(Explorer.exe)
A continuación opté por QUITAR LO SELECCIONADO, enviando las infecciones a Cuarentena y que otras desaparecerían cuando se reiniciara el equipo.
Se reinicia la pc hasta presentar el fondo de escritorio vacio y se detiene.
Usando ctrl+alt+del puedo abrir el administrador de tareas y cargar las aplicaciones que uso.
El archivo csrcs.exe no sé exactamente qué es... pero no es del Hijackthis . Buscando en Google por todos lados lo relacionan con una infección, además aparece con el log del Hijackthis como elemento a eliminar.
Copiando y pegando el log en esta web [url]http://www.^.de[/url] se puede obtener un análisis automático, marca 2 lineas como cosas que no deberían de estar, una de esas es del archivo csrcs.exe.
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [sysmgr] C:\WINDOWS\system32\sysmgr.exe
En el modo a prueba de fallos, también faltan los iconos en el escritorio?, si lo del explorer.exe de arriba no funciona... yo intentaría restaurar el sistema a un punto anterior, por ejemplo ayer, para ver si se recuperan los iconos y los archivos modificados por MawaresByte... o sino utilizar MalwaresBytes para sacar de cuarentena los archivos que mandó a cuarentena. Alguna de estas 2 cosas para ver si se normaliza Windows.
Esto implica volver a activar los virus que encontró, si Windows se normaliza... yo probaría otra herramienta, como un antivirus online para eliminarlas porque parece que la limpieza que hace MalwaresByte afecta archivos del sistema.
Sobre la otra laptop y el problema al instala Firefox... probaste bajarlo varias veces, si sigue dando el error... no sé a qué se debe.
Re: Problema Windows infectado (ayuda)
Una vez me llego una igual, pero al no encontrar solucion ejecute admin. de tareas, respalde y escanee en web. Formatee la maquina, pero despues me llego otra igual y decidi ver que podia hacer: recomiedo que ejecute El Kapersky live CD que lo encuentra en softonic. Con eso solucione el problema.
En cuanto a lo de Firefox intenta restaurar el sistema y vuelve a instalarlo
En cuanto a lo de Firefox intenta restaurar el sistema y vuelve a instalarlo
- Alejandro
- Administrador
- Mensajes: 4111
- Registrado: 04 May 2009, 18:28
- Twitter: @spamloco
- Ubicación: Uruguay
- Contactar:
Re: Problema Windows infectado (ayuda)
Sobre la herramienta de Kaspersky, por aquí hay una buena reseña con información.
Re: Problema Windows infectado (ayuda)
Puede restaurarlo, o eliminarlo completamente usando el galardonado programa REVO UNINSTALLER, que borra todos los datos del registro del sistema y toda basuras que algun programa deja como uno de los mas populares, el firefox. Y despues vuelve a instalarlo, y funciona de 10jProgr escribió: En cuanto a lo de Firefox intenta restaurar el sistema y vuelve a instalarlo
- Nico
- Nivel 3
- Mensajes: 117
- Registrado: 04 May 2009, 18:50
- Twitter: @
- Ubicación: Montevideo
- Contactar:
Re: Problema Windows infectado (ayuda)
Revo Uninstaller es excelente, justo lo usé hace unos días y es el mejor desinstalador que probé.
Re: Problema Windows infectado (ayuda)
Yo soy quién pidió ayuda a spamloco por este tema, ahora la HP quedó out: no internet, no ayuda, no usuarios, no etc. A prueba de fallos el escritorio aparece completo. Voy a intentar restaurar y ejecutar kaspersky si recupero el control. Los mantendré informados.
Gracias!
Gracias!
- Alquimia
- Nivel 2
- Mensajes: 89
- Registrado: 08 May 2009, 01:46
- Twitter: @alexissaavedra
- Ubicación: Temuco, Chile.
- Contactar:
Re: Problema Windows infectado (ayuda)
Si no vas a tener que recurrir al nunca bien ponderado F11. :-P
Re: Problema Windows infectado (ayuda)
Hola,
Lamentablemente, despues de muchos intentos , me convencí que mi HP está realmente out.Unicamente detecté el virus RECYCLER en el master, la partición D: con copia de sistema, programas y drivers, en el pen, en mi mp5 y todos los CD que había grabado. Luego de los escaneos de antivirus, RECYCLER o el virus que sea, redujo totalmente la posibilidad de recuperación: eliminó controladores de LAN, WLAN, CD driver y no es posible copiar archivos por los puertos USB.
Muy a mi pesar, renuentemente seguí los consejos de HP y tuve que presionar F11...para comprobar que Alquimia puede saber mucho, pero Mi virus sabe MAS!!! No pude ingresar al menú de formateado.
Espero respuesta de HP para ver qué rescato de la PC.
No soy muy experto, por lo que tal vez esté equivocado en algo, porque en la web, RECYCLER no es ni tan malo ni tan inteligente como se mostro en mi equipo: oculto: para malwarebyte, hijack, spyboot, nod32, DOS y capaz de desactivar AVG 8.5 free y windows.
Gracias a todos, en especial a Spam.
Jorge
Lamentablemente, despues de muchos intentos , me convencí que mi HP está realmente out.Unicamente detecté el virus RECYCLER en el master, la partición D: con copia de sistema, programas y drivers, en el pen, en mi mp5 y todos los CD que había grabado. Luego de los escaneos de antivirus, RECYCLER o el virus que sea, redujo totalmente la posibilidad de recuperación: eliminó controladores de LAN, WLAN, CD driver y no es posible copiar archivos por los puertos USB.
Muy a mi pesar, renuentemente seguí los consejos de HP y tuve que presionar F11...para comprobar que Alquimia puede saber mucho, pero Mi virus sabe MAS!!! No pude ingresar al menú de formateado.
Espero respuesta de HP para ver qué rescato de la PC.
No soy muy experto, por lo que tal vez esté equivocado en algo, porque en la web, RECYCLER no es ni tan malo ni tan inteligente como se mostro en mi equipo: oculto: para malwarebyte, hijack, spyboot, nod32, DOS y capaz de desactivar AVG 8.5 free y windows.
Gracias a todos, en especial a Spam.
Jorge
- Alquimia
- Nivel 2
- Mensajes: 89
- Registrado: 08 May 2009, 01:46
- Twitter: @alexissaavedra
- Ubicación: Temuco, Chile.
- Contactar:
Re: Problema Windows infectado (ayuda)
Lo que puedes hacer (o deberías poder hacer) es iniciar desde un LiveCD de Linux y a con eso respaldar lo que puedas respaldar... Si te deja iniciar el LiveCD deberías poder reinstalar algún S.O. desde CD...
Re: Problema Windows infectado (ayuda)
JAJAJAJAJAJAJAAJAJkalmok escribió:Hola,
Lamentablemente, despues de muchos intentos , me convencí que mi HP está realmente out.Unicamente detecté el virus RECYCLER en el master, la partición D: con copia de sistema, programas y drivers, en el pen, en mi mp5 y todos los CD que había grabado. Luego de los escaneos de antivirus, RECYCLER o el virus que sea, redujo totalmente la posibilidad de recuperación: eliminó controladores de LAN, WLAN, CD driver y no es posible copiar archivos por los puertos USB.
Muy a mi pesar, renuentemente seguí los consejos de HP y tuve que presionar F11...para comprobar que Alquimia puede saber mucho, pero Mi virus sabe MAS!!! No pude ingresar al menú de formateado.
Espero respuesta de HP para ver qué rescato de la PC.
No soy muy experto, por lo que tal vez esté equivocado en algo, porque en la web, RECYCLER no es ni tan malo ni tan inteligente como se mostro en mi equipo: oculto: para malwarebyte, hijack, spyboot, nod32, DOS y capaz de desactivar AVG 8.5 free y windows.
Gracias a todos, en especial a Spam.
Jorge
El virus está en Windows, el "menú de formateado" no tiene nada que ver con Windows. Ningún "virus" te puede impedir formatear la pc...
Re: Problema Windows infectado (ayuda)
Por favor no te rias, si hay virus que atacan el BIOS, me han llegado laptops asi. Pero en ese caso solo es necesario actualizar el firmaware de la placa :D Son muy faciles de eliminarFlavio escribió:JAJAJAJAJAJAJAAJAJkalmok escribió:Hola,
Lamentablemente, despues de muchos intentos , me convencí que mi HP está realmente out.Unicamente detecté el virus RECYCLER en el master, la partición D: con copia de sistema, programas y drivers, en el pen, en mi mp5 y todos los CD que había grabado. Luego de los escaneos de antivirus, RECYCLER o el virus que sea, redujo totalmente la posibilidad de recuperación: eliminó controladores de LAN, WLAN, CD driver y no es posible copiar archivos por los puertos USB.
Muy a mi pesar, renuentemente seguí los consejos de HP y tuve que presionar F11...para comprobar que Alquimia puede saber mucho, pero Mi virus sabe MAS!!! No pude ingresar al menú de formateado.
Espero respuesta de HP para ver qué rescato de la PC.
No soy muy experto, por lo que tal vez esté equivocado en algo, porque en la web, RECYCLER no es ni tan malo ni tan inteligente como se mostro en mi equipo: oculto: para malwarebyte, hijack, spyboot, nod32, DOS y capaz de desactivar AVG 8.5 free y windows.
Gracias a todos, en especial a Spam.
Jorge
El virus está en Windows, el "menú de formateado" no tiene nada que ver con Windows. Ningún "virus" te puede impedir formatear la pc...
Re: Problema Windows infectado (ayuda)
Ahora despues de reinstalarla tenes que hacer lo siguiente :
Una vez instalado Windows
Desabilita o restringi AutoPlay
Instala el antivirus/antispyware
Configura una cuenta sin privilegios
Activa el Firewall
Conecta a tu maquina a internet, pero no navegues
Baja las ultimas actualizaciones de Windows y del antivirus
Hace una imagen de tu maquina mediante Clonezilla y guardala.
Instala Firefox + Noscript
Logueate con tu usuario sin privilegios y usalo para las tareas diarias ( el usuario administrador tenes que usarlo solo para cosas puntuales )
Una vez instalado Windows
Desabilita o restringi AutoPlay
Instala el antivirus/antispyware
Configura una cuenta sin privilegios
Activa el Firewall
Conecta a tu maquina a internet, pero no navegues
Baja las ultimas actualizaciones de Windows y del antivirus
Hace una imagen de tu maquina mediante Clonezilla y guardala.
Instala Firefox + Noscript
Logueate con tu usuario sin privilegios y usalo para las tareas diarias ( el usuario administrador tenes que usarlo solo para cosas puntuales )
Re: Problema Windows infectado (ayuda)
Alquimia, dije que era inteligente este virus, por supuesto,infectò el liveCD que descarguè de ubuntu (aunque funciono para iniciar la instalacion) . Pero además son jodidos los de HP: NO es posible reparticionar el disco duro (según la ayuda via mail). Ya intenté la instalación de Ubuntu: el live cd funcionando automáticamente detecta el espacio libre del duro y dice que no hay espacio suficiente para la instalación y al intentar particionar manualmente la partición c:, donde sí hay espacio, llegado el momento de realizar las acciones de partición aparece un informe indicándome que no es posible ejecutarlas y delante de las particiones originales aparece el ícono de una llave.Claro, las particiones son hda, no sda.
Estoy a la espera de una respuesta de HP respecto a cómo recupero mi sistema XP y voy a pelear por él. Si no me dan ninguna respuesta satisfactoria me resultaria util saber como eliminar la proteccion de las particiones para poder formatear todo el disco.
Gracias por el comentario
Jorge
Estoy a la espera de una respuesta de HP respecto a cómo recupero mi sistema XP y voy a pelear por él. Si no me dan ninguna respuesta satisfactoria me resultaria util saber como eliminar la proteccion de las particiones para poder formatear todo el disco.
Gracias por el comentario
Jorge
- Alejandro
- Administrador
- Mensajes: 4111
- Registrado: 04 May 2009, 18:28
- Twitter: @spamloco
- Ubicación: Uruguay
- Contactar:
Re: Problema Windows infectado (ayuda)
Intenta desde el LiveCD de Ubuntu acceder a la partición donde hay información, es decir donde está el Windows XP. Intenta acceder para ver si puedes ver la información, si la puedes ver entonces vas a poder copiarla a un pendrive por ejemplo u otro disco.
Si no te deja, traenos el mensaje que te salga para ver qué es.
Saludo.
Si no te deja, traenos el mensaje que te salga para ver qué es.
Saludo.
Re: Problema Windows infectado (ayuda)
Disculpen la demora en la respuesta, mis actividades no me permitieron conectarme y esta pc se arrastra. Voy a intentar algo, porque Ubuntu funciona en parte sin instalación, Agradezco mucho sus ayudas.
kalmok
kalmok
Re: Problema Windows infectado (ayuda)
No fue posible realizar ninguna recuperación siguiendo el tutorial de HP.
La pc no responde a ninguna activación desde F11, luego sí inicia realiza el formateo y recuperación "correctamente" pero no se inicia windows, a prueba de fallos me dice que no se completó la instalación. Ubuntu no puede acceder a C: si bien muestra el contenido del volumen D: y la asistencia de HP cortó el diálogo sin informarme si el listado de carpetas y archivos de esa partición que yo les informaba era el correcto.
Decidí formatear todo y hacer instalar un XP trucho, porque venía bastante embolado, sin tiempo ni herramientas. Me convencieron que instale Win XP uE v10 y accedí. NO pego una!!! Informándome en la web sobre estas versiones uE, descubro que la sp2 v7 fué la última versión original y que de allí en más desmejoran. Tienen alguna opinión respecto a los XP uE? Me podrían informar como formatear, completamente mi disco IDE, en especial que herramientas necesito, no disponiendo de disketera A:?
Disculpen mis demoras y la falta de conocimientos y datos precisos.
Muchas gracias!
Jorge
La pc no responde a ninguna activación desde F11, luego sí inicia realiza el formateo y recuperación "correctamente" pero no se inicia windows, a prueba de fallos me dice que no se completó la instalación. Ubuntu no puede acceder a C: si bien muestra el contenido del volumen D: y la asistencia de HP cortó el diálogo sin informarme si el listado de carpetas y archivos de esa partición que yo les informaba era el correcto.
Decidí formatear todo y hacer instalar un XP trucho, porque venía bastante embolado, sin tiempo ni herramientas. Me convencieron que instale Win XP uE v10 y accedí. NO pego una!!! Informándome en la web sobre estas versiones uE, descubro que la sp2 v7 fué la última versión original y que de allí en más desmejoran. Tienen alguna opinión respecto a los XP uE? Me podrían informar como formatear, completamente mi disco IDE, en especial que herramientas necesito, no disponiendo de disketera A:?
Disculpen mis demoras y la falta de conocimientos y datos precisos.
Muchas gracias!
Jorge
Re: Problema Windows infectado (ayuda)
Me olvidaba, desearía aprender a formatear todo el disco, incluido el sector de booteo, nada de format desde el DOS (que no tengo en el duro ni en otro driver)
nuevamente gracias,
Jorge
nuevamente gracias,
Jorge
- Alejandro
- Administrador
- Mensajes: 4111
- Registrado: 04 May 2009, 18:28
- Twitter: @spamloco
- Ubicación: Uruguay
- Contactar:
Re: Problema Windows infectado (ayuda)
Hay varios caminos para formatearlo, ya que tienes el CD de Ubuntu puedes usarlo en modo live-cd y usar el programa GParted... este te permite administrar las aprticiones del disco duro, formatearlo, etc.
Otra forma puede ser con el Hiren's BootCD, se trata de un live-cd que trae un montón de herramientas inluído el MS-DOS.
Desde ahí con un "format c:" (sin las comillas), se formatea todo el disco. Es lo mismo que usar el DOS desde un disket.
Otra forma puede ser con el Hiren's BootCD, se trata de un live-cd que trae un montón de herramientas inluído el MS-DOS.
Desde ahí con un "format c:" (sin las comillas), se formatea todo el disco. Es lo mismo que usar el DOS desde un disket.