Mensajes

Gracias a todos por vuestra ayuda, ha sido una experiencia un tanto frustrante porque no he conseguido limpiar la máquina que es lo que me hubiera gustado.

Estos actos del final han sido en plan desesperado de todo.

Para comentar, decir que el virus:
1. No permitía abrir el taskmanager (si pulsabas Ctrl+Alt+Supr como un loco podías llegar a verlo como en un parpadeo, lo que me llevó a sacar unas fotos continuas hasta que capturé algunos de los procesos que estaban funcionando en ese momento, los investigué todos y ninguna hacía referencia al virus)
2. No permitía arrancar en modo seguro, ni con funciones de red ni con símbolo del sistema. Daba un error en pantalla azul (no se daba visto el error) y se reiniciaba.
3. No permitía recuperar el sistema.
4. La única combinación de teclas que funcionaba era Tecla Win + L (pero en mi caso al solo tener un usuario no me sirvió de nada)
5. Pasé el Kaspersky actualizado a 20 de agosto, el Dr. Web y todos los Spyware y antivirus que traía el Hires 14.0 pero ninguno localizó el troyano en cuestión.
6. El ataque se produjo o al menos se activó cuando estaba visitando un listado de imágenes en google en concreto al pinchar en una imagen de un sintetizador Moog.
7. Al acceder a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell del registro del windows infectado, aparecía Explorer.exe con lo cual entiendo que lo cambiaba al arrancar en ese momento.
8. Al acceder al msconfig del windows infectado no aparecía ningún proceso desconocido en el inicio del sistema (es probable que sustituyese a alguno ya existente?)
9. El troyano bloqueaba el movimiento del ratón, limitándolo únicamente a la parte de la pantalla que tenía un formulario para introducir el pago y el botón de aceptar.

Creo que nada más. Espero que esta info pueda servir de ayuda en el futuro. Muchas gracias a todos los que me habéis echado una mano con vuestros consejos.

Por cierto, el contador bajaba aunque tuviese el ordenador apagado está sincronizado con el reloj del sistema.

El tema es que no quiero perder el netbook, formatearlo es lo más seguro ahora mismo para mi, lo que me da algo de pena es que no se pudo idenfiticar el bicho, eso y que ha pasado el finde entero jodido.

Hola,

pues estoy a punto de formatear, quedan 30 minutos. O eso quedaba hace un rato, porque lo último que hice fue elimiar el archivo wmiprvse.exe y he conseguido que al arrancar el sistema no salga la pantallita de las narices, eso sí, tampoco arranca, en el momento de hacerlo al pasar la pantalla de Bienvenida de windows se me va a la pantalla del usuario, pone cargando configuración personal, pero aunque pinches en él usuario ya no entra.

El caso es que no tiene ese mismo nombre de archivo que pone ahí, ya que no es el mismo virus.

Estoy terminando de pasarle el Dr. Web y sin con eso no lo consigo lo formateo y me doy por vencido.

Muchas gracias тαптяαпсє lo había encontrado ayer, pero nada no me apareció la ruta en ninguna de las claves que pone ahí.

Supongo que es una variación del de la policía que mejora los errores que pudiera tener anteriormente porque al contrario de lo que pone en el artículo que me pasaste, este virus ha infectado el arranque con símbolo de sistema 

No me deja entrar en modo seguro, ni con símbolo de sistema, ni con red, nada.

Fue de las primeras cosas que probé.

Hice una "batida" yo mismo revisando y nada no doy visto el archivo.

Lo cojonudo es que le he pasado varios antivirus entre en ellos el Kaspersky actualizado y nada, no me detectan nada. Ahora estoy con el Dr. Web, pero ya es un tema personal, el virus me ha jdoido el fin de semana así que ahora le toca a él 

Hola,

el SO es un WinXP HOme Edition que venía instalado en el netbook que es un Toshiba NB200.

He probado lo de win+L, pero solo tengo un usuario y no me vale. He usado el Hirens Autoboot con un USB para acceder a los datos y por lo menos tengo todo a salvo. Pero no hay manera de limpiar la máquina.

Songoku he leído en un foro informativo de kaspersky de hace una semana que tienen uno parecido y le ha inutilizado todos los ordenadores. Ahora mismo quedan 6 horas para que se cumpla su amenaza de inutilizarme el ordenador permanentemente.

Por cierto, entre otras de las cosas que probé fue a mirar la clave del Shell en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\ CurrentVersion\Winlogon y sigue estando Explorer.exe el muy cabrito debe cambiarlo justo cuando arranca el ordenador.

Así que si a nadie se le ocurre nada más, trataré de formatear el sistema.

Gracias por el consejo, fue lo primero que probé, pero no me deja iniciar en modo seguro, ni en la última configuración válida, ni con símbolo de sistema.

Ejecuta un scritp para desactivar el taskmanager cada vez que tratas de iniciarlo y bloquea el movimiento del ratón, dejándote solo la zona del formulario que aparece en la foto que subí. Como mucho puedes hacer tecla Win + L, pero en mi caso solo tengo un usuario con lo cual no puedo probar a cambiar a otro usuario.

Hasta ahora lo que he hecho ha sido arrancar con un Hirens autoboot desde el USB (puesto que es un netbook sin cd), recuperar la info que más necesitaba, pasarle los antivirus y spyware que trae el Hirens (no me lo han limpiado ni localizado), probé también a pasarle el kaspersky con un autoboot y como comentaba antes, tampoco.

Si tuviese alguna referencia del archivo que se ejecuta al inicarse el sistema, pero nada de nada, lo único parecido que he encontrado en la red, es este con el logo de la poli y uno más antiguo que era Ruso y te pedía un código. Este mucho me temo que al ritmo que va dentro de las 14 horas que quedan me borrará todo.

Si a alguien se le ocurre algo más, lo probaré. Ahora mismo estoy con un autoboot del Dr. Web a ver si me lo localiza.

Después de un par de horas con el Kaspersky, nada de nada, no me localizó nada, hice un scanneo en profundidad con la base da virus actualizada y nada. Voy a probar ahora con el Dr. Web.

Si a alguien se le ocurre alguna otra idea será bienvenida.