Hola a todos...bueno hace varios dias que vengo probando versiones de XP desatendidas, originales o de todo...y es raro que en todos los sistemas operativos que he instalado se deshabilite el administrador de tareas y el regedit y llegue a la conclusion de que es un virus..pero como entra? desde el CD?
aclaraciones:
- NO CONECTE NINGUN PENDRIVE desde que instale el windows.
- NO PUEDO entrar a modo seguro, a ningun modo, tira blue screen 0x07b en todas las pcs que instale los windows..son coomo 10 aproximadamente
- NO PUEDO INSTALAR antivirus... apenas doy doble click al instalador, a los pocos segundos el virus mata el proceso y cierra todo, aparentemente por que bloqueo el registro y al modificarse cierra todo.
- Probe entrando a Gpedit y deshabilitando la opcion de control+alt+supr pero el virus se regenera y vuelve a bloquearlo.
- Probe lo mismo qeu el paso anterior con el registro pero se bloquea.
- Algunos juegos y programas dejaron de funcionar por que elimina los ejecutables o los edita y no se pueden ejecutar
CANSADO de no poder instalar antivirus probe de instalar antimalwares y pude instalar unicamente: Malwarebytes, Elistara, Hijackthis, Combofix y superantispyware... todos detectan el valor de registro disabletaskmgr y disableregedit cambiado y lo elimina pero al reiniciar vuelve.
Alguna sugerencia gente? estoy desesperado, tengo un cliente que esta esperando su notebook con windows xp y no puedo sacar este virus!!!
Muchas gracias a todos y disculpen la molestia.
Saludos. Leo
panda active scan ? ;D
Yó te recomendaria en este caso un formato a bajo nivel, yá que con el formato normal algunos virus no desaparecen.
Te dejo el link para descargar el programa.
http://hdd-low-level-format-tool.programas.com/
(http://hdd-low-level-format-tool.programas.com/)
<suerte.salu2. :)
sube un log de Hijackthis
ahora entiendo porque randomize no recomienda windows desatendidos.
como te dijieron, envía un log de hijackthis.
saludos
claro, con nlite le meten hasta troyanos xD
y los sata para picar :xD
aparentemente es el cd de instalación de Windows que trae un virus, te recomiendo que te bajes una version limpia e instala desde alli.
El virus vuelve a aparecer porque queda residente en la memoria o en la restauracion de sistema o simplemente porque esta todavía asegurada su existencia en el registro, por eso lo desabilita.
Antes de hacer nada desabilita la restauracion de sistema y limpia la memoria, yo de por si, no limpio la PC desde la misma, porque asi es un parto, si no de otra Pc totalmente protegida y limpia, ya sabes con todos los antivirus actualizados, antispy, antirootkit y un alertador de procesos y sin conexion a la net.
coloco el disco, o los discos, entro en modo seguro y los scaneo....a todas las particiones ya que puede ser uno que infecte ejecutables. tambien si quieres recuperar algun archivo siempre desde el CD de windows Live.
espero que te sirva
S@7U2
CitarEl virus vuelve a aparecer porque queda residente en la memoria o en la restauracion de sistema o simplemente porque esta todavía asegurada su existencia en el registro, por eso lo desabilita.
... o porque si tienes las 10 máquinas en red y desinfectas una, puede que se contagie de las otras :P
Revisa el subforo de windows, un usuario había colgado un Win SP3 limpito limpito :rolleyes:
Esta claro que el problema es un virus, porque uno de los motivos por los cuales sale el error que comentas, es malware en el sector de inicio, no puede ser error de hardware en 10 máquinas a menos que hayan hecho una mudanza y se les hayan caído de un camión :xD ...
:http://support.microsoft.com/kb/324103/es
Saludos
muy buena idea la de buscar el stop, no se me había ocurrido.
asique según eso, toca formatear, e instalar un windows que no sea desatendido.
por si acaso, intenta con fixboot usando la consola de recuperación.
saludos!
hola y saludos :D
Si no te responde el administrador de tareas prueba con la combinacion ctrl+shift+esc en vez de ctrl+alt+sup localiza el programa maligno residente en la memoria
Si no te funciona escribe en Inicio-Ejecutar digita la siguiente linea :REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Listo !!!
con eso se ejecuta el TaskMgr de tu regedit.exe y podras ejecutar tu administrador de tareas para que puedas detener tu virus .con el nombre ya lo podras encontrar y eliminar de tu hdd
suerte y pasame el codigo para tenerlo de recuerdo..
lee todo el topic antes de responder.
saludos
Cita de: leorubino10 en 5 Agosto 2010, 21:57 PM
Hola a todos...bueno hace varios dias que vengo probando versiones de XP desatendidas, originales o de todo...y es raro que en todos los sistemas operativos que he instalado se deshabilite el administrador de tareas y el regedit y llegue a la conclusion de que es un virus..pero como entra? desde el CD?
Ok :D
Un problema parecido me paso y resulto un virus que permanecia en el disco duro y aunque hacia el formateo rapido igual no lo eliminaba
Con el scandisk aparecian dos sectores defectuosos en mi disco duro .
La solucion para mi fue igual a la que posteo simorg unos post mas arriba osea un formateo total antes de instalar el OS
suerte
by
Igual, creo que algunos no estan prestando atención a este pequeño detalle :rolleyes:
Cita de: leorubino10 en 5 Agosto 2010, 21:57 PM
- NO CONECTE NINGUN PENDRIVE desde que instale el windows.
- NO PUEDO entrar a modo seguro, a ningun modo, tira blue screen 0x07b en todas las pcs que instale los windows..son coomo 10 aproximadamente
Cita de: Novlucker en 6 Agosto 2010, 14:03 PM
Esta claro que el problema es un virus, porque uno de los motivos por los cuales sale el error que comentas, es malware en el sector de inicio, no puede ser error de hardware en 10 máquinas a menos que hayan hecho una mudanza y se les hayan caído de un camión
Saludos
a eso me refería, no es por ofender ni nada por el estilo, es simplemente que no quiero que el usuario se confunda.
saludos
... al parecer ha pasado una de dos cosas:
1) Resolvio el problema y no vino a decir las gracias aunque sea.
2) Se harto, renuncio y destruyo los 10 PC
gente... mil disculpas a todos por no responder...y MILLONES DE GRACIAS a todos por debatir este problemita...
Antes que nada queria destacar algo, Instale el desatendido desde 0 nuevamente.. y lo curioso es que el taskmgr anda...lo deje 30 min andando..sin hacer nada en la pc...luego abri el navegador y pum! volvio a bloquearse..
Bueno aca les dejo el log de hijackthis para que lo vean y lo analicen...pero al reparar las entradas incorrectas el virus vuelve..
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:29, on 07/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
G:\LeO\Bifrost\No-IP\DUC20.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet explorer proporcionado por GP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
O23 - Service: MBAMService - Unknown owner - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (file missing)
--
End of file - 2838 bytes
Saludos y perdon por no entrar antes.
Esto es lo que yo encontré raro, lo que no significa que sea malware.
Sinceramente, no me tomé el trabajo de buscar en google.
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
G:\LeO\Bifrost\No-IP\DUC20.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
o4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
Saludos!
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
yo intentaria desinstalar deepfreeze primero :silbar:
Cita de: Ari-Slash en 7 Agosto 2010, 20:22 PM
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
yo intentaria desinstalar deepfreeze primero :silbar:
A mi entender, el usuario lo utiliza para controlar los pcs, asique con desabilitarlo antes de hacer las modificaciones sobra.
Pd:
Ahora que lo peinso, ¿no aparecerá bloqueado cuando reinicias porque no desabilitas DFRZ antes de hacer los cambios?
Pd2:
Tienes desabilitado el registro de windows.
Saludos
Bueno, de las entradas que remarca
winroot me quedo con estas
CitarG:\LeO\Bifrost\No-IP\DUC20.exe
o4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Saludos :P
hola gente, nuevamente gracias por responder... elimine las entradas que recomendaron pero tampoco se soluciono.. esas entradas de NO-IP DUC y Bifrost ya las tenia por que tengo instalado el troyano en la pc que uso.
Probe de instalar el mismo sistema operativo en una PC que no estaba infectada por el virus...y la pc siguio desinfectada, asi qeu llegue a la conclusion de que EL CD DE INSTALACION NO TIENE VIRUS.
UN DATO IMPORTANTE: Mi Pc infectada tiene 2 particiones, y puede que la infeccion este en la particion D...y al formatear unicamente el C...el virus se vuelve a pasar. Puede ser? o estoy equivocado?
Saludos y gracias
Si, puede ser si abres algún ejecutable de esa partición, ya sea porque tu lo abres, o porque la partición tiene un autorun.
Itenta determinar si la partición tiene un archivo llamado autorun.inf.
inicio>ejecutar>cmd
cd /d d:\
attrib -h -s -r autorun.inf
start autorun.inf
Bien, si se abre el fichero autorun.inf, es porque tienes autorun, de lo contrario, trata de recordar si abres algún fichero ejecutable desde d:\.
De última, puedes sacar los datos de d:\, y formatear todo el hd a low level.
Pero esto es lo último, trata de pensar si abres algún ejecutable en d:\.
Saludos!
Cita de: winroot en 10 Agosto 2010, 01:43 AM
Si, puede ser si abres algún ejecutable de esa partición, ya sea porque tu lo abres, o porque la partición tiene un autorun.
Itenta determinar si la partición tiene un archivo llamado autorun.inf.
inicio>ejecutar>cmd
cd /d d:\
attrib -h -s -r autorun.inf
start autorun.inf
Bien, si se abre el fichero autorun.inf, es porque tienes autorun, de lo contrario, trata de recordar si abres algún fichero ejecutable desde d:\.
De última, puedes sacar los datos de d:\, y formatear todo el hd a low level.
Pero esto es lo último, trata de pensar si abres algún ejecutable en d:\.
Saludos!
gracias amigo mil gracias por ayudar...te paso a comentar:
en la particion D: no hay autorun...pero si tengo una carpeta propia con instaladores que fui recolectando...puede que el problema este ahi..son 25 programas comprimidos en RAR y varios Exe..pienso que tendria que formatear a bajo nivel no queda otra salida creo... que pensas?
Saludos
Leo
yo quede con la duda si deshabilitastes o desintalastes el deepfreeze
antes de picar
¿y usar un live-cd especializado contra malware?
En tu caso puede que sea la mejor opción:
AVG Rescue CD
Descarga: http://www.avg.com/ww-es/download-file-cd-arl-iso
Avira Antivir Rescue System
Descarga: http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso
BitDefender Rescue Disk CD
Descarga: http://download.bitdefender.com/rescue_cd/BitDefender-Rescue-CD.iso
F-Secure Rescue live CD 3.11
Descarga: http://www.f-secure.com/linux-weblog/files/f-secure-rescue-cd-3.11.23804.zip
G Data Boot CD 2011
Descarga: https://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=7749
Kaspersky Rescue Disk 2010
Descarga: http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/kav_rescue_10.iso
Panda SafeCD 4.4.3.3
Descarga: http://www.pandasecurity.com/resources/tools/SafeCD.iso
Ari-slash: gracias por responder... mira al deepfreeze lo tengo deshabilitado por el momento hasta que mate el virus.. igualmente...tube maquinas infectadas sin deepfreeze.
el-brujo: gracias por el dato de los livecd...yo habia probado con el BART AVAST LIVE CD..pero no hubo caso..voy a probar con alguno de estos y les comento
Saludos y gracias