Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas! recien descubro este foro y vi que varias personas tubieron el mismo problema que yo asi que me meti para pedir ayuda!
El problema que tengo es basicamente que al iniciar la máquina me aparece una ventana diciendo:"Windows no puede encontrar el archivo 'C:\WINDOWS\system32\printer.exe'.".
Además al intentar modificar las propiedades del escritorio ( como la fecha y hora ) o ingresar al panel de control ( que directamente ya no existe )me salta una ventana diciendo: "Esta operación ha sido cancelada debido a las restricciones especificadas para este equipo. Póngase en contacto con el administrador del sistema".
Ejecuté el antivirus ( nod ) y no me detecto nada. Luego hice un active scan de panda. Me detecto varias cosas,Despues me baje una version prueba del panda y lo ejecute, aca esta en informe

forme de incidencias de Panda Antivirus + Firewall 2008


otra duda, al abrir el administrador de procesos tengo corriendo 40 procesos es eso normal? solia tener 28. solo estoy ejecutando el dap, el msn y el panda
EVENTO FECHA RESULTADO INFORMACIÓN ADICIONAL
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Spyware detectado: Cookie/Atlas DMT 30/12/07 22:14:33 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@atdmt[1].txt
Intento de conexión 30/12/07 22:12:46 Bloqueado Aplicación: C:\WINDOWS\system32\svchost.exe
Intento de conexión 30/12/07 15:03:41 Bloqueado Aplicación: C:\WINDOWS\system32\svchost.exe
Spyware detectado: Cookie/Atlas DMT 30/12/07 15:02:31 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@atdmt[1].txt
Spyware detectado: Cookie/Atlas DMT 30/12/07 15:01:57 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@atdmt[1].txt
Actualización 30/12/07 12:56:24 Correcta Identificadores de alteración de archivos
Actualización 30/12/07 12:56:16 Correcta Nuevos identificadores de amenazas: 200
Intento de conexión 30/12/07 12:55:06 Bloqueado Aplicación: C:\WINDOWS\system32\svchost.exe
Spyware detectado: Cookie/YieldManager 30/12/07 01:30:32 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[1].txt
Spyware detectado: Cookie/YieldManager 30/12/07 01:30:28 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[1].txt
Spyware detectado: Cookie/YieldManager 30/12/07 01:30:28 Bloqueado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[1].txt
Spyware detectado: Cookie/YieldManager 30/12/07 01:30:17 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[1].txt
Spyware detectado: Cookie/Adtech 30/12/07 01:29:54 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@adtech[1].txt
Fin de análisis 30/12/07 00:51:11 Análisis: Todo Mi PC
Spyware detectado: Cookie/YieldManager 30/12/07 00:39:53 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[1].txt
Spyware detectado: Cookie/YieldManager 30/12/07 00:39:53 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[1].txt
Spyware detectado: Cookie/YieldManager 30/12/07 00:39:53 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[2].txt
Spyware detectado: Cookie/YieldManager 30/12/07 00:39:08 Eliminado Ubicación: c:\documents and settings\admin\cookies\admin@ad.yieldmanager[2].txt
Ataque DoS 30/12/07 00:17:43 Bloqueado IP de origen: 192.168.0.184
Comienzo de análisis 30/12/07 00:11:44 Análisis: Todo Mi PC
Actualización 30/12/07 00:09:30 Correcta Identificadores de alteración de archivos
Actualización 30/12/07 00:09:20 Correcta Nuevos identificadores de amenazas: 6786
Petición de ICMP Echo 30/12/07 00:09:04 Bloqueado IP de origen: 80.86.241.204
Intento de conexión 30/12/07 00:07:36 Bloqueado Aplicación: C:\WINDOWS\system32\svchost.exe
Fin de análisis 29/12/07 22:38:50 Análisis: Todo Mi PC
Intento de conexión 29/12/07 22:24:50 Bloqueado Aplicación: C:\WINDOWS\system32\svchost.exe
Dialer detectado: Dialer.KNX 29/12/07 22:24:16 Eliminado Ubicación: C:\WINDOWS\prods102.exe
Dialer detectado: Dialer.KNX 29/12/07 22:24:16 Eliminado Ubicación: C:\WINDOWS\prods160.exe
Dialer detectado: Dialer.KNX 29/12/07 22:24:16 Eliminado Ubicación: C:\WINDOWS\prods190.exe
Dialer detectado: Dialer.KQW 29/12/07 22:24:16 Eliminado Ubicación: C:\WINDOWS\progq.exe
Dialer detectado: Dialer.KNX 29/12/07 22:24:16 Eliminado Ubicación: C:\WINDOWS\prods149.exe
Spyware detectado: Cookie/Winantivirus 29/12/07 22:24:06 Eliminado Ubicación: C:\Documents and Settings\LocalService\Cookies\system@winantivirus[1].txt
Adware detectado: adware/cws 29/12/07 22:06:52 Eliminado Ubicación: hkey_classes_root\iehlprobj.iehlprobj
Comienzo de análisis 29/12/07 22:06:40 Análisis: Todo Mi PC


Despues me baje una version prueba del panda y lo ejecute. Me detecto lo mismo y elimino todo. Tambien utilize el Reg Cleaner varias veces pero no pasa nada,el problema persiste.
Lei que ya varios tubeiron este problema. Sigo los mismos pasos que ellos?. o es particular para cada caso?.
Tengo win xp pro, sp2, con panda Antivirus + firewall 2008 7.00.00 y tambien el reg cleaner
desde ya muchas gracias

Hola realiza lo siguiente:

Elimina elementos de arranque de tu sistema sigue lo indicado aquí, si ves printer.exe desactiva esa casilla.

Ejecuta la última versión de RegUnlocker, úsala de la siguiente manera:

- Selecciona Eliminar restricciones del sistema y das click en Unlock.

Ejecuta Ccleaner en sus opciones de limpiador y registro este último pásalo hasta que no te salga nada, cualquier duda lees su manual(no olvides hacer una copia de seguridad).

Luego realiza un escaneo con:

- Ewido (no olvides darle en la opción REMOVE INFECTIONS) dudas sobre este te lees el manual de ewido

- Kaspersky Online Scanner cualquier duda sobre este último lees su manual y pegas el reporte que te da de resultado.

Realiza ambos escaneos en el orden en los que te doy y regresas con el reporte de Kaspersky online.

Saludos

Sikartus, gracias por responderme.
Hice lo que me dijiste...no tube problemas.
aca te pego el informe de Kaperski

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, January 01, 2008 6:24:32 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 1/01/2008
Kaspersky Anti-Virus database records: 501117
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 84275
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 01:30:22

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\d43317c6bfccf6201fd789c5f8c9f1dePSK_NAMES Object is locked skipped
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\d43317c6bfccf6201fd789c5f8c9f1dePSK_NAMES2 Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Temp\5E1.tmp Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Temp\616.tmp Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Temp\Perflib_Perfdata_c64.dat Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Temp\~DF1C39.tmp Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Temp\~DF2699.tmp Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Temp\~DF83D3.tmp Object is locked skipped
C:\Documents and Settings\admin\Configuración local\Temp\~DF9655.tmp Object is locked skipped
C:\Documents and Settings\admin\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\admin\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\admin\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\sentinel\2.1\gwhashs.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{BBA35510-5FD3-4C44-B198-FC947E51921D}\RP306\A0100453.exe Infected: IM-Worm.Win32.VB.di skipped
C:\System Volume Information\_restore{BBA35510-5FD3-4C44-B198-FC947E51921D}\RP308\change.log Object is locked skipped
C:\WINDOWS\Cabs.exe Infected: IM-Worm.Win32.VB.di skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\dmimxef.dat Object is locked skipped
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd3805.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\kbdhi.dat Object is locked skipped
C:\WINDOWS\system32\localwi.dat Object is locked skipped
C:\WINDOWS\system32\usrfoxa.dat Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\hsperfdata_SYSTEM\1960 Object is locked skipped
C:\WINDOWS\TempFile Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
D:\System Volume Information\_restore{BBA35510-5FD3-4C44-B198-FC947E51921D}\RP308\change.log Object is locked skipped
D:\Fotos\Federica\viaje eneuros.xls Object is locked skipped

Scan process completed.

Espero tus ordenes, y gracias de nuevo.

Hola realiza ahora lo siguiente:

- Apaga Restaurar sistema.
- Reinicias tu pc.
- Activas la restauración.
- Reinicias nuevamente.

Luego:

- Activas ver archivos ocultos.

- Inicias en modo a prueba de fallos buscas y eliminas:

C:\WINDOWS\Cabs.exe


Eliminas lo marcado en rojo y si no puedes usa FileASSASSIN

Reinicias en modo normal y realizas un nuevo escaneo pero esta vez con:

-Panda online dudas sobre este lees su manual y pegas su reporte.

- Kaspersky Online Scanner cualquier duda sobre este último lees su manual y pegas el reporte que te da de resultado.

Regresas, me cuentas como te fue y como esta tu pc si ya no tienes los problemas del inicio, me cuentas.

Saludos

bueno, parece que tenemos un problema.
no puedo acceder a ¨ver informacion de sistema¨
me aparece un cartel con el titulo ¨Restricciones¨ que me dice:

¨esta operación a sido cancelada debido a las restricciones especificadas en el sistema. Pongase en Contacto con el administrador del sistema¨

le doy aceptar y me aparece de vuelta. Vuelvo a aceptar y desaparece.

lo mismo sucede al hacer click con el derecho sobre ¨mi pc¨ y querer ingresar a Propiedades.

Hola, vuelve a ejecutar RegUnlocker, úsala de la siguiente manera:

Selecciona:

- Eliminar restricciones del sistema
- Reparar servicio de reparar sistema
- Reactivar comprobador de archivos del sistema

Y le das click en Unlock.

Nos comentas si funcionó y si fue así terminas de realizar los pasos que te dí.

Saludos.

PD Asegurate que tu sesión de usuario tiene las bondades de administrador quiza tu sesión de usuario tiene limitaciones.

Utilize el Regunlocker V195, seleccione las opciones y le di unlock.
El panda me bloqueo una accion. Asi que apague el panda, use de nuevo el regunlocker y volvi a encender el panda.
El RU me pidio reiniciar para que surtan efecto los cambios. lo hice. luego intente acceder a donde me dijiste y salta de nuevo el cartel de Restricciones.

Puede ser que el virus se ejecute al iniciar la maquina? Igualmente ya verifique que en el inicio se ejeuten solo las acciones que no fuesen dañinas o innecesarias.

Tambien uso el Dap para bajar las cosas que me decis. Lo apago por las dudas?

Me olvidadba, no hay otra sesión. La uncia que existe es la de administrador que es la que yo utilizo.
Espero tu respuesta,

Hola intenta acceder a ¨ver informacion de sistema¨ y mi pc y lo que comentas pero en modo a prueba de fallos y si funciona termina de hacer los pasos que no has podido realizar.

Me comentas

Saludos

Inicie a prueba de fallos ( modo seguro ) y tampoco me dejo. Me saltaba el mensaje de Restricciones.
Tambien, me aparecio otra sesion. Yo soy admin, pero aparecio otra llamada Administrador. en ninguna de las dos me dejo entrar.
Parece que esta jodido, pero...la esperanza es lo utlimo que se pierde ( para no llorar )
bueno..queda en tus manos de nuevo..
adelante!