Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Antes que nada quiero agradecer a todos los que lean este mensaje por ayudarme a resolver el problema que tengo actualmente en una de mis PC's.

A continuación trataré de ser lo más específico posible en cuánto a todo lo previo a ocurrir el problema y el estado actual del sistema.

Este PC tiene instalado el Windows XP con todas las actualizaciones del mismo al día. Dicho sistema tiene instalado el Panda Internet Security 2005. Unos pocos días atrás, le realicé a dicha PC una revisación exaustiva de software malicioso en general y todo aparentemente estaba bien hasta que ayer o anteayer (no recuerdo bien) el Panda me detectaba contínuamente el Virus o malware: Killer.A. Los breves datos del mismo que obtuve de la propia web de Panda son:

Nombre común: Killer.A
Nombre técnico: Bck/Killer.A
Peligrosidad: Baja
Tipo: Backdoor
Efectos: Permite acceder de manera remota al ordenador afectado.
Plataformas que infecta: Windows XP/2000/NT/ME/98/95
Fecha de aparición: 16/03/2005
¿Está en circulación? Si

Recuerdo que cuánto aparecía el aviso del Panda indicando el archivo infectado no decía exactamente "Bck/Killer.A" sino que en vez de "Bck" figuraba algo que comenzaba con A, pero no recuerdo bien. Cito esto simplemente porque es parte de lo que recuerdo y podría ayudar.

Recuerdo también que el virus se encontraba dentro de un instalador y que si bien el aviso del Panda indicaba haberlo borrado, el mismo se volvía a generar infinitas veces y así constantemente.

En definitiva, también estuve desactivando el "Restaurar Sistema" para poder borrar el archivo pero no lo llegué a conseguir. No recuerdo si en el momento en que ocurrió el problema (que detallo más adelante) dicha función estaba activada o no.

Todo lo anterior descripto hace mención a lo más importante ANTES de ocurrir el problema.

El problema en sí, ocurrió cuándo me encontraba usando la PC a la vez que bajaba algunos archivos con el popular DC++. En dicho momento había una lluvia un poco moderada pero no se trataba de un temporal! Igualmente tuve la mala suerte de que se interrumpiera muy brevemente la corriente eléctrica y el equipo se me reinició. Lo mismo había ocurrido en otras 2 oportunidades el mismo días algunas horas antes pero en esos casos anteriores todo siguió funcionando como siempre al iniciar el equipo.

En fin, al reiniciarse la PC todo es normal. Se llega a la tradicional pantalla de Bienvenida y aparecen los usuarios de la PC que ambos poseen derechos de administrador. Me remito a entrar con uno de los dos usuarios y ni bien ingreso la contraseña la PC ingresa a la sesión pero se logra ver sólo el fondo y muy rápidamente se cierra la misma y se vuelve a la pantalla de Bienvenida. Ocurre exactamente si intento entrar en modo a prueba de fallos sólo que en lugar de llegar a verse los fondos de pantalla de ambos usuarios aparece fugázmente el clásico fondo negro con las letritas blancas del modo. Luego probé entrar mediante la modalidad "última configuración que funcionó" o algo así, y sigue ocurriendo exactamente lo mismo.

En fin, se que está la posibilidad de bootear con el CD del sistema operativo y "reparar" (o algo por el estilo) el sistema. Pero quizás con todo lo que les acabo de detallar alguno de uds. conozca otra forma posible para lograr entrar a las seciones de usuario sin necesidad de emplear dicho CD. En definitiva escribí todo esto porque mis experiencias previas para "reparar" un sistema operativo con el CD de Windows no fueron muy buenas que digamos.

Muchísimas gracias a todos!
Ojalá alguno de uds. o entre todos puédamos hallar una solución a este problema.

Saludos desde Uruguay!
Davo

Hola

Ahora mismo estoy investigando el virus y lo unico que te puedo decir en relacion a la desaparicion de la ipcion restaurar el sistema es que, existen varios malwares que no te dejan ver opciones y te cambian la configuracion.

Bien, ahora tenemos que ver el tema del inicio.
Decis que no te inicia de ninguna manera y que, por malas experiencias, no queres reinstalar windows, lo que a mi me parece la mejor solucion.
Pero igual existe otra manea de levantar el sistema:

• Apenas encienda la pc apreta repetidas veces supr o del y entraras al setup.

• Entra a la opcion de advanced setup y en donde dice 1st boot sequence-->cambialo a CDROM, 2nd boot sequence --> IDE-1. Guardalo y listo. RECUERDA: NOCAMBIES NADA MAS.

• Pon el cd del windows en la lectora y reinicia la pc, cundo cargue te va a decir si quieres iniciar desde el cd y aceptas. De esta manera podras levantar el sistema.

• Primero desactiva la opcion restaurar el sistema, y activa la opcion ver archivos ocultos mi pc-->panel de control-->opciones de carpetas--->ver

• Luego escaneas el sistema con, por lo menos, dos antivirus onlines de mi firma.

• Realiza todo los escaneos con los programas antispyware y fijate los programas que intentan conectarse. Si no tienes puedes bajarte el sygate de mi firma.

• Por ultimo pega tu log del hijackthis. Aca te doy unas instrucciones:
  Que es el HijackThis
  Es una pequeña herramienta (Para usuarios avanzados) que nos permite detectar y eventualmente, eliminar las modificaciones hechas por Browsers hijackers tales como: "Toolbars, Paginas de Inicio, Paginas de búsqueda, spywares, adwares, troyanos, malwares, bho, etc..
  
  Iniciando el HijackThis
  1- Descargar la ultima versión de HijackThis 1.99.1
  
  2- Descomprimir el archivo HijackThis.zip y crearle su propia carpeta (con nombre por ej: C:\HJT) para ponerlo dentro.
  
  3- Ejecutarlo con todos los programas cerrados (MSN, IE, KaZaa, etc..)y presionar
  'Do a system scan and save a logfile"
  
  El HijackThis escaneara nuestro sistema y nos dará automáticamente la opción de guardar el 'Log' para poder copiarlo y pegarlo en un nuevo tema en el Foro de HijackThis.

Saludos
Espero tus respuestas

Gracias Porronfijo_ por intentar ayudarme...

Lamentablemente no pude llegar al 4to. paso de la solución propuesta porque lamentablemente no recuerdo la clave de administrador del sistema, ya que los usuarios que generalmente usan la PC tienen privilegios de administrador.

Estuve buscando en Internet alguna manera de borrar dicha clave o de poder cambiarla de alguna manera para así cuando me fuera requerida en la reparación pudiera insertarla correctamente. Llegué a bajar y probar un programa llamado "Emergency Boot CD-ROM, version 0.6.1" que aparentemente sirve para este y otros propósitos pero el mismo no llegó a ser testeado en un sistema operativo como el mío (Windows XP SP2) y más allá de probarlo lamentablemente no funcionó.

Alguién conocé algún método para ayudarme??

Muchísimas gracias a todos los que lean este mensaje.
Salu2 para to2,
Davo

¿Los que generalmente la usan?... ¿No eres tú uno de ellos?

Yo al igual que otros usuarios con privilegios de administradores hacemos uso de la PC. Sin embargo Windows XP crea al instalar el sistema operativo un usuario único llamado "administrador". De ese usuario es que necesito la clave y no la recuerdo.

Alguién me puede ayudar??
Dalu2 a to2,
Davo

buenas a mi me pasa algo parecido al usuario este. Hize lo del hijacker y me ha dado esto:

ogfile of HijackThis v1.99.1
Scan saved at 17:36:30, on 18/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\ARCHIV~1\APOD\apod.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\mIRC\mirc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\JORDIF~1\CONFIG~1\Temp\Rar$EX01.422\Hi jackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [E06EXLRD_216323656] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [apod] C:\ARCHIV~1\APOD\apod.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://malka.no-ip.info
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91DA55A6-5188-4785-BE94-D5CB218746E7}: NameServer = 62.36.225.150 62.37.228.20
O17 - HKLM\System\CS3\Services\Tcpip\..\{91DA55A6-5188-4785-BE94-D5CB218746E7}: NameServer = 62.36.225.150 62.37.228.20
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

espero que me podais ayudar. Salu2

Buana a mi pasa lo mismo que a ti Davo_uy con una portatil, me gustaria saber si encontraste una solución?

BUENO ESE PROGRAMA HJACK ES UN VIRUS OCULTA PARA EMPEZAR SI HAY UNA FORMA PARA BORRAR LA CONTRASEÑA DEL USUARIO lo que tienes que hacer es entrar por el cd de windows al D.O.S. entras y escribes esta direccion c:\windows/system32/config si no sabes como ingresar haces esto
cuando entras te aparece por defecto c:\windows/ ahi escribes lo que esta entre comillas "cd system32/config" y le das enter luego escribes "erase sam" y le das enter enla carpeta sam se almacen todas las contraseñas de los usuarios y asi podras acceder sin ningun problema ojala que te sirva esto o sino reinstala el windows

tema de hace dos anos...

tema cerrado