• Registrarse
  • Iniciar sesión


  • Resultados 1 al 10 de 10

    No puedo iniciar mi pc en modo normal. (Solucionado)

    Resumen del tema: No puedo iniciar mi pc en modo normal. (Solucionado) - Hola. Tengo un virus en mi Portatil (bueno, no es mio, de un amigo), el cual no me deja entrar en modo normal, solo en modo seguro. Aclaro que tiene Windows Vista Home Premium. Mi ...

      
    1. #1
      Usuario Avatar de Jjbsly
      Registrado
      ene 2009
      Ubicación
      Madrid
      Mensajes
      63

      No puedo iniciar mi pc en modo normal. (Solucionado)

      Hola.
      Tengo un virus en mi Portatil (bueno, no es mio, de un amigo), el cual no me deja entrar en modo normal, solo en modo seguro.
      Aclaro que tiene Windows Vista Home Premium.
      Mi amigo paso el Panda Activescan Online y le detecto unos cuantos virus (No se cuales son)
      Yo he pasado Spybot S&D y os pongo el reporte:


      FunWebProducts: [SBI $7AEE25A5] ID de clase (Clave del registro, fixed)
      HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}

      MyWay.MyWebSearch: [SBI $28164D29] Clase raíz (Clave del registro, fixed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AskTBar.SettingsPlugin

      MyWay.MyWebSearch: [SBI $28164D29] Clase raíz (Clave del registro, fixed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AskTBar.SettingsPlugin.1

      MyWay.MyWebSearch: [SBI $28164D29] ID de clase (Clave del registro, fixed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE063DBB-4EC0-403e-8DD8-394C54984B2C}

      MyWay.MyWebSearch: [SBI $28164D29] Clase raíz (Clave del registro, fixing failed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AskTBar.SettingsPlugin.1

      MyWay.MyWebSearch: [SBI $28164D29] ID de clase (Clave del registro, fixing failed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE063DBB-4EC0-403e-8DD8-394C54984B2C}

      MyWay.MyWebSearch: [SBI $28164D29] Clase raíz (Clave del registro, fixing failed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AskTBar.SettingsPlugin

      MyWay.MyWebSearch: [SBI $1D7941E9] Configuración (Clave del registro, fixed)
      HKEY_LOCAL_MACHINE\SOFTWARE\AskTBar

      MyWay.MyWebSearch: [SBI $5DC50BA1] Configuración de desinstalación (Clave del registro, fixed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AskTBar Uninstall

      MyWay.MyWebSearch: [SBI $5DC50BA1] Configuración de desinstalación (Clave del registro, fixing failed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AskTBar Uninstall

      MyWay.MyWebSearch: [SBI $0EEF2CA2] Carpeta de programa (Carpeta, fixed)
      C:\Program Files\AskTBar\

      MyWay.MyWebSearch: [SBI $9F9EE993] Carpeta de programa (Carpeta, fixed)
      C:\Program Files\AskTBar\bar\

      MyWay.MyWebSearch: [SBI $51932F4B] Carpeta de programa (Carpeta, fixed)
      C:\Program Files\AskTBar\bar\1.bin\

      MyWay.MyWebSearch: [SBI $5E72E90D] Biblioteca (Archivo, fixed)
      C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL
      Properties.size=0
      Properties.md5=D41D8CD98F00B204E9800998ECF8427E

      MyWay.MyWebSearch: [SBI $5E72E90D] Biblioteca (Archivo, fixed)
      C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
      Properties.size=0
      Properties.md5=D41D8CD98F00B204E9800998ECF8427E

      Win32.Agent.icb: [SBI $A0EF69BD] Configuración (Valor del registro, fixed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\mid

      Virtumonde.sdn: [SBI $444114D8] Configuración de autoejecución (autochk) (Valor del registro, fixed)
      HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk

      Virtumonde.sdn: [SBI $444114D8] Archivo de programa (Archivo, fixed)
      C:\Windows\system32\config\SYSTEM~1\protect.dll
      Properties.size=0
      Properties.md5=D41D8CD98F00B204E9800998ECF8427E

      Virtumonde.sdn: [SBI $444114D8] Configuración de autoejecución (autochk) (Valor del registro, fixing failed)
      HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk

      Virtumonde.sdn: [SBI $444114D8] Configuración de autoejecución (autochk) (Valor del registro, fixed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk

      Virtumonde.sdn: [SBI $444114D8] Archivo de programa (Archivo, fixed)
      C:\Windows\system32\autochk.dll
      Properties.size=0
      Properties.md5=D41D8CD98F00B204E9800998ECF8427E

      Virtumonde.sdn: [SBI $444114D8] Configuración de autoejecución (autochk) (Valor del registro, fixing failed)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk

      Virtumonde.sdn: [SBI $B1A14C09] Biblioteca (Archivo, fixed)
      C:\Users\Javi\protect.dll
      Properties.size=0
      Properties.md5=D41D8CD98F00B204E9800998ECF8427E

      Virtumonde.sdn: [SBI $B1A14C09] Biblioteca (Archivo, fixed)
      C:\Windows\System32\config\systemprofile\protect.dll
      Properties.size=0
      Properties.md5=D41D8CD98F00B204E9800998ECF8427E


      --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

      2009-01-26 blindman.exe (1.0.0.8)
      2009-01-26 SDFiles.exe (1.6.1.7)
      2009-01-26 SDMain.exe (1.0.0.6)
      2009-01-26 SDShred.exe (1.0.2.5)
      2009-01-26 SDUpdate.exe (1.6.0.12)
      2009-01-26 SDWinSec.exe (1.0.0.12)
      2009-01-26 SpybotSD.exe (1.6.2.46)
      2009-03-05 TeaTimer.exe (1.6.6.32)
      2009-09-09 unins000.exe (51.49.0.0)
      2009-01-26 Update.exe (1.6.0.7)
      2009-09-07 advcheck.dll (1.6.4.18)
      2007-04-02 aports.dll (2.1.0.0)
      2008-06-14 DelZip179.dll (1.79.11.1)
      2009-01-26 SDHelper.dll (1.6.2.14)
      2008-06-19 sqlite3.dll
      2009-01-26 Tools.dll (2.1.6.10)
      2009-01-16 UninsSrv.dll (1.0.0.0)
      2009-05-19 Includes\Adware.sbi (*)
      2009-09-08 Includes\AdwareC.sbi (*)
      2009-01-22 Includes\Cookies.sbi (*)
      2009-05-19 Includes\Dialer.sbi (*)
      2009-09-08 Includes\DialerC.sbi (*)
      2009-01-22 Includes\HeavyDuty.sbi (*)
      2009-05-26 Includes\Hijackers.sbi (*)
      2009-09-08 Includes\HijackersC.sbi (*)
      2009-06-23 Includes\Keyloggers.sbi (*)
      2009-09-08 Includes\KeyloggersC.sbi (*)
      2004-11-29 Includes\LSP.sbi (*)
      2009-08-19 Includes\Malware.sbi (*)
      2009-09-08 Includes\MalwareC.sbi (*)
      2009-03-25 Includes\PUPS.sbi (*)
      2009-09-08 Includes\PUPSC.sbi (*)
      2009-01-22 Includes\Revision.sbi (*)
      2009-01-13 Includes\Security.sbi (*)
      2009-09-08 Includes\SecurityC.sbi (*)
      2008-06-03 Includes\Spybots.sbi (*)
      2008-06-03 Includes\SpybotsC.sbi (*)
      2009-04-07 Includes\Spyware.sbi (*)
      2009-09-08 Includes\SpywareC.sbi (*)
      2009-06-08 Includes\Tracks.uti
      2009-08-25 Includes\Trojans.sbi (*)
      2009-09-08 Includes\TrojansC.sbi (*)
      2008-03-04 Plugins\Chai.dll
      2008-03-05 Plugins\Fennel.dll
      2008-02-26 Plugins\Mate.dll
      2007-12-24 Plugins\TCPIPAddress.dll

      Le pase el ESET Online Scanner y detecto los mismos virus que el Spybot (LOS PASE LOS DOS A LA VEZ Y DETECTO LOS MISMO POR ESO) y los elimine

      En el reporte, lo que pone fixing failed, es que no pudo eliminarlos, pero al reiniciar los eliminó.
      Tambien los elimine de la copia de seguridad.

      Pero sigo teniendo el mismo problema, no puedo iniciar en modo normal, al escribir la contraseña de administrador se me bloquea. A veces sale una ventana azul, con letras blancas

      He intentado hacer los 11 pasos y no puedo instalar SUPERAntispyware, que en modo seguro no puedo


      Ayudadme
      Un saludo

      EDIT 1: Voy a quitar la contraseña de administrador y en otro edit os cuento si funciona, ya que puede ser un error de eso.



      EDIT 2: Bueno, pues quite la contraseña e inicia correctamente, pero a los 5 segundos, se bloquea, como siempre.

      EDIT 3: Lo analice con MalwareBytes y os pego el reporte:

      Malwarebytes' Anti-Malware 1.40
      Versión de la Base de Datos: 2769
      Windows 6.0.6002 Service Pack 2 (Safe Mode)

      10/09/2009 3:26:06
      mbam-log-2009-09-10 (03-26-06).txt

      Tipo de examen : Examen Completo (C:\|D:\|)
      Objetos examinados: 189870
      Tiempo transcurrido: 34 minute(s), 9 second(s)

      Procesos en Memoria Infectados: 0
      Módulos en Memoria Infectados: 0
      Claves del Registro Infectadas: 0
      Valores del Registro Infectados: 0
      Elementos de Datos del Registro Infectados: 0
      Carpetas Infectadas: 0
      Ficheros Infectados: 2

      Procesos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Módulos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Claves del Registro Infectadas:
      (No se han detectado elementos maliciosos)

      Valores del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Carpetas Infectadas:
      (No se han detectado elementos maliciosos)

      Ficheros Infectados:
      C:\Windows\Temp\nsrbgxod.bak (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\ctbswld.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
      Última edición por Jjbsly fecha: 09/09/09 a las 21:26:35

    2. #2
      Moderador Gral.
      Avatar de Tyny's
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.421

      Re: No puedo iniciar mi pc en modo normal

      Buenas Jjbsly

      Vamos a hacer lo siguiente todo en modo seguro.

      Descarga:

      http://www.infospyware.com/antivirus-gratis/drweb/


      Ejecuta Dr. Web Cure-IT
      primero realiza un chequeo express
      Despues escojes escaneo completo eliminas lo que encuentre o curas lo que encuentre.
      Terminado el escaneo. Ir a Archivo > Grabar lista de Informes... guardas el reporte.
      Descarga ARGENTE REGITRY CLEANER
      Lo instalas y ejecutas según SU MANUAL , para limpiar el registro de windows

      Realiza una comprobacion de errores en el disco vas a EQUIPO/click dercho sobre DISCO C/ PROPIEDADES/ HERRAMIENTAS/ COMPROBAR AHORA.
      Tilda los DOS casilleros y le das a iniciar.
      Reinicia la pc y comenzará el proceso..

      Pega aqui el reporte de Dr, web y nos comentas que tal funciona tu pc

      SAludos

    3. #3
      Usuario Avatar de Jjbsly
      Registrado
      ene 2009
      Ubicación
      Madrid
      Mensajes
      63

      Re: No puedo iniciar mi pc en modo normal

      Hice el scan express y me puso que si queria restaurar el archivo de hosts.
      Le di a si
      Antes de restaurarlo, mire a ver como estaba este archivo de hosts, por curiosidad.
      Estaba llena de webs de publicidad y cosas asi
      En el express no detecto nada
      En el Completo detecto 7 archivos .reg de la copia de seguridad del registro que hice con Spybot.(Me imagino, que sera la copia de seguridad, ya que los archivos estan en carpetas de spybot y los virus de recuperacion los elimine) Esta copia la hice DESPUES de buscar problemas y solucionarlos.
      ¿Quiere decir eso que tengo el registro infectado?
      No los elimine, ni hice el log, porque justo cuando le di a grabar informe se me puso una pantalla azul y se me reinicio.
      Pase el argente varias veces y los elimine todos hasta que no quedo ningun error.

      ¿Vuelvo a pasar el Dr.Web?
      Última edición por Jjbsly fecha: 10/09/09 a las 19:05:55

    4. #4
      Moderador Gral.
      Avatar de Tyny's
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.421

      Re: No puedo iniciar mi pc en modo normal

      Si repetilo. y pega el reporte de panda online que hizo tu amigo; si no esta a mano repetilo.
      si no has comprobrado el disco en buscqueda de erroe hacelo por favor.
      Saludos

    5. #5
      Usuario Avatar de Jjbsly
      Registrado
      ene 2009
      Ubicación
      Madrid
      Mensajes
      63

      Re: No puedo iniciar mi pc en modo normal

      He intentado comprobar errores. Le doy a "Iniciar" y no hace nada, y reinicio y tampoco, creo que en modo seguro no funciona.

      Dr.WEB:

      Scan Express: No detectó nada

      Escaneo Completo: Detectó 7 archivos sospechosos

      No te puedo enseñar el informe ya que se me volvio a poner la pantalla azul. Yo fui muy precavido e hice una captura de pantalla.

      En la imagen, el proceso no ha acabado, pero aseguro que al finalizar habia los mismos virus.
      Intente hacer una captura de pantalla al finalizar pero se apagó.

      Imagen:



      Ahora estoy haciendo el scan con el panda.
      Luego, en otro edit pongo el informe

      EDIT:
      No he podido hacer el analisis. En modo seguro no puedo (mi amigo lo habia hecho en modo normal cuando este funcionaba)
      "Lo siento, no se ha podido terminar la descarga debido a un error. Vuelva a intentarlo por favor."
      Lo he intentado varias veces y no puedo

      ¿Elimino de forma manual los resultados que me dio el dr web?

      Otra pregunta, que la hice antes y no respondiste:
      Cita Originalmente publicado por Jjbsly Ver Mensaje
      "En el Completo detecto 7 archivos .reg de la copia de seguridad del registro que hice con Spybot.(Me imagino, que sera la copia de seguridad, ya que los archivos estan en carpetas de spybot y los virus de recuperacion los elimine) Esta copia la hice DESPUES de buscar problemas y solucionarlos.
      ¿Quiere decir eso que tengo el registro infectado?
      "
      EDIT:
      Acabo de ver una cosa del virus
      Me parecio muy raro.
      BUeno, pues entre en internet explorer (aunque suelo usar firefox), busque en google, "kaspersky online"
      Y se me redirigio a esta pagina:

      http://nitrotnet.com/in.cgi?4&parameter=kaspersky+online&ur=1&HTTP_REFERER=32207

      Estoy seguro, de que esa pagina es del virus
      Si te fijas en la URL pone kaspersky+online, quiere decir que el virus ha registrado lo que yo he buscado en google y me ha mandado a un escaneador de virus TOTALMENTE FALSO.

      Me ha dicho que tengo virus y que instale un antivirus que es rogue (Total Security). Pero se que es un virus
      Última edición por Jjbsly fecha: 10/09/09 a las 20:05:46

    6. #6
      Moderador Gral.
      Avatar de Tyny's
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.421

      Re: No puedo iniciar mi pc en modo normal

      Buenas! tu pregunta enrelacion a los archivos .reg estaba ya contestada corresponden la copia de seguridad de Spybot. Si tenes una malware perteneciente a la serie de antivirus falsos ellos son bastentes resistentes. Este dato es fundamental para poder seguiir con el proceso de desinfeccion. ya sabemos de que bicho se trata,; intentamos con Delpsguard a ver si desbloquea algunas las funciones bloquiadas.
      Descarga actualiza esta herramients:






      Ejecuta Delpsguard conforme a su manual.
      seleciona desinfectar windows
      restablecer archivos de hots
      una ves terminado el proceso , reinica en modo normal , busaca el reporte generado en esta ubicacion : a C:\Reportar_a_forospyware.txt, este reporte es generado por DelPSGuard, donde muestra las acciones tomadas, durante el analisis.


      pegalo aca y contanos como funciona la pc

      Saludos

    7. #7
      Usuario Avatar de Jjbsly
      Registrado
      ene 2009
      Ubicación
      Madrid
      Mensajes
      63

      Re: No puedo iniciar mi pc en modo normal

      Cita Originalmente publicado por tyny's Ver Mensaje
      Buenas! tu pregunta enrelacion a los archivos .reg estaba ya contestada corresponden la copia de seguridad de Spybot. Si tenes una malware perteneciente a la serie de antivirus falsos ellos son bastentes resistentes. Este dato es fundamental para poder seguiir con el proceso de desinfeccion. ya sabemos de que bicho se trata,; intentamos con Delpsguard a ver si desbloquea algunas las funciones bloquiadas.
      Descarga actualiza esta herramients:






      Ejecuta Delpsguard conforme a su manual.


      una ves terminado el proceso , reinica en modo normal , busaca el reporte generado en esta ubicacion : a C:\Reportar_a_forospyware.txt, este reporte es generado por DelPSGuard, donde muestra las acciones tomadas, durante el analisis.


      pegalo aca y contanos como funciona la pc

      Saludos
      Pues no me deja la opcion 1.
      Me pone "El sistema no encuentra el archivo por lotes especificado: _bin"
      O algo asi.
      Casi no me da tiempo a leerlo por que se cierra muy rapido.
      Respecto a reinciar en modo normal, no me deja, se bloquea
      El reporte no lo hace
      Analicé el ordenador con el Kaspersky online y me detectó un archivo pdf, del antivirus rogue.
      Y el vitus es:
      Exploit.Win32.Pidief.bpx

      No creo que tenga un virus rogue, porque cuando me aparecio la ventana del virus le di a todo que no y digo yo que no se habra instalado
      Última edición por Jjbsly fecha: 10/09/09 a las 22:58:27

    8. #8
      Moderador Gral.
      Avatar de Tyny's
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.421

      Re: No puedo iniciar mi pc en modo normal

      Antes de repara el sistema vamos a utilizar un disco de rescate el cual lo vas a tener que grabar desde otra pc y luego usarlo en la tuya En el caso que presentes inconvenientes. Para que se utilizan:

      1.- Cuando la acción de el/los malwares impide que el sistema operativo arranque normalmente.

      2.- Cuando el sistema operativo puede arrancar, pero es tan severo el daño causado por el/los malwares, que no permite ejecutar ninguna herramienta para su erradicación.

      Aqui te dejo la descarga y su manual (fundamental):






      Esperamos tu respuesta!

      Saludos!
      Gracias DAmi

      PD. consegui tambien un CD de instalacion de windows
      Última edición por Tyny's fecha: 10/09/09 a las 23:48:43

    9. #9
      Usuario Avatar de Jjbsly
      Registrado
      ene 2009
      Ubicación
      Madrid
      Mensajes
      63

      Wink Re: No puedo iniciar mi pc en modo normal

      Te pego el reporte del Kaspersky RD:

      Scan: completed 9/12/09 1:23 AM (events: 12, objects: 111575, time: 03:36:39)
      9/11/09 9:46 PM Task started
      9/11/09 10:33 PM Detected: Packed.Win32.TDSS.z /discs/D:/Windows/System32/rotscxhgriqgvc.dll
      9/11/09 10:33 PM Detected: Packed.Win32.TDSS.z /discs/D:/Windows/System32/rotscxmqedeyei.dll
      9/11/09 10:33 PM Detected: Packed.Win32.TDSS.z /discs/D:/Windows/System32/rotscxyerpbpoi.dll
      9/11/09 10:44 PM Deleted: Packed.Win32.TDSS.z /discs/D:/Windows/System32/rotscxhgriqgvc.dll
      9/11/09 10:44 PM Deleted: Packed.Win32.TDSS.z /discs/D:/Windows/System32/rotscxmqedeyei.dll
      9/11/09 10:44 PM Deleted: Packed.Win32.TDSS.z /discs/D:/Windows/System32/rotscxyerpbpoi.dll
      9/11/09 10:52 PM Detected: Packed.Win32.TDSS.z /discs/D:/Windows/System32/drivers/rotscxdybmpnfi.sys
      9/11/09 11:05 PM Deleted: Packed.Win32.TDSS.z /discs/D:/Windows/System32/drivers/rotscxdybmpnfi.sys
      9/11/09 11:12 PM Detected: Packed.Win32.TDSS.z /discs/D:/Windows/Temp/rotscxdvxdesvpeo.tmp
      9/11/09 11:12 PM Deleted: Packed.Win32.TDSS.z /discs/D:/Windows/Temp/rotscxdvxdesvpeo.tmp
      9/12/09 1:23 AM Task completed


      Y, el problema ya se ha solucionado, funciona bien.
      El virus del antivirus rogue era un exploit. Entonces ese virus entro explotando una vulnerabilidad de mi ordenador.
      He actualizado mi ordenador, por si acaso, a lo mejor el bug ya esta solucionado.

      Una pregunta:
      ¿Como es que el aspersky online no detecto el virus y el aspersky rescue disk si?

      Ya he reportado este tema para que lo cierren, no hace falta que lo hagas tu

      Y sobretodo, muchas gracias por ayudarme
      No sabes lo que te lo agradezco

    10. #10
      Moderador Gral.
      Avatar de Tyny's
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.421

      Re: No puedo iniciar mi pc en modo normal

      Te Felicito buen trabajo
      Excelente que hayas actualizado el sistema, muy bien 10.
      En cuanto a tu pregunta tiene otro motor de busqueda por eso el ratio de deteccion es mayor, ademas de analizar sectores del arranque que son inaccesibles desde le sistema operativo.

      si no tenes ninguna duda mas damos el tema por solucionado!