Daño en el registro despues de infeccion

Estado
Cerrado para nuevas respuestas

zetor

Nuevo Miembro
Miembro
Hola, es la segunda vez que me infecto con lo mismo (lamentablemente cai de nuevo). La primera vez sali indemne pero ahora me quedo la estrella de MS al lado del reloj que me dice que no se puede realizar la validacion de Windows original.

No es un unico virus sino un paquete con virus como Zlod.downloader.vcd, Smitfraud-C, Trojan Fake alert (Virus alert), Smitfraud-C.MSVPS, Rogue.link y varios mas..

En este momento no tengo mas sintomas que el que menciono.

Esa estrella también aparecio la primera vez que me infecte y desaparecio después de desinfectar con : Malware´s bit- antimalware, SUPERAntispyware y Spybot S&D en ese orden.

La diferencia esta vez es que inverti el orden empezando con el Spybot y lo que creo es que al permitir o denegar cambios en el registro que me marcaba el TeaTimer, se produjo el problema que cito.

Agradeceria que me ayuden a solucionar el problema.

Gracias
 

cmaghenzani

Nuevo Miembro
Miembro
Busca Panda Active Scan, el escaneo online. Luego de que lo escaneas y te encuentra los "virus", guardas en un archivo txt con el siguiente boton: Export To .txt (un dibujo de un txt)

Adentro tendras la dirección de cada virus dentro de tu pc, los borras y reinicias.

Avisame si te funciono
 

zetor

Nuevo Miembro
Miembro
Busca Panda Active Scan, el escaneo online. Luego de que lo escaneas y te encuentra los "virus", guardas en un archivo txt con el siguiente boton: Export To .txt (un dibujo de un txt)

Adentro tendras la dirección de cada virus dentro de tu pc, los borras y reinicias.

Avisame si te funciono
Gracias por tu interes cmaghenzani , pero si leiste bien ya desinfecte.

Igualmente y como de rutina estoy scaneando con Kaspersky online.

El problema esta en la secuela que dejo atras la infeccion lo entiendes?

Saludos
 

zetor

Nuevo Miembro
Miembro
Gracias por tu consejo patricioirrazabal, pero mi Windows ya estaba validado y no se que piensas pero temo que una nueva validacion sea contraproducente . En todo caso intentaria validar primero y ver el resultado . El problema esta en que el proceso de validacion se interrumpe, te pongo una captura



Hasta ahora intente solucionarlo siguiendo el link del artículo 822798 y realice los métodos del 1 al 5 sin lograrlo, el metodo 6 no puedo seguirlo porque no esta esa entrada en el registro.

Incluso la estrella no sale normal, aquí te la muestro



De todos modos ya la quite con solo borrar el WgaTray que estaba en System32, pero sigo sin poder validar.

Gracias de nuevo por tu ayuda
 

Pato_py

Miembro Activo
Miembro
Hola zetor.

Esa estrella también aparecio la primera vez que me infecte y desaparecio después de desinfectar con : Malware´s bit- antimalware, SUPERAntispyware y Spybot S&D en ese orden.

La diferencia esta vez es que inverti el orden empezando con el Spybot y lo que creo es que al permitir o denegar cambios en el registro que me marcaba el TeaTimer
Primeramente te recomendaría que te fijes en estos programas que tu mencionaste, si no han dejado algún respaldo de los archivos borrados, o copias de seguridad de las claves del registro borradas, y restauralas, con esto, me supongo que todo volveria a ser igual que antes, y aquí te aconsejo postees en el foro de los expertos en desinfeccion, que te ayudaran a desinfectar de forma segura tu PC y utilizando correctamente las herramientas de desinfeccion.

Si no te funciona el paso anterior, la segunda opción seria que restaures tu sistema a un punto anterior a la desinfeccion con los programas que comentaste anteriormente (si es que tienes puntos de restauracion).:

Restaurar sistema en Windows XP.

Si consigues restaurar sistema, luego te aconsejo pases por el foro de los expertos en desinfeccion, ellos te ayudaran a limpiar tu Pc de forma segura, y así te evitarias este tipo de inconvenientes por usar de mala manera las herramientas de desinfeccion, use un spoiler, debes hacer clic en el boton mostrar:

Descarga el programa Hijackthis y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\).

Cierra programas P2P y otras aplicaciones que no arranquen con Windows.

Primero da click en el botón "Config", y aparecerán 7 opciones . Fíjate que no estén tildadas la primera ( “Mark everything found for fixing alter scan”) y la última (“Run Hijack This scan at startup and show it ítems are fond”).Luego presiona "Back".

Ejecútalo y presiona el botón " scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta al nuevo tema.

Comienza un nuevo post y pega el log aquí:

Logs HijackThis

Y no creo que tengas problemas si intentas validar de nuevo con el metodo 2 que te dije anteriormente, en muchos casos yo ya lo hice y varias veces, pero bueno fueron con XP originales, aunque si estas usando un XP modificado, alli tendria que investigar mas del tema.

Y voy a consultar a uno de los expertos del foro de seguridad, si que herramienta pudo haber sido la que ha creado el problema, y de que forma solucionarlo.
 

zetor

Nuevo Miembro
Miembro
Hola de nuevo patricioirrazabal , valoro y te agradezco tu interes en ayudarme.

En primer lugar debo decirte que ya había intentado restaurar sistema y dio restauracion incompleta con cualquier pto que eligiera ( RS falla cuando mas lo necesitamos )

Por lo de recurrir a los expertos en desinfeccion, no se.. lo que sucede es que ya no estoy infectado.

Respecto a las herramientas que use, pensamos igual , fijate que la primera vez que me infecte con lo mismo pude desinfectar y no me quedo ninguna consecuencia. La unica diferencia esta vez es que inverti el orden en que las use y empeze con el Spybot el que apenas abrirlo me empezo a tirar mensajes de entradas cambiadas en el registro y a pedirme autorizar o denegar esos cambios y pienso que aquí puede estar la punta del ovillo. Si bien no hay backup porque son entradas del registro, si hay un log que podría decirnos algo. Claro que aquí si haria falta que un experto en registro lo vea, te pongo ese log

17/10/2008 18:56:03 Permitido (based on user decision) value "Malwarebytes' Anti-Malware" (new data: "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent") agregado in System Startup global entry!

17/10/2008 18:56:51 Denegado (based on user decision) value "{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3}" (new data: "") eliminado in User-specific browser toolbar!

17/10/2008 18:56:59 Denegado (based on user decision) value "Start Page" (new data: "http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") cambiado in Browser page!

17/10/2008 18:57:14 Denegado (based on user decision) value "Search Page" (new data: "http://go.microsoft.com/fwlink/?LinkId=54896") cambiado in Browser page!

17/10/2008 18:57:23 Denegado (based on user decision) value "Local Page" (new data: "%SystemRoot%\system32\blank.htm") agregado in Browser page!

17/10/2008 18:57:27 Denegado (based on user decision) value "Start Page" (new data: "http://go.microsoft.com/fwlink/?LinkId=69157") cambiado in Browser page!

17/10/2008 18:57:34 Denegado (based on user decision) value "Default_Page_URL" (new data: "http://go.microsoft.com/fwlink/?LinkId=69157") cambiado in Browser page!

17/10/2008 18:57:36 Denegado (based on user decision) value "Default_Search_URL" (new data: "http://go.microsoft.com/fwlink/?LinkId=54896") cambiado in Browser page!

17/10/2008 18:57:41 Denegado (based on user decision) value "AutoRun" (new data: "") eliminado in Command processor!

17/10/2008 18:57:44 Denegado (based on user decision) value "load" (new data: "") eliminado in NT startup!

17/10/2008 18:58:25 Denegado (based on user decision) value "ngwstxfd" (new data: "{D5E8FBE0-8E1B-473D-A196-99FB6572A6FA}") agregado in Shell services!

17/10/2008 18:58:36 Denegado (based on user decision) value "qrbgltos" (new data: "{2F2C3921-99C1-4CBF-936E-4283DC141058}") agregado in Shell services!

17/10/2008 18:58:43 Denegado (based on user decision) value "Start Page" (new data: "http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") cambiado in Browser page!

17/10/2008 18:58:49 Denegado (based on user decision) value "ngwstxfd" (new data: "{19559270-C7DD-4958-84FF-C576385955F1}") agregado in Shell services!

17/10/2008 20:19:30 Denegado (based on user decision) value "ngwstxfd" (new data: "{69196E7D-86B3-4F56-B2DF-71EE672E77FA}") agregado in Shell services!

17/10/2008 20:33:50 Permitido (based on user decision) value "{77062945-6728-43E4-ADC4-CF45E7E1AF1A}" (new data: "") eliminado in Browser Helper Object!

17/10/2008 21:38:24 Denegado (based on user decision) value "Malwarebytes' Anti-Malware" (new data: "") eliminado in System Startup global entry!

18/10/2008 14:38:16 Denegado (based on user decision) value "Malwarebytes' Anti-Malware" (new data: "") eliminado in System Startup global entry!

18/10/2008 14:38:46 Permitido (based on user decision) value "{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3}" (new data: "") eliminado in User-specific browser toolbar!

18/10/2008 14:40:33 Permitido (based on user decision) value "Search Page" (new data: "http://go.microsoft.com/fwlink/?LinkId=54896") cambiado in Browser page!

18/10/2008 15:16:35 Denegado (based on user decision) value "Default_Page_URL" (new data: "http://go.microsoft.com/fwlink/?LinkId=69157") cambiado in Browser page!

18/10/2008 15:16:36 Denegado (based on user decision) value "Default_Search_URL" (new data: "http://go.microsoft.com/fwlink/?LinkId=54896") cambiado in Browser page!

Un saludo
 

Pato_py

Miembro Activo
Miembro
dio restauracion incompleta con cualquier pto que eligiera ( RS falla cuando mas lo necesitamos )
Esto es la pura verdad :eek:

Aqui ya le estoy escribiendo a uno de los expertos en desinfeccion que nos respondera sobre el log de las entradas del registro modificadas que nos dejaste, y después de que el nos diga su opinion, sabremos que indicaciones darte para seguir buscando la solucion mi amigo.

Y espero comprendas que el registro es una parte delicada del sistema operativo, y con mas razon aun siendo usado por programas de desinfeccion, por esto debemos esperar la opinion de nuestros expertos, si nosotros seguimos dandote indicaciones por nuestra cuenta, tal vez sin querer hagamos mas problema, mejor ser prudentes y esperar la opinion de nuestros expertos.

En breve recibiremos una respuesta que nos orientara y sabremos así que indicaciones darte.
 

Pato_py

Miembro Activo
Miembro
Hola zetor.

Recibi por MP la respuesta del maestro Caito, y me dio autorizacion de que sigamos ayudandote nosotros aquí en Windows XP, en vista que tu equipo ya no esta infectado.

Y en este caso mi amigo, creo que tu solucion directa seria reinstalar el Windows XP sin perder tus datos, con esto repararias de raiz tu sistema operativo, y claro, no te preocupes de tus datos que no lo perderas.

Para esto necesitaras el CD de instalación del Windows XP.

Tutorial ilustrado para reinstalar el sistema operativo sin perder los datos.

Ten en cuenta que si tu sistema operativo es Windows XP SP3, para poder repararlo necesitaras el instalador del XP con el SP3, si tu Windows es SP2, necesitaras el instalador con el SP2.

Con esto se volveria a regenerar el registro con las claves de activacion originales del windows, y ya no tendras problemas.

Nos cuentas.
 

zetor

Nuevo Miembro
Miembro
Hum, esa era una posibilidad que la tenia en la manga pero para dejarla como ultimo recurso jeje. Supongo que Caito ya habra visto el log y no hay nada que hacer no?

Por el momento estoy tranquilo por lo de las actualizaciones de Windows porque estoy al dia hasta el último martes 13 de Oct, las proximas saldran el próximo 11 de Nov no?

Pero aquí tengo otra consulta para hacer ,si no corresponde hacerla aquí me lo dices y abro otro thread.

Lo que voy a hacer es formatear aprovechando que ya estaría tocando y la consulta es que tengo el CD de Windows con el SP3 y mi disco es un SATA. A este CD me integraron los drivers para el SATA , pero NO me van, me provocan pantallazos azules: entonces la pregunta es como instalo Windows SIN que se instalen los drivers del CD y en cambio instalar los que tengo en un diskette que esos SI funcionan sin problemas.

Un saludo
 
Estado
Cerrado para nuevas respuestas
Arriba Pie