Posible virus... ayuda

Estado
Cerrado para nuevas respuestas
A

ashgar

Guest
#1
Hola a todos. Resulta que ayer se me fue el doble click sobre un exe sospechoso: un zip autoextraible con un par de claves de registro u algo así. Se supone que era un patch para el vampire bloodlines pero no me dio por comprobar si era el único name del archivo (y el caso es que no había comentarios... inocente de mí).

En principio no pasó nada raro, pero me dió la paranoia y me puse a mirar procesos del sistema... había un par de entradas que no me sonaban para nada, vhkmsrv.exe y burndl32.exe (ni por google ni por vsantivirus he encontrado nada). Terminé esos procesos y me quedé tan pancho.

Ya absorto en otras historias voy y reinicio el pc... Pues desde entonces:

- no puedo abrir ejecutables, aparece un mensaje de error que me dice:

quote:-ruta del exe-

La Ruta especificada no existe.

Compruebe la ruta e inténtelo de nuevo

Me mosquea porque el texto no está centrado... tengo que abrir los exe usando "ejecutar como..." o a través de un batch.

- no puedo modificar o borrar entradas o claves del registro

- no puedo usar las herramientas del panel de control (porque el rundll32.exe no chufla cuando se le llama)

- tengo un stresssss encima que no sé cómo quitármelo

He pasado mi karpersky actualizado, nod32 actualizado, el scan online de Panda, he buscado en google, en vsantivirus en... Mi análisis preliminar me lleva a pensar que lo mismo era un troyano que ha abierto una backdoor. Aunque uso el Kerio 2.1.5 y un router (cuyo único puerto abierto es el de la mula).

Alguien sabe qué puede estar pasando? Por favor, AYUDA!!

un saludo

p.d. Tengo Windoze XP pro SP1
 

alnitak

Ex-Admin
Miembro
#2
Intenta restaurar el sistema a un punto anterior.

Si no puedes hacerlo por favor, bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y sálvalo en ella, después ejecútalo, dale a Scan, después a Save log, salva el log y cópialo aquí.
 
F

fitech

Guest
#3
Hola amigos. Yo estoy desesperado porque ayer me paso algo parecido... Deje a la noche bajando una actualizacion de Windows security. Por la manana estoy trabajando y aparece en norton una advertencia de que me entro el virus backdoor mosuck, y que el antivirus no puede arreglarlo. El archivo infectado supuestamente era el nyserv.exe situado en win32/cl18. Voy a sacarlo manualmente y no lo encuentro. Tampoco pordia scanear con el antivirus. Quiero aclarar que tenia el norton internet security system instalado con su firewall activada y el norton AV. Busco en internet y me dice que edite el registro. Trato y no andaban los ejecutables.!!!

Entro a regedit a traves de ejecutar como y trato de cambiar en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pero no me deja cambiar el valor.

Tampoco puedo acceder al msconfig ni al restaurador del sistema.

Actualmente mi situacion en preocupante:

*no puedo usar la mayoria de los ejecutables (incluido el nero y los antivirus)

*tengo cambiada la config del teclado en espanol

*no puedo usar el panel de control porque no encuentra en rundl

*solo puedo usar los programas del office, el outlook express, y el internet expolrer

*me baje el hijackthis y no puedo ejecutarlo (me pone el mensaje IMAGEN NO VALIDA)

AGRADECERE AYUDA!!!!!! TENGO QUE PREPARAR UNA CONFERENCIA PARA EL MEIRCOLES QUE VIENE Y NO PUEDO GRABARLA EN UN CD!!!!!

MUCHAS GRACIAS
 

alnitak

Ex-Admin
Miembro
#4
Intenta restaurar el sistema, editar el registro o ejecutar el HijackThis entrando al sistema en modo seguro.

Los troyanos normalmente se copian a la carpeta de sistema después de instalarse y desde allí se ejecutan, busca el archivo en C:\Windows\System32\
 
T

T0mcat

Guest
#5
Hola. Hace poco me paso algo parecido en mi ordenador, no me dejaba abrir la mayoría de los archivos ejecutables, aunque otros curiosamente si, no podia ejecutar ni el antivirus ni el cortafuegos, en ejecutar ponia regedit para editar el registro y nada.

Creo que se debe a vulnerabilidades del explorer que permiten que puedan modificar el registro ciertas páginas de internet, un consejo, los mensajes emergentes que te preguntan algo en internet es mejor cerrarlos con la cruz de arriba, no con el boton "no" o "cancelar", ya que esas ventanas pueden estar diseñadas para que el "no" sea es "si" y la has cagado.

Bueno a lo que voy, Por fin lo he podido solucionar editando el registro con un archivo .reg, si quereis probar si se te soluciona de esta manera, lo que tienes que hacer es copiar el texto de abajo en un archivo de texto que renombrais a arreglaexe.reg por ejemplo y haceis doble click en el , dice que si quieres editar el registro y probablemente se os corrija el problema.

Espero que os sirva.

contenido del archivo:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]

@="exefile"

"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]

@="Application"

"EditFlags"=hex:38,07,00,00

"TileInfo"="prop:FileDescription;Company;FileVersion"

"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]

@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]

"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]

@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]

@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]

@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]

@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
 
Estado
Cerrado para nuevas respuestas
Arriba Pie