Se supone que tengo el sasser o blaster

Estado
Cerrado para nuevas respuestas

Vector_Rain

Nuevo Miembro
Miembro
#1
Pues eso, que en el ordenador donde está el emule se me metió algo, y ahora sale el mensaje del sasser:

Se está apagando el sistema.Guarde todo trabajo en curso....

El sistema ha sido iniciado por NT/authority/system

El sistema se reiniciará en 60 seg

En cuanto se activa el gusano el escritorio y todas las carpetas abiertas desaparecen. Lo único que queda abierto son las instalaciones (de parches críticos de windows, el parche blaster y la herramienta de eliminacion de gusanos sasser, mydoom, blaster... [me dice que está todo actualizado y no detecta nada]) instalaciones, cambiar hora y registro. Programas y demás:

Alcualizaciones de windosxp (abreviado, 3 primeros dígitos) 835, 894, 921

Fixblast

spywareblastersetup

stng260 (McAfee)

El de update de Windows herramienta contra gusanos

EL modo seguro no me va, ni probando desde msconfig > boot.ini > mínimo/restaurar...

En el registro he buscado las 6 variantes del sasser y también el blaster, pero nada. Lo que hay en:

HKey_Local_machine

>software

>microsoft

>windows

>currentVersion

>run

.nvnscs

ATICCC

avast

(en total eran 6-7, no las puedo escribir porque desde que hice lo del boot.ini ya ni se me abre en modo normal.)

Pues nada, partition Magic y a instalar de nuevo. De todas formas dejo esto aquí por si es una nueva versión de gusano o por si me vuelve a pasar. Gracias.
 

Lestat

Ex- Mod
Miembro
#2
Descarga el programa HijackThis 2.0.0 Beta

y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Una vez descargado, da doble click en el icono del HijackThis.exe.

Primero da click en el botón "Config", y aparecerán 7 opciones . Fíjate que no estén tildadas la primera ( “Mark everything found for fixing alter scan”) y la última (“Run Hijack This scan at startup and show it ítems are fond”).Luego presiona "Back"

Para empezar el escaneo de posibles hijackers, clickea en el botón "Scan". Se te presentará una lista con todos los elementos encontrados por el programa .

Baja el HijackThis de AQUI

Comienza un nuevo post y pega el log AQUI

Un Saludo.

PD: - Para detener el reinicio del ordenador y poder ejecutar tranquilamente hijackthis , ve a Inicio/Ejecutar, escribe cmd y acepta. (o pulsa la tecla intro) En la consola de msdos que te saldrá, escribe shutdown -a y después da a intro y eso cancelará el reinicio.

-O bien retrasa el reloj de windows
 

Vector_Rain

Nuevo Miembro
Miembro
#3
Juraría que yarespondí...

Bueno, que al final tras intentar iniciar en modo seguro desde ejecutar el ordenador no se pudo volver a iniciar, así que tuve que tirar de PQ Magic y a instalar de nuevo. Tras ello intenté recuperar el antiguo windows, pero nada, incluso el PQ Magic me daba errores criticos y a base de alternar el 5 y el 8 pude crear y redimensionar las nuevas particiones.

Siento la tardanza, y no haber podido arreglarlo, pero bueno, pude recuperar todos los datos, y fue escusa para formatear. Gracias por todo.
 

Vector_Rain

Nuevo Miembro
Miembro
#4
Esto del emule es muy malo. Pues nada, que el avast me ha detectado el el incoming un virus/gusano. Intento eliminarlo, pero no se me permite, también renombrarlo, y tampoco, así que he cogido el assassin para poder desvincularlo y así eliminarlo y desde entonces el archivo parece haber desaparecido, no esta en Incoming (se ve todo lo oculto), tampoco si paso el avast por la carpeta, pero no deja se salirme la alerta del avast como que tengo ese archivo. Me suena haber leido algo sobre un programa que muestra archivos ocultos, pero que no se le debe dar a eliminar, solo escanear y luego pasar el resto, pero no lo encuentro; puede ser esto lo que me pasa?

-Informe avast:

Nombre malware: Win32:Troyan-gen {other}

Tipo de software: virus/gusano

Version de VPS 000729-2, 31/3/2007

-Informe del HiJackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 3:26:11, on 01/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avast4\aswUpdSv.exe

C:\Archivos de programa\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Avast4\ashMaiSv.exe

C:\Archivos de programa\Avast4\ashWebSv.exe

C:\ARCHIV~1\Avast4\ashDisp.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\vsnpstd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

F:\programas\eMule\emule.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\HiJackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" -H

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Avast4\ashWebSv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--

End of file - 4664 bytes
 
Estado
Cerrado para nuevas respuestas
Arriba Pie