Foro de elhacker.net

Hola a todos...bueno hace varios dias que vengo probando versiones de XP desatendidas, originales o de todo...y es raro que en todos los sistemas operativos que he instalado se deshabilite el administrador de tareas y el regedit y llegue a la conclusion de que es un virus..pero como entra? desde el CD?

aclaraciones:

• NO CONECTE NINGUN PENDRIVE desde que instale el windows.
• NO PUEDO entrar a modo seguro, a ningun modo, tira blue screen 0x07b en todas las pcs que instale los windows..son coomo 10 aproximadamente
• NO PUEDO INSTALAR antivirus... apenas doy doble click al instalador, a los pocos segundos el virus mata el proceso y cierra todo, aparentemente por que bloqueo el registro y al modificarse cierra todo.
• Probe entrando a Gpedit y deshabilitando la opcion de control+alt+supr  pero el virus se regenera y vuelve a bloquearlo.
• Probe lo mismo qeu el paso anterior con el registro pero se bloquea.
• Algunos juegos y programas dejaron de funcionar por que elimina los ejecutables o los edita y no se pueden ejecutar

CANSADO de no poder instalar antivirus probe de instalar antimalwares y pude instalar unicamente: Malwarebytes, Elistara, Hijackthis, Combofix y superantispyware... todos detectan el valor de registro disabletaskmgr y disableregedit cambiado y lo elimina pero al reiniciar vuelve.
Alguna sugerencia gente? estoy desesperado, tengo un cliente que esta esperando su notebook con windows xp y no puedo sacar este virus!!!
Muchas gracias a todos y disculpen la molestia.
Saludos. Leo

panda active scan ? ;D

Yó te recomendaria en este caso un formato a bajo nivel, yá que con el formato normal algunos virus no desaparecen.

Te dejo el link para descargar el programa.

http://hdd-low-level-format-tool.programas.com/
 (http://hdd-low-level-format-tool.programas.com/)


<suerte.salu2. :)

sube un log de Hijackthis

ahora  entiendo porque  randomize no  recomienda windows desatendidos.
como te dijieron, envía un log de hijackthis.
saludos

claro, con nlite le meten hasta troyanos xD
y los sata para picar  :xD

aparentemente es el cd de instalación de Windows que trae un virus, te recomiendo que te bajes una version limpia e instala desde alli.

El virus vuelve a aparecer porque queda residente en la memoria o en la restauracion de sistema o simplemente porque esta todavía asegurada su existencia en el registro, por eso lo desabilita.

Antes de hacer nada desabilita la restauracion de sistema y limpia la memoria, yo de por si, no limpio la PC  desde la misma, porque asi es un parto, si no de otra Pc totalmente protegida y limpia, ya sabes con todos los antivirus actualizados, antispy, antirootkit y un alertador de procesos y sin conexion a la net.

coloco el disco, o los discos, entro en modo seguro y los scaneo....a todas las particiones ya que puede ser uno que infecte ejecutables. tambien si quieres recuperar algun archivo siempre desde el CD de windows Live.


espero que te sirva
S@7U2

... o porque si tienes las 10 máquinas en red y desinfectas una, puede que se contagie de las otras :P
Revisa el subforo de windows, un usuario había colgado un Win SP3 limpito limpito :rolleyes:

Esta claro que el problema es un virus, porque uno de los motivos por los cuales sale el error que comentas, es malware en el sector de inicio, no puede ser error de hardware en 10 máquinas a menos que hayan hecho una mudanza y se les hayan caído de un camión :xD ...
:http://support.microsoft.com/kb/324103/es

Saludos

muy buena idea la de buscar el stop, no se me había ocurrido.
asique según eso, toca formatear, e instalar un windows que no sea desatendido.
por si acaso, intenta con fixboot usando la consola de recuperación.
saludos!

hola y saludos   :D

Si no te responde el administrador de tareas prueba con la combinacion  ctrl+shift+esc en vez de ctrl+alt+sup  localiza el programa maligno residente en la memoria

Si no te funciona escribe en Inicio-Ejecutar   digita la siguiente linea :REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Listo !!! 

con eso se ejecuta el TaskMgr de tu regedit.exe y podras ejecutar tu administrador de tareas para que puedas detener tu virus .con el nombre ya lo podras encontrar y eliminar de tu hdd

suerte y pasame el codigo para tenerlo de recuerdo..

lee todo el topic antes de responder.
saludos

Ok    :D

Un problema parecido me paso y resulto un virus que permanecia en el disco duro y aunque hacia el formateo rapido igual no lo eliminaba
Con el scandisk aparecian dos sectores defectuosos en mi disco duro .
La solucion para mi fue igual a la que posteo simorg unos post mas arriba osea un formateo total  antes de instalar el OS

suerte

by

Igual, creo que algunos no estan prestando atención a este pequeño detalle :rolleyes:


Saludos

a eso me refería, no es por ofender ni nada por el estilo, es simplemente que no quiero que el usuario se confunda.
saludos

... al parecer ha pasado una de dos cosas:

1) Resolvio el problema y no vino a decir las gracias aunque sea.
2) Se harto, renuncio y destruyo los 10 PC

gente... mil disculpas a todos por no responder...y MILLONES DE GRACIAS a todos por debatir este problemita...

Antes que nada queria destacar algo, Instale el desatendido desde 0 nuevamente.. y lo curioso es que el taskmgr anda...lo deje 30 min andando..sin hacer nada en la pc...luego abri el navegador y pum! volvio a bloquearse..

Bueno aca les dejo el log de hijackthis para que lo vean y lo analicen...pero al reparar las entradas incorrectas el virus vuelve..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:29, on 07/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
G:\LeO\Bifrost\No-IP\DUC20.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet explorer proporcionado por GP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
O23 - Service: MBAMService - Unknown owner - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (file missing)

--
End of file - 2838 bytes

Saludos  y perdon por no entrar antes.

Esto es lo que yo encontré raro, lo que no  significa que sea malware.
Sinceramente, no me tomé el trabajo de buscar en  google.

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

G:\LeO\Bifrost\No-IP\DUC20.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

o4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
Saludos!

C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe
O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe

yo intentaria desinstalar deepfreeze primero  :silbar:

A mi entender, el usuario lo  utiliza para controlar los pcs, asique con desabilitarlo antes de hacer las modificaciones sobra.
Pd:
Ahora que lo peinso, ¿no aparecerá bloqueado cuando reinicias porque no desabilitas DFRZ antes de hacer los cambios?
Pd2:
Tienes desabilitado el registro de windows.
Saludos

Bueno, de las entradas que remarca winroot me quedo con estas


Saludos :P

hola gente, nuevamente gracias por responder... elimine las entradas que recomendaron pero tampoco se soluciono.. esas entradas de NO-IP DUC y Bifrost ya las tenia por que tengo instalado el troyano en la pc que uso.
 
Probe de instalar el mismo sistema operativo en una PC que no estaba infectada por el virus...y la pc siguio desinfectada, asi qeu llegue a la conclusion de que EL CD DE INSTALACION NO TIENE VIRUS.

UN DATO IMPORTANTE:  Mi Pc infectada tiene 2 particiones, y puede que la infeccion este en la particion D...y al formatear unicamente el C...el virus se vuelve a pasar. Puede ser? o estoy equivocado?

Saludos y gracias

Si, puede ser si abres  algún ejecutable de esa partición, ya sea porque tu  lo abres, o porque la partición tiene un autorun.
Itenta determinar si la partición tiene un archivo llamado autorun.inf.
Bien, si se abre el fichero autorun.inf, es porque  tienes autorun, de lo contrario,  trata de recordar si abres algún fichero ejecutable desde d:\.
De última, puedes sacar los datos de d:\, y formatear todo el hd a low level.
Pero esto es lo último, trata de pensar si abres algún ejecutable en d:\.
Saludos!

gracias amigo mil gracias por ayudar...te paso a comentar:
en la particion D: no hay autorun...pero si tengo una carpeta propia con instaladores que fui recolectando...puede que el problema este ahi..son 25 programas comprimidos en RAR y varios Exe..pienso que tendria que formatear a bajo nivel no queda otra salida creo... que pensas?

Saludos
Leo

yo quede con la duda si deshabilitastes o desintalastes el deepfreeze
antes de picar

¿y usar un live-cd especializado contra malware?

En tu caso puede que sea la mejor opción:


AVG Rescue CD

Descarga: http://www.avg.com/ww-es/download-file-cd-arl-iso

Avira Antivir Rescue System

Descarga: http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso

BitDefender Rescue Disk CD

 Descarga: http://download.bitdefender.com/rescue_cd/BitDefender-Rescue-CD.iso

F-Secure Rescue live CD 3.11

Descarga: http://www.f-secure.com/linux-weblog/files/f-secure-rescue-cd-3.11.23804.zip

G Data Boot CD 2011

Descarga: https://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=7749

Kaspersky Rescue Disk 2010

Descarga: http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/kav_rescue_10.iso

Panda SafeCD 4.4.3.3

Descarga: http://www.pandasecurity.com/resources/tools/SafeCD.iso

Ari-slash: gracias por responder... mira al deepfreeze lo tengo deshabilitado por el momento hasta que mate el virus.. igualmente...tube maquinas infectadas sin deepfreeze.

el-brujo:  gracias por el dato de los livecd...yo habia probado con el BART AVAST LIVE CD..pero no hubo caso..voy a probar con alguno de estos y les comento

Saludos y gracias