Autor
|
Tema: AYUDA! virus muy molesto (Leído 11,192 veces)
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
lee todo el topic antes de responder. saludos
|
|
« Última modificación: 6 Agosto 2010, 17:53 pm por Novlucker »
|
En línea
|
|
|
|
jcrack
Desconectado
Mensajes: 150
|
Hola a todos...bueno hace varios dias que vengo probando versiones de XP desatendidas, originales o de todo...y es raro que en todos los sistemas operativos que he instalado se deshabilite el administrador de tareas y el regedit y llegue a la conclusion de que es un virus..pero como entra? desde el CD?
Ok Un problema parecido me paso y resulto un virus que permanecia en el disco duro y aunque hacia el formateo rapido igual no lo eliminaba Con el scandisk aparecian dos sectores defectuosos en mi disco duro . La solucion para mi fue igual a la que posteo simorg unos post mas arriba osea un formateo total antes de instalar el OS suerte by
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
Igual, creo que algunos no estan prestando atención a este pequeño detalle - NO CONECTE NINGUN PENDRIVE desde que instale el windows.
- NO PUEDO entrar a modo seguro, a ningun modo, tira blue screen 0x07b en todas las pcs que instale los windows..son coomo 10 aproximadamente
Esta claro que el problema es un virus, porque uno de los motivos por los cuales sale el error que comentas, es malware en el sector de inicio, no puede ser error de hardware en 10 máquinas a menos que hayan hecho una mudanza y se les hayan caído de un camión Saludos
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
a eso me refería, no es por ofender ni nada por el estilo, es simplemente que no quiero que el usuario se confunda. saludos
|
|
« Última modificación: 6 Agosto 2010, 18:04 pm por Novlucker »
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.513
El Dictador y Verdugo de H-Sec
|
... al parecer ha pasado una de dos cosas:
1) Resolvio el problema y no vino a decir las gracias aunque sea. 2) Se harto, renuncio y destruyo los 10 PC
|
|
|
En línea
|
|
|
|
leorubino10
Desconectado
Mensajes: 5
|
gente... mil disculpas a todos por no responder...y MILLONES DE GRACIAS a todos por debatir este problemita...
Antes que nada queria destacar algo, Instale el desatendido desde 0 nuevamente.. y lo curioso es que el taskmgr anda...lo deje 30 min andando..sin hacer nada en la pc...luego abri el navegador y pum! volvio a bloquearse..
Bueno aca les dejo el log de hijackthis para que lo vean y lo analicen...pero al reparar las entradas incorrectas el virus vuelve..
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:36:29, on 07/08/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe G:\LeO\Bifrost\No-IP\DUC20.exe C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet explorer proporcionado por GP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe O23 - Service: MBAMService - Unknown owner - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (file missing)
-- End of file - 2838 bytes
Saludos y perdon por no entrar antes.
|
|
|
En línea
|
|
|
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
Esto es lo que yo encontré raro, lo que no significa que sea malware. Sinceramente, no me tomé el trabajo de buscar en google.
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
G:\LeO\Bifrost\No-IP\DUC20.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
o4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE Saludos!
|
|
|
En línea
|
|
|
|
Ari Slash
|
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe yo intentaria desinstalar deepfreeze primero
|
|
|
En línea
|
|
|
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe O23 - Service: DFServ - Faronics Corporation - C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DFServ.exe yo intentaria desinstalar deepfreeze primero A mi entender, el usuario lo utiliza para controlar los pcs, asique con desabilitarlo antes de hacer las modificaciones sobra. Pd: Ahora que lo peinso, ¿no aparecerá bloqueado cuando reinicias porque no desabilitas DFRZ antes de hacer los cambios? Pd2: Tienes desabilitado el registro de windows. Saludos
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
Bueno, de las entradas que remarca winroot me quedo con estas G:\LeO\Bifrost\No-IP\DUC20.exe o4 - Startup: No-IP DUC.lnk = G:\LeO\Bifrost\No-IP\DUC20.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Saludos
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
|
|