Problemon con un virus

[RaidMan]

Hola! Me da hasta vergüenza poner esto... admin de esta zona y mira, con un virus hijo de mil padres...
En fin

A ver, os explico la situacion:

Ayer a un colega y a mi se nos ocurrio crear una red entre dos ordenadores, uno con XP y el otro con Windows Vista.
(No creo que este sea el motivo, pero por si acaso)

El ordenador lo tipico, me pide que reinicie, reinicio y cual es mi sorpresa cuando no aparece por ningun lado el menu inicio, los drivers no se han cargado, en el administrador de tareas no aparece el nombre del usuario que ejecuta cada proceso, no se conecta a internet, no me detecta las diferentes tarjetas de red (debido a los drivers) y, ya para rematar la jugada, me ha desaparecido la pestaña "BOOT.INI" del MSCONFIG.

El caso es que el menu inicio no ha desaparecido, simplemente se ha bajado hasta abajo y se ha marcado la casilla de "Bloquear menu inicio" y no hay posiblidad de desmarcarla, porque se ha desactivado. La unica solucion que he encontrado es entrar a las propiedades del menu inicio y cambiar alguna cosa para que vuelva a aparecer y asi poder desmarcarla.

El Hiren's Boot no ha detectado nada (es de hace un tiempo e igual esta desactualizado) pero el NOD32 en modo a prueba de fallos tampoco encuentra nada, asi como el SpyBot Search & Destroy


Muchos direis "que de mas datos!!" QUE MAS QUISIERA YO!! si supiese de que virus se trata lo haria papilla, pero es que NI SIQUIERA SE DE QUE VIRUS/WORM se trata!!!

A alguien le suena de algo este "loquesea"??

Como siempre muchas gracias por la ayuda.


Un saludo


PD: Ya veis, que cualquiera puede pillar un "buen" Malware. Sea admin de lo que sea, asi que no os fieis

[hystd]

Buenas! Si lo único que quieres es repararlo sin mas, pues lo más rápido es restaurar el equipo a un estado anterior.

Si no, para saber el causante de todo habría que estudiar el sistema, por ejemplo, ver los procesos en ejecución (no tareas, sino procesos, o sea CTRL+ALT+SUPR queda descartado...), así como obtener una lista de drivers instalados, por si se trata de alguna aplicación oculta residente (TSR), identificadores de clases (CLSID), observar el registro de inicio, monitorizar los accesos a éste, notificar cambios en el directorio del sistema, ver los últimos ficheros creados en el sistema que sean sospechosos (.DLL, .SYS, .EXE, .COM, etc... ) y un largo etc...

Un saludo

[RaidMan]

Juas! Que mas me gustaria que poder restaurar el sistema, lo quite hace una semana, y ahora cuando quiero ponerlo no me deja, es mas HA DESAPARECIDO LA PESTAÑA EN LA QUE SE PUEDE ACTIVAR Y DESACTIVAR!!

Mas datos: Ha desactivado toooodos los servicios y no me deja iniciarlos, me sale un error cuando lo intento: "Error 1705: El servicio de dependencia no existe o se ha marcado para ser eliminado"


Un saludo y gracias

PD: Me estoy empezando a mosquear con este virus... igual reinstalo todo y a tomar por ahi...

[clarinetista]

Que no cunda el panrico, RaidMan.
Vamos a ver, primero vamos a intentarlo solo con Windows y si vemos que no funciona usamos alguna distro.
Trata de entrar en modo seguro, y desabilita todos los procesos al inicio menos el antivirus.
Baja a un pendrive una versión actualizada de algún antivirus experto en detección como Kaspersky.
También te recomiendo que hagas todos estos pasos desconectado de internet para evitar reinfecciones, y uses solo un pendrive para pasar programas que instales en tu equipo.
También estaría bien que instalases un monitor de procesos y de red, para monitorear tu equipo en cada momento, y filtrar lo que no debería estar pasando.
Otra herramienta que también puedes usar es la consola de recuperación de XP, que te viene con el CD de Windows.

[RaidMan]

Ya cundio Clarinetista, ya cundio!

Recordareis aquel supuesto virus que sobreescribia el sector Zero del HD dejandolo inservible, verdad? Pues me parece a mi que de Fake no tenia ni un pelo!! Porque estoy intentando hacer un BackUp de todos mis archivos en un HD externo y no me deja.

Y he descubierto hace poco que el muy mamon (si, estoy de mal humor y digo tacos) me ha parado todos los servicios que se iniciaban con Windows (services.msc) y no me deja iniciarlos.

Ademas de que el hijo de mil padres APRENDE!!!! SI, APRENDE!!! Porque me escondia el menu inicio, pero el que lo hizo no se dio cuenta de que si accedia al panel de control y desde ahi cambiaba alguna propiedad del menu inicio este volvia a aparecer. (En concreto marcaba la casilla de "Inicio rapido" y luego la desmarcaba) Pero ahora lo vuelvo a hacer, y el cabron me esconde el inicio si lo devuelvo a la normalidad!!!
Me estare pegando con una nueva generacion de virus con IA??? (Yo pensaba que con lo que me estaba haciendo era algo en C, pero ahora veo el LISP como otra posibilidad)

Lo conecto, y cuando intento pasar de uno a otro archivos me salta con un error:
(Mi disco duro se monta como SDA3 y el externo como SDA1)

Could not mount device.
The reported error was:

mount: /dev/sda3 already mounted or /mnt/sda3busy

mount: according to mtab, /dev/sda3 is already mounted on /mnt/sda3

Alguna idea?? No se que demonios hacer, y perder toda la info de mi HD me da cien patadas.

Puedo grabar DVD (estoy sacando lo que no tenia ya guardado) y CD, pero no en el NERO porque me error cuando intento ejecutarlo. Los estoy grabando desde una Live de Linux.


Me estoy volviendo LOCO!!!

Un saludo y muchas gracias como siempre

[j8k6f4v9j]

Fíjate si con el comando `mount` te aparece montado ya realmente, porque es muy posible que sí lo esté, tratándose de una livecd.

Si está montado te aparecerá el directorio en que lo está. Usa k3b u otro para grabar la información en DVD o CD. O simplemente copia los datos a otra partición en un disco no afectado.

Salu2

Keep on Rollin'

[mimasol]

Raid postea el log de hijackthis..pero sabes me huele a que si esta relacionado con la red que creaste..

PD:Los problemas del administrador de tareas es porque seguramente se han detenido los servicios de Terminal Server.


Saludos
Mimasol

[RaidMan]

mount:

tmpfs on / type tmpfs (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
usbfs on /proc/bus/usb type usbfs (rw)
/dev/sdb1 on /mnt/sdb1 type vfat (rw)
/dev/sdc1 on /mnt/sdc1 type vfat (rw)
/dev/sda3 on /mnt/sda3 type ntfs (rw) (este es mi HD)
/dev/sdd1 on /mnt/sdd1 type vfat (rw)
/dev/hda on /mnt/hda_cdrom type iso9660 (ro)
/dev/sde1 on /mnt/sde1 type vfat (rw) (este es el HD externo)

LOG del HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:42:21, on 27/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\Archivos de programa\Eset\nod32krn.exe
G:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4ss.exe
G:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4gui.exe
G:\WINDOWS\Explorer.EXE
G:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4gui.exe
G:\Archivos de programa\SMC\SMCWPCIT-G\SMCWCU.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\WINDOWS\ALCWZRD.EXE
G:\Archivos de programa\Eset\nod32kui.exe
G:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe
G:\WINDOWS\system32\rundll32.exe
G:\WINDOWS\system32\CTFMON.EXE
G:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
G:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SMCWCU] "G:\Archivos de programa\SMC\SMCWPCIT-G\SMCWCU.exe" -nogui
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nod32kui] "G:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [IntelliPoint] "G:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe" (EL MOUSE.)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CTFMON.EXE] CTFMON.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-484763869-1592454029-725345543-1003\..\Run: [] (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://G:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - G:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: SMC Configuration Service (ACS) - Unknown owner - G:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - G:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - G:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - G:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - G:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 4396 bytes

UN saludo

[j8k6f4v9j]

Si está montado es que no ha borrado el sector cero del disco.

No creo que tengas ningún problema para copiar los archivos desde tu distribución GNU/linux

Salu2

Keep on Rollin'

[RaidMan]

Solucionado, al final el Formateo fue la solucion

Muchas gracias a todos por la ayuda que me habeis prestado


Un saludo

PD: Segun me han dicho por ahi pudo deberse a que la sesion de usuario no se cerro correctamente y luego no podia iniciarla.Al final no fue un virus
PD2: Cierro el post.