¿Que puede ser? virus, troyano, spyware, malware, ¿?
-
-
-
- 136
- mensajes
-
- miembro desde
- 25/08/03
Me llevaron una computadora con el siguiente problema:
Inicialmente, esta persona visitó una página XXX y se dió cuenta que la página de inicio del IE había cambiado y aunque hacía intentos por restablecerla no podía conseguirlo, lo demás funcionaba aparentemente igual.
La página que aparece como de inicio es la siguiente: http://jksearch.biz/redirect.php, de inmediato se me ocurrió pasarle el spybot S&D y ahí empezaron los problemas:
No pude instalarle el spybot, porque simplemente no lograba ver el archivo de instalación, ni siquiera la carpeta que contenía al spybot en el cd. Intenté descargarlo de internet y logró iniciar la descarga sin embargo al llegar al 100% de descarga mandaba un mensaje que decia:"error al abrir el archivo, verifique que tenga los derechos adecuados"
Como no pude instalar el spybot ni entrando en modo a prueba de fallos, intenté el ad-aware que se instaló sin ningún problema, para evitar la conexión a internet descargué antes el archivo de actualización, al estar realizando el scan con el ad-aware detectó unos archivos que contenía el w32.Netsky y lo identificó como malware, probablemente ahi tuve el error, porque le indiqué que corrigiera los errores encontrados incluyendo el netsky.
Después de esto, no pude ejecutar ningún programa, al hacer doble click sobre algún programa aparecía el reloj de arena como diciendo que se estaba cargando el programa pero nunca aparecía en pantalla ni en el programador de tareas.
Instalé el McAfee 7.0 con dat y engine actualizado hasta el 19/05/04 y detectó 54 archivos infectados, no decía con qué simplemente indicaba si era troyano o virus, de los 54 archivos detectados 52 eran zip, los dos restantes eran dll.
después de esto, la pc volvió al mismo estado en que estaba antes de iniciar toda esta historia... con una página de inicio que el usuario no quiere y todo lo demás trabajando aparentemente normal.
En ningún momento pude instalar el spybot ni pude ver el archivo de instalación ni la carpeta que lo contenía, probé meterlo al disco duro a través de red y tampoco pude verlo en el disco duro, sin embargo desde otra computadora se podía ver que el spybot estaba en el disco de la computadora "enferma".
Por cierto, el antivirus no corre más que en modo a prueba de fallos y en las dos últimas pasadas no detecta ningún archivo infectado.
La pc es pentium II 400 Mhz, 128 Ram, Mother SIS con todo integrado, HDD de 32 HB, windows xp.... tampoco deja instalar actualizaciones o parches... sasser no tiene, le pasé la utililería para detectarlo y nada...
¿alguna idea?... perdón si los aburrí con tanto rollo pero quería que quedara claro lo que ya había hecho... y perdón si me equivoqué de foro... no sabía donde ponerlo...
Agradeceré sus comentarios. -
-
-
-
- 342
- mensajes
-
- miembro desde
- 19/02/02
mmmm yo sacaria el disco lo pondria como esclavo y lo escanearia con un antivirus y con algùn "limpiador". Antes de hacer esto desactivaria el modo "restaurar"(por las dudas")
Una vez escaneado le haria un backup, ya que por lo que decis vos, por mas que saques el "virus" la maquina ya estaba andando mal y lo mejor seria formatear y limpiar todo.
Recomendacion: Dejale instalado una vez solucionado o no, el Ad-watch para que no se le pege ningun "bichito" cuando visite determinadas pàginas.
Suerte! -
-
-
-
- 136
- mensajes
-
- miembro desde
- 25/08/03
-
-
-
-
- 342
- mensajes
-
- miembro desde
- 19/02/02
Explicale a tu cliente que es "lo mas aconsejable" en estos casos, y decile que de darsela con el problema de la página de inicio resuelta solo va a prolongar la vuelta por tus manos otra vez.
Hay muchas variantes del Netsky y no recuerdo las funcionalidades, para saber bien cual es el problema (es lo que yo haria) escanearia el disco como esclavo, asi identifico el problema, y a partir de ahi trato de limpiarlo, una vez que sepas bien que "bicho" es ya podes usar algunos de los limpiadores que hay(www.vsantivirus.com, sophos, panda, symantec, etc).
Otra....borrale el perfil y creale uno nuevo (pude ser que solo se halla modificado el registro de ese usuario y no todos o el de default). -
-
-
-
-
-
- 1,728
- mensajes
-
- miembro desde
- 03/10/01
http://securityresponse.symantec.com...oval.tool.html
usa esta herramienta para sacarlo de tu sistema y ademas te arregla todo el daño que este provoca. Cualquier cosa decime.
Stucker -
-
-
-
- 108
- mensajes
-
- miembro desde
- 10/08/02
pone al disco como esclavo en una pc no infectada y pasale el antivirus AVG de la firma grisoft www.grisoft.com y fijate que pasa, la verdad que nose ue puede ser.... espero que te sirva la info ya que no se me ocurre nada
-
-
-
-
- 136
- mensajes
-
- miembro desde
- 25/08/03
Les agradezco mucho su ayuda, voy a retirar el disco duro y lo lo escaneo desde mi pc personal, cualquier detalle les aviso.
Perdón, pero hasta hoy pude ver sus respuestas, por lo de la modificación de la página de psicofxp.
Gracias, les mantengo informado. -
-
-
-
- 1,295
- mensajes
-
- miembro desde
- 07/11/02
es un malware... o una porqueria en definitiva... lo tengo en la pc y despues de pasarle el ad-ware y el spybot (los cuales me los detectan) pero no me lo sacan...
asi que como no tengo ganas de reinstalar, me relaje y me quede con la porqueria en la pag de inicio... aunque la borro, aparece cada 2*3
borre claves de registros, archivos... todo...todo... pero aparece de nuevo esa mierda---- -
-
-
-
- 136
- mensajes
-
- miembro desde
- 25/08/03
Pues bien, como dijo alguno de ustedes... ese mal no se quita... tengo el disco duro conectado como esclavo y en estos momentos está mas limpio que la conciencia de un angel... le pasé tres antivirus y ninguno me detecta nada ahora... ya se eliminó todo rastro de virus... pero la página de inicio sigue modificándose... le he pasado el spybot y ad-aware y nada.... sigue modificándose...
Gracias elvaAgoO por la herramienta proporcionada pero después de analizar el sistema me dice que está limpio... sin embargo la página de inicio se modifica...
Gracias Stucker por la herramienta... en estos momentos estoy seguro que el disco no tiene ningún virus...
Pero... se me sigue modificando la página de inicio...
¿alguna idea? -
