Problema con Virus

[Tigui]

Hola compañeros os comento el problema que me ha surgido en la máquina de un cliente.

Sistema operativo Windows 2000 con Sp4 instalado

El problema es que al arrancar la máquina y justo cuando va a iniciar la cuenta de ususario, sale un mensaje con una cuenta atrás (tipo Blaster, o igual es el blaster) de 60 segundos y se reinicia.
C:\\WINNT\System32\services.exe

He probado:
- Pinchar el disco en otra máquina, pasarle el NOD32
- Arrancar en modo a prueba de fallos, pasarle el Spybot y el Hijackthis

Pero nada, sigue saliendo el mensajitode las narices.
Ya no se que hacer, ¿alguna otra solución? (No me digais formatear)
Gracias

 

[Tigui]

Encontré una utilidad para borrar el blaster y el sasser y esperemos que vayan por ahí los tiros

 

[Tigui]

Vale, en principio no tiene ni el sasser ni el blaster.

¿Alguna idea?

 

[wave]

Vale, en principio no tiene ni el sasser ni el blaster.

¿Alguna idea?

Cuando has pinchado éste disco en otra máquina , habrás utilizado otro como arranque supongo no ?

Un saludo

Vicente

 

[Tigui]

Cuando has pinchado éste disco en otra máquina , habrás utilizado otro como arranque supongo no ?

Un saludo

Vicente

Sí, claro ;-)

 

[wave]

Sí, claro ;-)

Hola :

Yo cuando tuve problemas , arranqué también desde otro disco y le pasé los antivirus Nod32, karspersky , panda y después el spyware doctor de Pctools.
Ya estaba dispuesto a formatear , pero después de todo eso se quedo limpio.

Como sólo tenia licencia actualizada del nod y karspersky , lo que me detectaron los otros tuve que hacer la limpieza manualmente.

También en la utilidad de configuración del sistema, desactivo en inicio todos los ejecutables que desconozco.

Un saludo

Vicente

 

[Tigui]

Es que es curioso, arranqué en modo a prueba de fallos y me cargué casi toda la lista de inicio con el hijackthis, pero nada, al iniciar la sesion del usuario, me salta la dichosa ventanita de los 30 segundos y se reinicia

 

[wave]

Es que es curioso, arranqué en modo a prueba de fallos y me cargué casi toda la lista de inicio con el hijackthis, pero nada, al iniciar la sesion del usuario, me salta la dichosa ventanita de los 30 segundos y se reinicia

Mira la lista de inicio que tienes en un ordenador sin problemas y elimina o desactiva todo lo que no coincida con eso.

Un saludo

Vicente

 

[SPTR]

Igual han borrado ese fichero de sistema.

Escribe SHUTDOWN -a en inicio ejecutar para abortar el reinicio.

Mira en el visor de sucesos a ver que errores salen.

Mira que services.exe esté en system32 y que sea de microsoft en propiedades, sino, descomprimelo con EXPAND desde el CD W2K SP4 (integrado) a ver si se arregla.

Eso de expandirlo = lo tienes que hacer en entorno PE o consola de recuperación.

 

[herodes]

Un amigo tuvo un problema similar y era un troyano que se cargaba al inicio y lo solucionamos arrancando en modo a prueba de fallos y luego ejecutando msconfig y desactivando lo que nos era desconocido y luego tras hacer esto pasamos el antivirus y varios programas detectores de archivos espías y se solucionó... hasta que arrancó el ordenador su novia con su otro usuario y vuelta a empezar, por lo que seguimos el mismo procedimiento desactivando la carga de dicho troyano en el inicio, pero en los dos usuarios registrados en el ordenador.

 

[Tigui]

Nada, no hay solución, mañana me pondré a formatear.

El problema es que no puedo ni escribir Shutdown -a ni nada, el mensajito de las narices salta antes de mostrar el escritorio, justamente cuando termina de salir el logotipo de Windows 2000 #-o

 

[wave]

Nada, no hay solución, mañana me pondré a formatear.

El problema es que no puedo ni escribir Shutdown -a ni nada, el mensajito de las narices salta antes de mostrar el escritorio, justamente cuando termina de salir el logotipo de Windows 2000 #-o

Hola :

Yo tengo el NOD32 con licencia que me funciona muy bien , pero casualmente el último virus no me lo descubrió, sin embargo me lo encontró el kaspersky que ya no utilizo , pero tenía todavía la licencia vigente, por eso cuando tengo problemas paso al menos esos dos y el panda. De spyware el que me encuentra siempre muchas cosas es el spyware doctor de Pctools.

Suerte y un saludo

Vicente

 

[Tigui]

Hola :

Yo tengo el NOD32 con licencia que me funciona muy bien , pero casualmente el último virus no me lo descubrió, sin embargo me lo encontró el kaspersky que ya no utilizo , pero tenía todavía la licencia vigente, por eso cuando tengo problemas paso al menos esos dos y el panda. De spyware el que me encuentra siempre muchas cosas es el spyware doctor de Pctools.

Suerte y un saludo

Vicente

Probaré mañana a primera hora algo de eso y sino... formateo al canto.
Gracias compañero

 

[SPTR]

Arranca con ERD05 o BARTPE y mira si falta ese fichero o qué demonios pasa.

 

[Tigui]

Arranca con ERD05 o BARTPE y mira si falta ese fichero o qué demonios pasa.

Miraré eso, pero lo que opino es que estará infectado. Tendré que mirar de copiarlo de otr windows 2000 y esperemos que funcione

 

[Tigui]

Arranca con ERD05 o BARTPE y mira si falta ese fichero o qué demonios pasa.

Vale... lo que he hecho ha sido renombrar el archivo Services.exe y ya no me ha dado el problema ese de la maldita cuenta atrás.
he cogido ahora el fichero services.exe de otro windows2000 y se lo he copiado en C:\WINNT\System32 y arrancaré la máquina y esperemos que no explote todo .

 

[SPTR]

Tienes que copiarlo de otro con el mismo nivel de Service Pack, sino tendrás problemas posiblemente.

 

[Tigui]

Nada, al copiarle el services.exe de otra máquina a la "infectada" al arrancar vuelve a salir la dichosa cuenta atrás.
Tocará formatear

 

[wave]

Nada, al copiarle el services.exe de otra máquina a la "infectada" al arrancar vuelve a salir la dichosa cuenta atrás.
Tocará formatear

Hola :

Da la impresión que el virus está asociado a la ejecución del services.exe y se ejecuta a la vez . Sabes si realmente es un fichero del sistema que sirve para algo o si lo eliminas no pasa nada.

Un saludo

Vicente

 

[Tigui]

El services.exe según lo que he leído, es un archivo de sistema, por lo tanto no me deja ni para el servicio ni borrarlo ni nada.
Únicamente he conseguido renombrarlo, pinchando el disco en otra máquina, pero no arranca el usuario (pero en éste punto la dichosa cuenta atrás para el reinicio ya no sale).
Luego le copié el services.exe de otro win2000, pero en el momento que detectó el nuevo services.exe, salió la cuenta atrás otra vez.
Es desesperante éste virus, no querría formatear la máquina asi porque si, ya que me gustaría encontrar la manera de eliminarlo manualmente, por la posible entrada en taller de algún otro equipo con el mismo problema y no me voy a pasar la vida reinstalando pc's

 

[wave]

El services.exe según lo que he leído, es un archivo de sistema, por lo tanto no me deja ni para el servicio ni borrarlo ni nada.
Únicamente he conseguido renombrarlo, pinchando el disco en otra máquina, pero no arranca el usuario (pero en éste punto la dichosa cuenta atrás para el reinicio ya no sale).
Luego le copié el services.exe de otro win2000, pero en el momento que detectó el nuevo services.exe, salió la cuenta atrás otra vez.
Es desesperante éste virus, no querría formatear la máquina asi porque si, ya que me gustaría encontrar la manera de eliminarlo manualmente, por la posible entrada en taller de algún otro equipo con el mismo problema y no me voy a pasar la vida reinstalando pc's

Yo en tu caso recurriría al soporte de NOD32 , tienen que ayudarte y si pagas como empresa con más motivo. Si llamas todos los días al soporte como empresa ( yo lo he hecho ) , te lo acaban resolviendo , aunque sólo sea por quitarte de encima y te interesa saber lo que es , quizás por los posibles problemas futuros , más que por el presente.


Un saludo

Vicente

 

[SPTR]

Tienes que usar el services.exe del mismo nivel de SP.

Sino va, igual el problema está en el registro u otro servicio asociado.

MSCONFIG en Windows 2000 no existe.

En modo seguro debería arrancar, sino, mal plan.

 

[Tigui]

Tienes que usar el services.exe del mismo nivel de SP.

Sino va, igual el problema está en el registro u otro servicio asociado.

MSCONFIG en Windows 2000 no existe.

En modo seguro debería arrancar, sino, mal plan.

Si, si, en modo a prueba de fallos si que arranca. E igual tienes razón y la infeccion está por el registro. Porque el fichero que le copié (services.exe)tiene tambén el SP4.
Aún así le pase el Regcleener y un recuperador de registro y nada.
Vaya desesperación de virus toca pelotas