En vez de editar posteo una respuesta puesto creo que va a ser larga.
Disculpad, "gran jefe" y resto de conforeros, por la posiblemente excesiva extensiòn, y quizà la mucha intuiciòn y poco rigor cientìfico a la hora de redactarlo, lejos del espìritu y la excelencia de este gran foro.
Tras el anterior intento fallido, arranco el PC con una pendrive autoejecutable (YUMI mediante ) la cual tiene varias herramientas antivirus:
KARPERSKY RESCUE DISK
Accedo al PC con este programa. Lo primero que detecto es que tarda mucho en actualizarse, lo cual hace al cabo de 10 minutos.
Y procedo a analizar el PC, los procesos inciales y la particiòn afectada:
Bien. Me detectò un troyano y con el nombre clave de
" ransom " (No encontrè reporte para publicarlo, ruego me disculpeis) . Lo cito literalmente:
Trojan.Ransom.Win32.Foreign.tgh
Reinicio. Pero persiste el fallo: arranca el PC normal, carga el escritorio y tras unos segundos vuelve a aparecer la pàgina de la " Policìa ":
___________________....__________
Dentro de misma pendrive pruebo con otros dos " rescue Disk ", en este caso AVIRA Y AVG.
En este caso no se pueden actualizar por problemas en la conexiòn (???)
__________________....___________
Siguiendo con la pendrive pruebo ahora el
ACRONIS CD, el cual encuentra tambièn problemas para actualizarse.
Aùn asì detecta una entrada sospechosa dentro de la ubicaciòn del antivirus AVIRA (Quizà sea algo de la cuarentena
). No encontrè tampoco el log, vuelvo a citar literalmente:
Gen: Trojan.Heur.@x9Xcri@Zki
Como sea que carga una especie de "mini sistema linux", se me ocurre una idea: Accedo a la particiòn afectada y elimino de la ruta " Archivos de Programa " los archivos correspondientes a JAVA y JDOWNLOADER, puesto que tengo leido que este tipo de infecciòn accede a travès de vulnerabilidades del JAVA.
Luego lo pienso, y lo compruebo, que esa idea es una "bellotada"
:
Claro, el "bicho" puede entrar por esas vulnerabilidades, pero
se asienta en alguna ubicaciòn de sistema ( C:/ Windows ò similar ) y reescribe entradas en el registro de Windows. Con lo cual lo de borrar los "archivos de programa" no me va ha borrar el "bicho".
Cosa que compruebo. El fallo persiste.
_________________...._______________
Encuentro por internet un enlace de mis paisanos, los tricantinos
PANDA SOFTWARE, acerca de còmo desinsfectar el virus de la policìa:
Cómo desinfectar el virus de la policía Trj/Ransom.ab
http://www.pandasecurity.com/spain/home ... rd?id=1673
Descargo y grabo en un CD la herramienta que recomiendan:
http://www.pandasecurity.com/resources/ ... uedisk.iso
Con ella arranco el PC y simplemente dejo que actue:
Tampoco funciona. Reinicio y el fallo persiste.
En este caso si que el programa de PANDA me deja un archivo de reporte, un log, en el archivo raiz C. Lo subo a un PASTEBIN puesto que es muy extenso para publicarlo como post:
http://pastebin.com/AJK3Zwhj
____________________.....__________________
Ahora arranco el PC desde el Sistema XP sano que hay en el otro disco duro.
Actualizo Malwarebytes y analizo la particiòn infectada.
Ahora si que me detecta el "bicho"
Trojan.Ransom , y me lo elimina.
Curiosa cuanto menos la ubicaciòn, puesto que se hallaba en Documents & settings:
E:\Documents and Settings\vinagreta\Configuración local\Temp\wgsdgsdgdsgsd.exe (Trojan.Ransom)
Expongo el .log del Malwarebytes:
Código: Seleccionar todo
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Versión de la Base de Datos: v2012.11.09.06
Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
vinagreta :: VINAGRET-CC0053 [limitado]
09/11/2012 16:58:13
mbam-log-2012-11-09 (17-36-04).txt
Tipos de Análisis: Análisis personalizado (E:\|)
Opciones de análisis activado: Sistema de archivos | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: Memoria | Inicio | Registro | Heurística/Extra | P2P
Objetos examinados: 42888
Tiempo transcurrido: 37 minuto(s),
Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)
Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)
Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)
Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)
Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)
Archivos Detectados: 1
E:\Documents and Settings\vinagreta\Configuración local\Temp\wgsdgsdgdsgsd.exe (Trojan.Ransom) -> No se tomaron medidas.
fin)
Como sea que pide reiniciar, reinicio con este mismo sistema, y realizo una limpieza de sistema y registro con Ccleaner y Free Window Registry Repair.
Posteriormente arranco el PC desde el disco y particiòn con el sistema deteriorado.
Compruebo que arranca bien. Ya no se carga la pàgina de la Policìa. Pero detecto varios fallos.
Sale una ventana de error:
Tambièn veo que el antivirus AVIRA INTERNET SECURITY està desconectado, no puedo conectarlo manualmente. Ademàs el sistema avisa de problemas de conexiòn.
Aquì me quedo por falta de tiempo.
Da la sensaciòn que el "bicho" "muere matando", y al eliminarse arrastra consigo algunos elementos del sistema produciendo estos fallos.
__________________....________________
SUGERENCIAS:
Insisto, no tengo necesidad y poseo varias backups de sistema recientes, màs que nada es por aprender, asì pues no os "calenteis la cabeza" mucho con este mi problema
- Buscar por la red acerca de entradas de registro (???)
- Ver de utilizar los programas
rKill ò
autoruns, para ver y detener los procesos sospechosos (???)
- Intentar reparar el sistema tal cual està ahora: Reparar conexiones de red, reparar ò reinstalar antivirus (???)
Ya reportarè. Avanzamos.
Saludos.
