Problemas con restaurar el sistema

Foro referente al sistema operativo Windows XP
Carlos_Help_Now
Usuario linuxero
Usuario linuxero
Mensajes: 49
Registrado: 15 Mar 2008, 15:14
Contactar:

Problemas con restaurar el sistema

Mensajepor Carlos_Help_Now » 06 Oct 2008, 04:01

Hola a todos!!!

Hace mucho tiempo que no participo en el foro y pido disculpas T_T. No crean que soy un interesado y que vengo cuando tengo un problema (De ahora en adelante intentare aportar mas al foro, el cual me a ayudado mucho), pero si tengo un problema y creo que la mejor opcion despues de buscar un poco y no obtener resultados, es consultarlos. Mi problema es el siguiente:

Hace un tiempo me infecto un virus llamada GADISLUGU sus efectos fueron los siguientes:



W32/Gladis-A es un gusano para plataformas Windows.

W32/Gladis-A se propaga copiándose en todas las carpetas de las unidades de la C: a la M:.

W32/Gladis-A crea una unidad compartida de red y añade los usuarios 'tamu' y 'guest' como administradores.W32/Gladis-A es un gusano para plataformas Windows.

W32/Gladis-A se propaga copiándose en todas las carpetas de las unidades de la C: a la M:, con el nombre de gadislugu.exe, y en la carpeta raíz con el nombre de svchost.exe.

W32/Gladis-A crea una unidad compartida de red dirigida a <windows>\fonts\hai\ y añade los usuarios 'tamu' y 'guest' como administradores.

La entrada de registro siguiente se crea para ejecutar una copia del gusano al inicio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run regmon <Windows>\fonts\svchost.exe

También se realizan los cambios siguientes en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths MSCONFIG.EXE <Windows>\fonts\svchost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer nofind 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system disableregistrytools 1

Aun sufro de algunos efectos colaterales de este virus pero no los he solucionado manualmente por el miedo de que la "cura" sea peor que la enfermedad y termine haciendo algo indebido en el registro, aunque no se si el virus pueda haber afectado la opcion de Restaurar el sistema posteo en base a esta, ya que al abrirlo desde Inicio>Todos los Programas>Accesorios>Herramientas del Sistema>Restaurar el Sistema, simplemente el mouse cambia al modo de cargando (Con el reloj de Arena y el Mouse al lado) y luego nada O.o .

Si es posible que alguien me ayudara o me indicara un programa que arreglara el sistema de los daños producido por lo virus (Ya que le he paso el CHKDSK, el nod32 y el Bitdefender, y aun continua el problema T-T). Para ser mas especifico los unicos efectos colaterales que aun prevalecen son el que no puedo abrir el Restaurar el sistema y se abre la carpeta mis documentos al iniciar el sistema.

Si por casualidad ya he postiado aqui el problema, ya que el problema es viejo, Pido disculpas.

Espero me puedan ayudar, aunque no lo dudo =D.

Saludos

Avatar de Usuario
pako
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 3605
Registrado: 22 Ene 2008, 13:30
Ubicación: España
Agradecido : 50 veces
Agradecimiento recibido: 277 veces
Contactar:

Re: Problemas con restaurar el sistema

Mensajepor pako » 07 Oct 2008, 00:54

Hola,

Recuerdo vagamente que en su dia miramos algo de este virus y que no aparecia en los listados de virus que hay en las paginas web de los antivirus.

Te voy a decir una cosa para que pruebes, pero bajo tu propio riesgo :o

Abre el regedit, Inicio > ejecutar > regedit y enter

Hazte lo primero un backup del regedit por si acaso desde archivo > importar/exportar.

Y ahora al lio, busca las siguientes cadenas:

Virus ==> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system\disableregistrytools = 1

Yo esta cadena no la tengo, lo normal es no tener "disableregistrytools" o si lo tienes tenerlo con el valor "0", esta cadena la usan muchos virus para bloquear el regedit, una de las maneras de desbloquearlo es:

Inicio > ejecutar > REG add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f (aceptamos)


Virus ==> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE\(Default) = "%Windows%\fonts\svchost.exe"

Yo en mi pc en la ruta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE tengo como predeterminado la ruta:
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

Como ves, son distintas, comprueba que tienes la ruta C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe y si es asi cambialo, se hace dando doble click donde pone predeterminado, o dando al boton derecho del raton y seleccionas modificar.


Virus ==> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofind = 1

Yo tengo la ruta, pero no tengo el nofind, asi que cambiele del valor 1 al 0 para asi desactivarlo.


Virus ==> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run regmon <Windows>\fonts\svchost.exe

Yo dentro de la ruta HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, no tengo ningun regmon, asi que yo lo borraria y mas leyendo esto que pones "La entrada de registro siguiente se crea para ejecutar una copia del gusano al inicio".

Y por ultimo comprobaria que no tienes el archivo c:\windows\tasks\aaa.job


Te lo vuelvo a repetir, tocar cosas en el registro puede hacer que tu windows no vuelva a arrancar, asi que hazte primero el backup.

Lo que te he puesto para hacer es lo que haria yo para intentar eliminar algunos de los destrozos que te ha hecho dicho virus, pero seria recomendable pasar un par de antivirus(un en local y otro distinto online), un antispyware y un antitroyano.


Sobre el tema de restaurar el sistema prueba con esto:

Si esta en un XP Profesional, vete a inicio > ejecutar > gpedit.msc y aceptas

Vas a Configuración del equipo > Plantillas administrativas > Sistema > Restaurar sistema

A la derecha veras "Desactivar Restaurar sistema" haz doble click sobre ella y ponlo en "No configurada" y aceptas.


Saludos

PD: Despues de hacer todos los cambios en el registro deberas de reiniciar el equipo.
Si has encontrado aquí la ayuda que esperabas (o incluso si no ha sido así ;) ), ayúdanos a mantener el foro con un pequeño donativo.
¡Muchas gracias!

Carlos_Help_Now
Usuario linuxero
Usuario linuxero
Mensajes: 49
Registrado: 15 Mar 2008, 15:14
Contactar:

Re: Problemas con restaurar el sistema

Mensajepor Carlos_Help_Now » 07 Oct 2008, 06:28

Muchas gracias por responder, pero como siempre mi pc genera problemas ¬¬.

Problemas:

#1: Aunque recupere el programa MSconfig.exe con un programa que hizo un amigo, la entrada "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE\(Default)" No existe T-T.

Una Foto (Espero no comprometa mi seguridad y/o privacidad):

Imagen del Registro

#2: No me atrevi a modificar el registro por que no se hacer un backup ( ¿Que se hacer? T-T).

#3: Cuando ejecuto gpedit.msc, me dice:

Imagen del Error


Creo que lo mejor seria reinstalar sin perdida de datos, Sigo los pasos de este post ¿?
reparar-windows-xp-t1231.html

No habia querido hacerlo por medio a hacer algo mal o que se borre algo o se desintale un controlador que no tenga a mano, pero creo que es la mejor solucion =D.

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Problemas con restaurar el sistema

Mensajepor Souto » 07 Oct 2008, 08:57

Creo que lo mejor seria reinstalar sin perdida de datos, Sigo los pasos de este post ¿?

El tema que planteas es bien interesante, lástima que se me haya despistado y se adelantara :roll: pako
Bueno, bromas aparte, cuando nos encontramos en esta situación hay al menos dos salidas.
La primera , más lógica, es justamente una reinstalación en Modo contextual (segunda parte de ese post que tú citas)
La segunda, cuyas dificultades ya estás comprobando, es "remendar" el Registro reparando las entradas que podemos presumir afectadas. Por ejemplo, restaurar sistema es muy probable que podamos repararlo creando y ejecutando un .reg con este texto:

Restaurar sistema:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr]
"Type"=dword:00000002
"Start"=dword:00000000
"ErrorControl"=dword:00000001
"Tag"=dword:00000004
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,73,00,72,00,2e,00,73,00,79,00,73,\
00,00,00
"DisplayName"="System Restore Filter Driver"
"Group"="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters]
"FirstRun"=dword:00000000
"DontBackup"=dword:00000000
"MachineGuid"="{EAAFAEEC-4AFE-42BE-83D9-C12FDD4942A6}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Enum]
"0"="Root\\LEGACY_SR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


pero no es fácil identificar otras ramas de Regstro que puedan estar también afectadas y que merman la eficiencia del sistema.

La reinstalación, sea en un modo u otro, tiene aquí la ventaja de que elimina todos los puntos de restauración. Y esto es unna ventaja; porque probablemente ese sea el nido donde está cobijado "el bicho".


Saludos y suerte!.
Qui dove il mare luccica e tira forte il vento


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot] y 4 invitados