Problema por Hacktool.Rootkit reportado XNorton(SOLUCIONADO)

Cerrado
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 18 Ago 2007, 10:32

pues que si pudiste abrirte otra cuenta nueva y si pudieras darle opciones de administrador, deberias poder pasar por ahi todos los antivirus y herramientas necesarias, yo tampoco veo nada en el hijackthis por eso te comente, si quieres vuelves a llevarlo al removedor que te indique y a ver si te dice de eliminar algo, lo recuerdas? ten paciencia y repitiendo los pasos una y otra vez iras avanzando, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 18 Ago 2007, 20:09

Buenas amigos espero que sea un buen feliz de semana, pero siguiendo los pasos que habiamos hecho ahora en la nueva cuenta de usuario tenemos: :?:



[b] 1.- Corri el antivirus VIRUSSCAN que me recomendaste de CA y encontro estos virus que debo hacer para eliminarlos o puedo eliminar esos archivos sin problemas. Te anexo Reporte:[/b]



Virus scan finished. 7 viruses found.

Scan Results: 91430 archivos explorados. 7 virus detectados.



File Infection Status Path

cnte-dhncgts.jar-3a527af9-625d28c9.zip>BnnnnBaa.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>VaannnaaBaa.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Dnnny.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Bnnnnn.class Java/Shinwow.BL no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Den.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Din.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Dun.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\





[b]2.- Tambien corri el NANOSCAM y no arroja nada al respecto.[/b]



[b]3.- En la misma pagina vi la opcion del TOTALSCAN y la corri en forma completa y encontro esto virus te anexo el reporte:[/b]



;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-08-18 11:35:52

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00167691 Cookie/ademails TrackingCookie No 0 Yes No C:\Documents and Settings\Para probar Henry\Cookies\para_probar_henry@www.ademails[1].txt

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================



[b]4.- Subi el archivo c:\windows\nircmd.exe para analizarlo con VIRUSTOTAL y reporta esto segun reporte que te anexo:[/b]



Motor antivirus;Versión;Última actualización;Resultado

AhnLab-V3;2007.8.18.0;2007.08.18;-

[b]AntiVir;7.4.1.62;2007.08.18;APPL/NirCmd.1[/b]

Authentium;4.93.8;2007.08.17;-

Avast;4.7.1029.0;2007.08.17;-

AVG;7.5.0.484;2007.08.18;-

BitDefender;7.2;2007.08.18;-

CAT-QuickHeal;9.00;2007.08.18;-

ClamAV;0.91;2007.08.18;-

DrWeb;4.33;2007.08.18;-

eSafe;7.0.15.0;2007.08.16;-

eTrust-Vet;31.1.5069;2007.08.18;-

Ewido;4.0;2007.08.18;-

FileAdvisor;1;2007.08.18;-

Fortinet;2.91.0.0;2007.08.18;-

F-Prot;4.3.2.48;2007.08.17;-

F-Secure;6.70.13030.0;2007.08.17;-

Ikarus;T3.1.1.12;2007.08.18;-

Kaspersky;4.0.2.24;2007.08.18;-

McAfee;5100;2007.08.17;-

Microsoft;1.2803;2007.08.18;-

NOD32v2;2469;2007.08.18;-

Norman;5.80.02;2007.08.17;-

[b]Panda;9.0.0.4;2007.08.18;Application/NirCmd.A[/b]

Rising;19.36.52.00;2007.08.18;-

[b]Sophos;4.20.0;2007.08.12;NirCmd[/b]

Sunbelt;2.2.907.0;2007.08.18;-

Symantec;10;2007.08.18;-

TheHacker;6.1.8.170;2007.08.17;-

VBA32;3.12.2.2;2007.08.17;-

VirusBuster;4.3.26:9;2007.08.18;-

[b]Webwasher-Gateway;6.0.1;2007.08.18;Riskware.NirCmd.1[/b]



Información adicional

Tama?rchivo: 51200 bytes

MD5: c1c4f864edf67dfda95b9819263e2939

SHA1: c5594412595c73e740cafaa4de4b55a4d489ad51





[b]5.- Corri el Hijackthis y lo voy a pasar por el analizador te anexo reporte:[/b]



Logfile of HijackThis v1.99.1

Scan saved at 12:33:51 p.m., on 18/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Hijackthis 1.99.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SYS

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ve/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe





[b]6.- Despues de pasarle el analizador estas son las claves que salen en rojo para que las puedas revisar:[/b]



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja "CoolWebSearch Ctfmon32 parasite variant" [/u]



[b]Subi el archivo C:\WINDOWS\system32\CTFMON.EXE para analizarlo con VIRUSTOTAL y no reporta nada en su analisis.[/b]



O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja ShellServiceObjectDelayLoad Registry key autorun

HJT automatically weeds out the good ones here so we'll flag this as bad. Consult a HJT expert before cleaning anything.

[/u]




O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



[b]7.- Instale la version 1.41 de CCleaner y lo corri borro unos cookies y hizo bacup de 19 entradas del Registro y luego no encontro mas ninguna.[/b]



Espero tu respuesta despues de esta revision y tratare de correr el Elirestr que es el unico que falta despueste informo.






















Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 18 Ago 2007, 21:14

Buen trabajo si señor, sobre el cirnmd, yo te aconsejo enviar a zonavirus a que te lo analicen, dime si lo has echo ya, ya que es imposible que recuerde todo lo que enviais al ser varios los que posteais,



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





ademas renombralo a .vir ¿eso estaba echo ya? para que no se vuelva a ejecutar,



sobre las entradas , la 02 puede corresponder al msn o a algun otro tipo de programa, si quieres haz fix cheked en ella, sobre la 04 no la toques, seria virico si pusiera ctfmon32.exe, ese si que es virus, si tienes el office instalado no la debes de quitar, ya viste que virustotal no te la dio como mala.



las 09 corresponden a un diagnostico de errores de windows o algo asi, la 021 quitala, y sobre las de symantec, yo te aconsejaria que lo desinstales del todo y vuelvas a instalarlo

prueba este desinstalador para que te lo quite bien



http://ask.softonic.com/ie/43087/Norton_Removal_Tool__SymNRT_





Sobre lo que te da el online de java, intenta acceder a la carpeta , a una mala desinstalala e instala de nuevo



http://www.java.es



instalate tambien el spybot, lo descargas, actualizas y lo pasas a mi me gusta mucho ese programa, es muy eficaz



http://www.zonavirus.com/descargas/spybot-sd.asp



este deberia quitarte cookies molestas que te salen en el nanoscan



por cierto veo que tienes alguna clave del avg, es un resto?



bueno me comentas los pasos que das , y ya mañana continuamos, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 19 Ago 2007, 17:18

Buenas amigo, te dare un resumen de lo hecho hasta ahora:



[b]1.- Archivo NIRCMD.EXE[/b]

Enviada muestra a ZONA VIRUS (Zip con Password=virus)

Renombrado a NIRCMD.VIR



[b]2.- Con la entrada 02, lo que hice es desinstalar Windows Live Messenger por los momentos. [/b]



[b]3.- Elimine la clave 021.[/b]



[b]4.- Desinstale todo Norton Internet Security lo instalare luego.[/b]



[b]5.- Sobre las claves de AVG, yo lo tengo instalado, [u]lo debo quitar[/u].[/b]



[b]6.-Corri el hijackthis despues de la desintalacion nombrada para ver que cosa hay, [u]te lo anexo al final del mensaje[/u].[/b]



[b]7.- Instale el Spybot- S&D lo actualize y corri el analisis encontro esta entrada que debo hacer darle [u]Solucionar los Problemas y eliminar la entrada abajo descrita[/u].[/b]



--- Search result list ---

Microsoft.WindowsSecurityCenter_disabled: Configuración (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2



[b]8.- Con respecto a lo de java el link que me pusiste no funciona y [u]te pregunto no puedo borrar esa entrada en esa carpeta y elimino lo reportado por TOTALSCAN[/u][/b]



[b]9.- Queria hacerte una observacion en las cuentas de usuarios inhabilitadas cuando tu vez las Opciones de Internet la ficha de Seguridad en los sitios no ves los normales que son internet, intranet , etc solo ves el simbolo del internet explorer. [/b]



[b]Logfile of HijackThis v1.99.1

Scan saved at 09:53:31 a.m., on 19/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)[/b]




Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe

C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe

C:\Archivos de programa\Digital Line Detect\DLG.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijackthis 1.99.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SYS

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ve/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)





[b]SALUDOS[/b]

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 19 Ago 2007, 21:46

Bien sobre lo del avg, no tengas dos antivirus, elige solo uno porque suelen dar problemas, en cuanto al java, elimina con tranquilidad, y luego eso que comentas de lo de seguridad en opciones de internet, mira a ver si puedes poner [b]restablecer a nivel predeterminado[b], si puedes hacer ese cambio sube el nivel de seguridad, a alta, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 19 Ago 2007, 22:27

Gracias amigo por tu atención a mi problema.



No me refieres nada del punto numero 7. Por favor comentame algo para saber que hacer con esa entrada que dice el Spybot- Search & Destroy le doy solucionar el problema para que el la elimine.



Por favor tambien dime algo con respecto al punto 3.- que te anexe en un mensaje anterior con respecto a la ubicacion de estos archivos que presentan problemas pero al cual yo no tengo acceso y esta identificado como C:\System Volume Information\_restore te anexo reporte y recuerda YO NO TENGO ACTIVADO EL RESTAURAR EL SISTEMA:



3.- En la misma pagina vi la opcion del TOTALSCAN y la corri en forma completa y encontro esto virus te anexo el reporte:



;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-08-18 11:35:52

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00167691 Cookie/ademails TrackingCookie No 0 Yes No C:\Documents and Settings\Para probar Henry\Cookies\para_probar_henry@www.ademails[1].txt

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 20 Ago 2007, 08:02

Hola henry, sobre el punto 7, perdona no me di cuenta que lo psaba, si, debes darle a reparar problemas, en cuanto a lo del nanoscan, efectivamente te encuentra el nircmd pero que como ya estamos esperando a que te lo analicen pues tienes que esperar un poco , el tema es que estan trabajando unos pocos, pues el resto esta de vacaciones, si no iria mas rapido, te lo aseguro, por desgracia lo de restaurar sistema no lo tenias activado antes , y no tienes ahora mismo un punto bueno de restauracion pues tu ordenador sigue infectado, hazlo con la cuenta de usuario nuevo a ver que pasa, pero creo henry que debes esperar, tratare de hablar con los administradores a ver si pueden acelerar lo de tu virus, pero lo veo un poco complicado mas que nada porque no estan, te dire ademas que puedes llamarme luci :wink: , dime si solucionas algo con el restaurar sistema , aunque ya te digo que al no haber una fecha buena no podemos usar eso. Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Ago 2007, 09:30

A instancias de un privado de lucl, entro en este TEMA cuando apenas acabo de llegar de vacaciones.



Simplemente creo que os olvidais de que, una vez desactivada la restauracion de sistema, [b][i]arrancando en Modo seguro con funciones de Red[/i][/b], lanzar el AV ONLINE aconsejado y colorin colorado...





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]



Cuentanos el resultado, gracias



saludos



ms, 20-08-2007



Si aun asi persistiera vivo este "C:\WINDOWS\nircmd.exe " , que puede ser un RootKit, simplemente arrancar en consola de recuperacion, con el CD de instalcion, y desde entorno DOS borrar el fichero con un DEL. ms.

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 20 Ago 2007, 16:55

:lol: Disculpa LUCI, :lol: a veces este medio no nos permite diferenciar algo tan bello y primordial en la comunicación como es el SEXO.

Pero ahora que hemos compartido un poco más nos permitimos llamarnos por nuestro nombres de pila que los nick de identificacion de los foros no lo permiten mi nombre es HENRY.



Bueno le pase Solucionar Problemas a la entrada que hablamos y la soluciono volvi a correr el analisis y no reporto nada.



Borre el archivo de java que estaba reportando infección sin problemas.



No he corrido el "elirest.vbs" hace falta que lo corra espero que me digas que hacer.



Corri el TOTALSCAN que es el que reporta los virus en el archivo C:\System Volume Information, pero cuando termina y reporta los virus y da la opcion de desinfectar no funciona porque no puede confirmar mi registro como miembro de TOTALSCAN.



Tambien requiero explicacion sobre el arranque en Consola de Recuperacion ya que mi maquina es una DELL y no trajo CD de Instalacion de Windows, sino cuando tu restauras ella se reinstala el Sistema Operativo como vino de Fabrica.

Tambien si puedo utilizar otro CD de Instalacion de un Windows XP.





:lol: Saludos y muchas gracias :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Ago 2007, 17:15

A la pregunta de si puede entrar en Consola de Recuperacion arrancando con otro CD de instalacion, la respuesta es afirmativa



Y te dejo en manos de lucl con quien tan bien te entiendes :wink:



saludos



ms, 20-08-2007

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 20 Ago 2007, 20:40

hola henry, es que despues de varios post de llamarme amigo me parecio bien aclarartelo , en cuanto a la recomendacion de msc, siguela, te advierto que el tiene muchisisiisisiisisismos años mas de experiencia que yo y para eso es admin de esto, yo que soy una simple novata y aficionada a este foro en el que estoy, saludos :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 21 Ago 2007, 05:14

[quote="lucl"]soy una simple novata y aficionada a este foro[/quote]

Lo de aficionada si, pero lo de novata ...



y lo de que "tiene muchisisiisisiisisismos años mas de experiencia que yo", vaya una forma fina de llamarme viejo :wink:



Bueno, a esperemos a ver como progresa la solucion del problema.



saludos



ms, 21-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 21 Ago 2007, 17:09

Disculpen que no les haya contestado, le voy hacer una pregunta de ignorancia, que voy a hacer cuando inicie como consola de Recuperación.



[b]Porque yo habia renombrado el archivo C:\windows\nircmd.exe a C:\windows\nircmd.vir y lo dejo hacer,

luego lo elimine de la carpeta de windows sin ningun problema, ahora solo me queda reportado por el SCANNER del TOTALSCAN (PANDA) estos archivos que anexo reporte:[/b]




ANALYSIS: 2007-08-21 10:43:08

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location





[b]En este reporte se refleja que yo tengo el Norton Internet Security 2007, eso era cierto, pero actualmente no esta instalado, no se de donde saca la informacion al respecto. [/b]



[b]LA PREGUNTA ES VOY A ELIMINAR ESTAS ENTRADAS DE ESOS ARCHIVOS DESDE LA CONSOLA DE RECUPERACION EN LA CARPETA DEL C:\SYSTEM VOLUME INFORMATION\.... Y QUE HAGO CON LA FICHA DE RESTAURAR EL SISTEMA QUE SIEMPRE A ESTADO DESACTIVADA Y POR ESO NO TENGO COMO HECHAR PARA ATRAS A UN DIA ESPECIFICO SIN PROBLEMAS.[/b]



[b]DISCULPEN ESTO ES PURA IGNORANCIA SOBRE EL TEMA PUEDEN ACLARARME ALGO AL RESPECTO.[/b]



Saludos y no peleen Luci y tu sobre lo de novata y lo de muchissisisisisisimos años de experiencia lo que te hacer ver viejo, porque de verdad les agradezco toda su ayuda.

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 21 Ago 2007, 17:23

Tranquilo que no peleamos, haz lo que te dijo msc, pasa el online que te indicamos y veamos que te dice ahora , este ademas es probable que te lo elimine .



https://www.virustotal.com/es/





En cuanto a la restauracion de sistema debes ponerla en marcha para futuras ocasiones, asi que vete a



inicio-----todos los programas-------accesorios-----herramientas------ restauracion de sistema, y a ver alli que pasa, intenta restaurar a un punto anterior, a ver si te sale alguna fecha, y si no lo hace pues dale a crear punto de restauracion, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 21 Ago 2007, 22:49

Ese link que me colocan para correr online, no me arroja ningun problema el que lo arroja es este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus// que despues de correr el NANOSCAN te da una opcion de correr el TOTALSCAN en este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/analisis.aspx?type=allpc



y da estos resultados:



ANALYSIS: 2007-08-21 10:43:08

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location



Hazte miembro de TotalScan Pro y disfruta de la máxima capacidad de detección y desinfección:



Detecta más de 1.100.000 virus, spyware, troyanos y otras amenazas.

Actualizaciones continuas: más de 2.500 virus nuevos por día.

Incluye desinfección.



Compra TotalScan Pro y hazte miembro.





[b]El online que me indico msc no arroja ningun resultado. :!: :!: :!: Que hago :!: :!: :!: [/b]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Ago 2007, 06:26

Pues como que estan todos en el RESTORE, desactiva la restauracion de sistema, arranca en modo seguro con funciones de Red y con este antivirus que lo has detectado, lanzalo que asi podras eliminarlos



Luego no te olvides de volver a activar la restauracion de sistema para ir teniendo puntos de restauracion, a los cuales acceder en caso de neesidad.



y nos cuentas el resultado, gracias



saludos



ms, 22-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 22 Ago 2007, 14:28

Buenas a todos y gracias por toda la ayuda,



Resulta que SI todos los archivos detectados estan en el _Restore, [b]pero yo nunca he tenido la opcion de RESTAURAR SISTEMA ACTIVADA.[/b]



YO he corrido este antivirus TOTALSCAN en Modo Seguro con Funciones de Red, pero cuando termina el proceso de Analisis y te reporta la deteccion de archivos infectados, te da la opcion de DESINFECTAR pero te informa que tienes que ser miembro de TOTALSCAN lo cual ya hice pero hasta que no confirmes a traves de E-Mail que ellos te mandan el cual nunca me ha llegado y no es por problemas de error en el correo porque cuando intento registrame de nuevo me dice que ya estoy registrado y me da el mismo mensaje de confirmacion y he tratado de hacerlo con otro correo y dice lo mismo.



Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Ago 2007, 18:25

Y con el de CAI no te lo detecta de la misma manera ???





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





saludos



ms, 22-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 22 Ago 2007, 20:06

[b]No con el CAI no detecta absolutamente nada por eso es que en el mensaje anterior especifique,

con cual link es que me permite detectarlo y [u]recuerda YO nunca he tenido activado el RESTAURAR SISTEMA[/u].[/b]

[quote]Ese link que me colocan para correr online, no me arroja ningun problema el que lo arroja es este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus// que despues de correr el NANOSCAN te da una opcion de correr el TOTALSCAN en este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/analisis.aspx?type=allpc



y da estos resultados:



ANALYSIS: 2007-08-21 10:43:08

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location



Hazte miembro de TotalScan Pro y disfruta de la máxima capacidad de detección y desinfección:



Detecta más de 1.100.000 virus, spyware, troyanos y otras amenazas.

Actualizaciones continuas: más de 2.500 virus nuevos por día.

Incluye desinfección.



Compra TotalScan Pro y hazte miembro.





El online que me indico msc no arroja ningun resultado. :!: :!: Que hago :!: :!: [/quote]


[b]Si existe alguna otra herramienta o hay algun otro antivirus conque los pueda eliminar diganme.[/b]



[b]Tambien queria preguntarte algo porque me he puesto a leer algunos post del foro, porque cuando yo corri el Elistart y el Elitrip el scanner que hace le hace al disco C:\ solo llega hasta el Document and Settings y no continua a los otros archivos que existe en el disco como la carpeta de WINDOWS.[/b]

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 24 Ago 2007, 21:16

Pues bueno, si no lo detectas con lo que tienes a mano, como que por otro lado te dicen que estña infectado, los eliminas y listos.



Para ello desactiva la restauracion de sistema (comprueba que la casilla esté marcada), arrancas en modo seguro, de vas a la carpeta indicada y borras todos estos ficheros y listos.



Sobre el que no te pase de un punto determinado el escaneo, puede que se pierda fuera del disco duro si esta mal asignado y le indica que el trozo siguiente está en un sector inexistente, y va y no puede volver...



Prueba una comprobaicon de errores y desfragmenta, tras ello igual se habrña corregido y lo ana,izara todo, como debe ser:



MIPC-> Boton derecho sobre unidad C-> Propiedades-> Herramientas -> Comprobar errores/desfragmentar



y nos informas del resultado, gracias



saludos



m,s, 24-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 24 Ago 2007, 22:23

Amigos perdonen el fastidio pero si hubiese podido hacer eso que me dices de borrar los ficheros de la [b]Carpeta C:\System Volume Information,[/b] la cual creo que es la carpeta que se usa, cuando tu [u]restauras el sistema [/u]a un punto anterior especifico, ya lo hubiese hecho, pero resulta que no puedo accesar dicha carpeta porque me dice [b]"no puedo tener acceso a C:\System Volume Information. Acceso Denegado"[/b].



Tambien todas las cosas que he hecho, las he hecho en modo Seguro.



Como les habia dicho YO nunca he tenido activada la [u]Restauracion de Sistema [/u]y ahora creo que si la activo y hago una restauracion desde un punto anterior despues de activada [u]voy a activar con ello el VIRUS [/u]que existe en las carpetas reportadas en el SYSTEM VOLUME INFORMATION.



Las cuentas inhabilitadas anteriormente continuan igual ya las probe y estan iguales.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Ago 2007, 10:36

No se pretende que restaure nada, solo que desactive la restauracion del sistema, marcando la casilla en cuestion, para poder acceder a la carpeta del RESTORE y eliminar su contenido



Fijese que le decimos marcar la casilla, que equivale a desactivar la restauracion



Bueno, si ya está claro lo hace y si no, comentenos su duda, gracias



saludos



ms, 25-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 25 Ago 2007, 14:12

mi duda es que yo tengo marcado [b](desactivada)[/b] la restauracion del sistema y no tengo acceso a la carpeta,

que debo hacer activarla para tener acceso a la misma y luego que elimine los archivos la activo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Ago 2007, 19:48

No, si tiene marcada la casilla (desactivada la restauracion) y arranca en modo seguro como Administrador, debe poder acceder a dicha carpeta y eliminar su contenido.



saludos



ms, 25-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 26 Ago 2007, 07:23

La Cuenta de Usuario que estoy utilizando [u]tiene privilegios de Administrador y estoy en modo seguro [/u]y no tengo acceso a la Carpeta C:\System Volume Information para eliminar estos archivos. :?: :?:



Ya probe con la cuenta Administrador en Modo Seguro y no puedo [u]ni siquiera ver esta carpeta [/u]y he tratado de activarla en la opcion de Opciones de Carpeta y no permite ver los archivos ocultos del Sistema. :?: :?:



Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Ago 2007, 07:28

Y por supuesto tienes la Restauracion de sistema desactivada ... pues algo no va bien en tu maquina



Prueba ejecutando en SRESTORE a ver si tras ello puedes:





SRESTORE.EXE

http://www.zonavirus.com/descargas/srestore.asp



saludos



ms, 26-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 26 Ago 2007, 07:40

Ya lo corri [b]el SRESTORE [/b]y activo la casilla de Restaurar el Sistema debo ahora desactivarla para probar a ver si tengo acceso. Ya estoy en Modo Seguro con opciones de Red.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Ago 2007, 07:46

A ver que el lenguaje aquí es crítico:



Dice "Ya lo corri el SRESTORE y activo la casilla de Restaurar el Sistema debo ahora desactivarla para probar a ver si tengo acceso. Ya estoy en Modo Seguro con opciones de Red. "



quiere decir que ha activado la casilla o que la activa Vd, o sea si ya la activó, y en tal caso si activó la casilla tiene desactivada la restauracion, dejela así, aranque en modo seguro y pruebe la eliminacion



saludos



ms, 26-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 26 Ago 2007, 08:51

Como te lo habia dicho antes, desde que compre la maquina en [u]la opcion de Restaurar Sistema habia un tilde en la opcion de DESACTIVAR RESTAURAR SISTEMA[/u], lo que para mi significa que esta [b]desactivado[/b].



Ahora que ejecute [b]el SRESTORE [/b]que me sugeriste en el mensaje anterior lo que veo es que me activo o quito el tilde a la opcion de RESTAURAR SISTEMA, lo que significa para mi que [u]esta activada la opcion de RESTAURAR SISTEMA[/u].



Que debo hacer porque ahora esta diferente que como estaba antes, te anexo imagen de la pantalla.



Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 26 Ago 2007, 09:57

Entendidos, es que es un poco raro lo que te pasa, pues vuelve a ejecutar el SRESTORE, con lo cual se desactivara la restauracion, y si tras ello arrancas en modo seguro y mira si puedes eliminar los ficheros del RESTORE, o es que no ves ficheros allí ???



saludos



ms, 26-08-2007

Cerrado