Urgente..necesito saber que es... (SOLUCIONADO)

Mayfill · Mensaje por **Mayfill** » 17 Mar 2007, 05:20

Hola a todos:

Les explico q acabo de escanear la comp con antivirus AVG y me salio esto, podrian decirme q es? Dice q el objeto se encuentra en C:\ Windows\systems32\ntoskrnl.exe, resultado change y status changed, pero mas sin embargo, sale sin errores y sin Threats, si no esta infectada q es esto???

Mensaje por **msc hotline sat** » 17 Mar 2007, 08:51

Debe estar hablando de un componente virico que se instala en el objeto NTOSKRNL.EXE, que es del sistema operativo

Arranque en modo seguro, desactiva la restauracion de sistema y lance su antivirus para eliminar el virus que sea.

Y si persiste el problema, empiece indicandonos el virus del que se trata, que se lo dice su antivirus al mismo tiempo que lo indicado del objeto NTOSKRNL.EXE :wink:

saludos

ms, 17-03-2007

Mayfill · Mensaje por **Mayfill** » 17 Mar 2007, 17:12

Hola MSC: La restauracion de sistema lo apago en modo seguro o antes de ir a modo seguro??

Nuker · Mensaje por **Nuker** » 17 Mar 2007, 18:44

Interviniendo.

Apagala en Modo Seguro y luego lanzas el Antivirus.

Saludos.

Mayfill · Mensaje por **Mayfill** » 17 Mar 2007, 19:21

Hola: Tarde lo apague antes, pase el AVG q tengo, pero como no se como eliminarlo, le pase el q ustedes recomiendan online y no me lo detecto. Ayudame que puedo hacer. Ahora mismo estoy en modo seguro con funciones de red.

17-03-07 1:26pm hora de P.R.

Mensaje por **lucl** » 17 Mar 2007, 19:28

prueba con esto

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

y nos cuentas que tal, saludos

Mayfill · Mensaje por **Mayfill** » 17 Mar 2007, 23:04

Hola a todos: Escanee con Nanoscan y solo encontro cookies de rastreo, lo otro no lo detectó. Diganme q otra cosa se puede hacer. Espero su respuesta y gracias por la ayuda, sin ustedes no se q haria, son un excelente equipo. :D

Se me habia olvidado decirte q escanee antes con Trend y ni detecto las cookies ni lo otro.

Nuker · Mensaje por **Nuker** » 18 Mar 2007, 00:49

Pues puede que ya no tenga el virus y solo haya sido una falsa alarma.
Pasale el HijackThis en Modo Normal para verificar tus procesos y programas en ejecucion, Solo abres y le das en "scan and save log file" copias contenido del bloc de notas y lo pegas aquí.

HijackThis:
http://www.zonavirus.com/descargas/tren ... ckthis.asp

Mayfill · Mensaje por **Mayfill** » 18 Mar 2007, 16:41

Hola Nuker: Te dire q todavia lo tengo pues volvi a escanear con el Avg y me sale. Pase el HJThis y aqui te pongo el resultado, espero tu analisis y respuesta, gracias.

Logfile of HijackThis v1.99.1

Scan saved at 10:38:59 AM, on 3/18/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\sm56hlpr.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\Grisoft\AVG7\avgw.exe

C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\linda\LOCALS~1\Temp\Temporary Directory 2 for hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://telemundo.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvce1.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586-jc.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Nuker · Mensaje por **Nuker** » 18 Mar 2007, 19:47

No se ha encontrado rastro virico.

Como te comentaba MSC observa en la alerta si no te da algun nombre de virus. o si no te da alguna ruta, la cual puedas seguir.

Mensaje por **msc hotline sat** » 18 Mar 2007, 21:35

Si no te da ningun otro problema que la deteccion por un solo antivirus en la forma indicada, posiblemente se trate de un falso positivo, espera un tiempo a ver si con una version nueva deja de aparecer, señal que lo habrán cprregido...

saludos

ms, 18-03-2007

Mayfill · Mensaje por **Mayfill** » 19 Mar 2007, 00:23

Saludos msc: Pues volvi ahora mismo a escanearla y aparecio nuevamente pero con otro detalle abajo q dice cannot open; not checked y abajo dice boot sector of disk C. :cry: :cry:

Mayfill · Mensaje por **Mayfill** » 19 Mar 2007, 01:38

[quote="Mayfill"]Saludos msc: Pues volvi ahora mismo a escanearla y aparecio nuevamente pero con otro detalle abajo q dice cannot open; not checked y abajo dice boot sector of disk C. pero esto salio cuando puse a scanear unicamente el archivo, luego puse a scanear el disco C y no me salio lo mismo. :?: Ustedes me diran q hacer. :cry: :cry:[/quote]

Mensaje por **msc hotline sat** » 19 Mar 2007, 13:15

Miralo con otros antivirus.

Si arrancando en modo seguro con funciones de red dices que no lo detecta, lo mas probable es que se trate de una falsa alarma, y hasta que no lo corrijan...

Voy a ver si dicen algo al respecto en los foros de AVG

Mensaje por **msc hotline sat** » 19 Mar 2007, 13:24

Sí, por lo visto ya es conocido con AVG:

http://forums.cnet.com/5208-6132_102-0.html?forumID=32&threadID=238573&messageID=2431974

"Too stop this:open the AVG Test Center, click the F3 key on your keyboard and tell it to accept the changes. If it still shows something as changed after this.. delete the file named AVG7QT.DAT in C:\ and AVG will rebuild it the next time it is run. "

o en :

http://help.lockergnome.com/windows/ntoskrnl-exe-change-reported-AVG-ftopict560287.html

ver : http://forum.grisoft.cz/freeforum/read.php?8,23153,23226

O mira directamente de AVG:

http://forum.grisoft.cz/freeforum/read.php?8,94433,94481

y si quieres mas informacion, escoje:

http://www.google.es/search?sourceid=navclient&hl=es&ie=UTF-8&rls=GGLD,GGLD:2003-51,GGLD:es&q=avg+ntoskrnl

saludos

ms, 19-03-2007

Mayfill · Mensaje por **Mayfill** » 21 Mar 2007, 02:03

Hola: :D Gracias por todo; fui a los enlaces y lei sobre el asunto, a mi no es la unica q le ha pasado esto. Pero ya acepte el cambio y a ver q pasa. Por lo visto.....no hay de que preocuparse, pero voy a estar bien pendiente a esto. Gracias otra vez, por todo el tiempo dedicado. No hay foro como este. Entre nos aca, ni el de AVG se compara con este, dan mucha informacion, pero por lo q vi, solo dicen ve a este enlace ve a este otro. No como ustedes que se preocupan de verdad en buscar soluciones a los problemas de los q nos dirigimos a ustedes. Un saludo bien grande. :wink: :P

msc si asi lo deseas, puedes dar por cerrado el tema.

Un fuerte abrazo a todos.

PD. Volvi a scanearla y ya no parece.

Mensaje por **msc hotline sat** » 21 Mar 2007, 14:34

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 21-03-2007