iexplore.exe, spoolsv.exe, wuauclt.exe, etc.... :s

[Doohan05]

Hola. Lo primero de todo decir que soy nuevo en este grandísimo foro que he seguido para resolver antiguos problemas míos dada vuestra eficacia.

Pero ahora es por demás. Tengo desde hace tiempo un problema con el proceso iexplore.exe. Al poner en marcha el ordenador se me inicia solo y me sale una ventana llamada masterfoo de publicidad. He leido todas o casi todas las soluciones que han dado a problemas con ese proceso, pero no he sido capaz de eliminarlo. Me bajé el elistara y siguiendo los pasos de otro post tampoco.
También tengo desde hará el mismo tiempo el wuauclt.exe. Se me inicia solo.
Otro proceso que me mosquea y que he leido que es malo es el spoolsv.exe. Dicen que es la cola de impresión, pero teniendo en cuenta que no tengo ninguna impresora instalada me extraña... Y creo que me entró este y algun proceso maligno más cuando acepté un archivo de un amigo de toda la vida del msn, hace poco tiempo.
Le he pasado al ad-aware 6.0, el Spybot S&D (me localiza 2 o 3 robots, pero siguen los mismos procesos iniciandose), avgas( este me detectó algo pero ninguna de estas cosas), el elistara, y algun programita mas. Aparte tengo el Kaspersky actualizado y le hice un análisis completo y no me ha eliminado nada tampoco.

A ver si pueden hacer algo por mi.... Si no como último recurso formatearía, pero si se puede evitar....

Saludos Doohan05.

P.D. A la espera de vuestras directrices
P.P.D. Edito para decir que el spoolsv.exe cuando finalizo tarea al poco tiempo se vuelve a iniciar. Se me había olvidado comentarlo.

[msc hotline sat]

Dice "cuando acepté un archivo de un amigo de toda la vida del msn" Craso error! Nunca acepte regalitos del messenger , pues acostumbran a ser virus que se envian a todas las cuentas sin saberlo, como Vd ha hecho con sus contactos en cuanto se infectó ...

Hay muchos de Fotos... entre ellos los tristemente famosos de Fotos_Celular y Fotos-Posse, de los que hay cientos de Temas en este foro.

El suyo, si el ELISTARA no lo ha detectado y eliminado, será otras variante no controlada.

Como que habla de este SPOOLSV.EXE, sepa que algunos virus usan como gusanos nombres de ficheros conocidos, como este, pero ubicados en otra parte, no en la carpeta de sistema que es donde debe estar y cargarse dicho fichero, o bien usan nombre parecido, por ejemplo SP00LSV.EXE que nada tiene que ver con SPOOLSV.EXE aunque estuviera en la misma carpeta (Fijese la picaresca de usar ceros en lugar de oooos)

Envienos el fichero de marras, no el del sistema operativo, sino el que cargue desde otra parte o con otro nombre segun indicado, y lo analizaremos

->Para ello recordar: viewtopic.php?f=2&t=45334

Si no lo encontrara, posteenos log del HJT y lo analizariamos:
HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos

ms, 16-06-2007

[Doohan05]

Gracias por responder. Como no se seguro cual es el archivo malo pongo aquí el LOG del HJT:

Logfile of HijackThis v1.99.1
Scan saved at 13:27:47, on 17/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Opera\Opera.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\unziped\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09BE6327-20F9-D9AE-4D82-082E9073E0F5} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O12 - Plugin for .aspx: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?1&4&04.00.09.13&unknown&unknown&http://automobiles.honda.com/models/mov_iframe_viewpt.asp?path=/images/banners/2006/s2000/exterior_viewpoint&FrameBGColor=%23FFFFFF&ModelNameDir=s2000.mtz&FlashNav=whole.swf&MediaDimensions=454x240%3A%3A454x107
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://doohan05.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139074632062
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: oPgLXF - {B0B39A2C-1A19-3086-3C50-D018A1EFCFE8} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Saludos Doohan05.

[Doohan05]

Bueno pues al rato de tener el ordenador en marcha me sale el siguiente proceso también:



helpsvc.exe. Me sobrepasa la RAM en mucho, teniendo en cuenta que solo tengo de momento 256mb. Me llega a alcanzar los 600mb con ese proceso. Si finalizo tarea desaparece, y si no lo finalizo desaparece al tiempo.



Saludos Doohan05.



P.D. Parece que tengo todo lo malo que hay en internet concentrado en mi ordenador.... Vendooo Vendo virus!!!!!. xD.

[msc hotline sat]

Ante todo, actualice los parches lanzando un windowsupdate.

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Le faltan todos los del SP2 y posteriores !!!

Aparte elimine estas claves:
O2 - BHO: (no name) - {09BE6327-20F9-D9AE-4D82-082E9073E0F5} - (no file)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: oPgLXF - {B0B39A2C-1A19-3086-3C50-D018A1EFCFE8} - (no file)

->Para ello recordar: viewtopic.php?f=2&t=45334

pero el kit de la cuestion está en la muestra que le hemos pedido. En cuanto la recibamos, la analizaremos e informaremos

saludos

ms, 17-06-2007


nota: deciamos en un post anterior:

"Como que habla de este SPOOLSV.EXE, sepa que algunos virus usan como gusanos nombres de ficheros conocidos, como este, pero ubicados en otra parte, no en la carpeta de sistema que es donde debe estar y cargarse dicho fichero, o bien usan nombre parecido, por ejemplo SP00LSV.EXE que nada tiene que ver con SPOOLSV.EXE aunque estuviera en la misma carpeta (Fijese la picaresca de usar ceros en lugar de oooos)

Envienos el fichero de marras, no el del sistema operativo, sino el que cargue desde otra parte o con otro nombre segun indicado, y lo analizaremos "

[Doohan05]

No te ha llegado?? Te lo vuelvo a enviar ahora mismo.



En cuanto a lo del windowsupdate... El ordenador se lo compré a mi hermano y creo que a él le pusieron el Windows pirata o algo, porque no me deja actualizar. Cuantas tonterias se hacen.



Saludos Doohan05.



P.D. miraré a ver si puse mal la dirección de correo.

[msc hotline sat]

Veremos si ha llegado cuando entremos a trabajar en SATINFO, dentro de algo mas de 3 horas, y en tal caso lo analizaremos e implementaremos su control y eleiminacion, si procede , en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-06-2007

[msc hotline sat]

Recibidas dos muestras de SPOOLSV.EXE que no tienen rutinas viricas sino que son de dos versiones de microsoft



Se descartan estos ficheros al no ser malwares



saludos



ms, 18-06-2007

[Doohan05]

He borrado las claves del registro que me dijiste.



En cuanto al spoolsv.exe... No es malo por lo que dices.

Que debo hacer ahora con todos los procesos malignos que tengo? :cry:



El iexplore.exe me sale desde hace mucho mas tiempo que el spoolsv.exe y todos los demás que te comenté.



Saludos Doohan05.



P.D. Perdona por la tardanza pero he estado con una contractura en la espalda jodidilla :wink:



P.P.D.2. ¡¡Estás solicitadísimo!!! jeje.

[msc hotline sat]

Pues que mejore esta espalda !

Y dado que los ficheros son del sistema, mira que no tengas colas de impresion atrapadas como este otro Tema, que he resuelto eliminandola:

viewtopic.php?f=5&t=19261

Haz lo mismo, por si fuera el caso y nos informas del resultado, gracias

saludos
ms, 19-06-2007

[Doohan05]

Yo no tengo nada en la carpeta printers..... Lo veo bastante imposible ya que como te comenté no tengo ninguna impresora instalada en el ordenador, con lo cual no creo que hayan colas de impresión

Vaya dilema con el dichoso spoolsv.exe

ahhhh, ahora que me he acordado, te pongo un informe que me hizo el panda activescan online que le pasé este fin de semana. Igual tu le sacas jugo xDD. Una cosa que me dió bastante miedo es que el Panda me decía que tenia herramientas para que me modificaran el sistema desde otros ordenadores remotos, y me detectó dos a falta de uno
No se si será por que haya tocado algo y es pura casualida o que, pero yo juego siempre online con un juego mediante tcp/ip y me dice el juego que "el protocolo no está instalado" A ver si me están tocando algo..... jurrr jurrr. Concrétamente jugué online por última vez el miércoles y el domingo iba a jugar y me salía ese problema...

Aquí te pongo el informe del Panda Online:
-Adware:adware program No desinfectado c:\windows\system32\logs1.ini
-Herramienta potencialmente no deseada:application/bestoffer No desinfectado c:\windows\smdat32m.sys
-Herramienta potencialmente no deseada:application/myway No desinfectado hkey_classes_root\clsid\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}
-Virus:Eicar.Mod Renombrado C:\archivos de programa\kaspersky lab\ kaspersky anti-virus personal pro\eicar_html.vir
-Spyware:cookie/Atlas DMT No desinfectado C:\Documents and Settings\Mari Carmen\Cookies\mari carmen@atdmt[2].txt


Saludos Doohan05.

[msc hotline sat]

Pues vamos a verle la cara a este marrano, si aun lo tienes:

Adware:Adware/Twain-Tech, C:\WINDOWS\smdat32m.sys

Haz un inicio -> buscar SMDAT*.sys y envianos todo lo que encuentres al respecto
->Para ello recordar: viewtopic.php?f=2&t=45334

Tras analizarlo, informaremos

saludos
ms, 19-06-2007

[Doohan05]

Ahora mismo acabo de enviarlo. A la espera de resultados.



Saludos Doohan05.

[Doohan05]

Bueno pues msc he pasado el elistara esta noche con la última actualizacion que has echo, y me ha detectado un .dll: pego el InfoSat:



Wed Jun 20 00:10:53 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Jun 20 00:13:11 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\canal +\cplus win3.61\BORLNDMM.DLL --> Eliminado, Slurk





Saludos Doohan05.

[msc hotline sat]

Es una deteccion reciente que puede ser falso positivo, por la carpeta donde estaba el fichero.



Mira de enviarnos este fichero que tenías en:



C:\canal +\cplus win3.61\BORLNDMM.DLL



que ha borrado, si procede volviendo a instalar el programa, y si pasas de nuevo el ELISTARA hasta que lo hayamos analizado y corregido si es el caso, hazlo desmarcando la casilla de ELIMINAR FICHEROS AUTOMATICAMENTE



Cuando nos envies el fichero indicanos que es un FALSO POSITIVO, para excluirlo de la deteccion, ya que por lo visto coinciden sus cadenas con las de deteccion de dicho SLURK, que creo no tiene nada que ver.



pero tampoco conozco esta aplicacion de canal + ??? no sé si es muy legal... y en consecuencia puede tener troyanos ??? ya me diras si hace tiempo que la tienes instalada y ahora funciona ...



saludos



ms, 20-06-2007

[msc hotline sat]

Hemos recibido el smdat32m.sys con solo 10 bytes.



Evidentemente con tan poco tamaño no cabe nada, renombralo a extension .VIR y veamos si hace falta o lo podemos eliminar.



Aunque tenga el nombre que usa un gusano, tambien hay falsos positivos por detectar cadeneas viricas en ficheros inocentes...



y recuerda que te pedimos C:\canal +\cplus win3.61\BORLNDMM.DLL



por si es una falsa alarma... y podemos corregirla.



Cuando nos lo envies, indicanos que destaque : FALSO POSITIVO !



saludos



ms, 2-06-2007

[Doohan05]

[quote="msc hotline sat"]Es una deteccion reciente que puede ser falso positivo, por la carpeta donde estaba el fichero.



Mira de enviarnos este fichero que tenías en:



C:\canal +\cplus win3.61\BORLNDMM.DLL



que ha borrado, si procede volviendo a instalar el programa, y si pasas de nuevo el ELISTARA hasta que lo hayamos analizado y corregido si es el caso, hazlo desmarcando la casilla de ELIMINAR FICHEROS AUTOMATICAMENTE



Cuando nos envies el fichero indicanos que es un FALSO POSITIVO, para excluirlo de la deteccion, ya que por lo visto coinciden sus cadenas con las de deteccion de dicho SLURK, que creo no tiene nada que ver.



pero tampoco conozco esta aplicacion de canal + ??? no sé si es muy legal... y en consecuencia puede tener troyanos ??? ya me diras si hace tiempo que la tienes instalada y ahora funciona ...

[color=red]Esta aplicación ya estaba cuando se lo compré a mi hermano. Y no la quiero para nada ya que no la uso y sí, creo que es un poquito ilegal jeje, creo que descodificaba el canal+, pero lo dicho, yo no quiero para nada este programa.

[/quote][color=red][/color]



Ya te he enviado el fichero.



Saludos Doohan05.



P.D. La próxima vez que me compre un ordenador usado.... no se me olvidará formatear para empezar desde cerito con mis cositas :x

[Doohan05]

ai que se me olvida. He intentado cambiar la extension a .vir del archivo smdat32m.sys. Me lo cambia en el nombre pero el ordenador sigue reconociéndolo como .sys archivo de sistema.



SAludos Doohan05

[msc hotline sat]

Mira si lo tienes tambien en %system%\DLLCACHE, porque si es asi te será reemplazado siempre por el que haya en dicha carpeta



En tal caso renombra a .VIR el de DLLCACHE y luego el otro.



Hemos recibido el FALSO POSITIVO, lo analizaremos para corregir la cadena y buscar una que detecte el virus pero no detecte al BORLNDMM.DLL , gracias



saludos



ms, 20-06-2007

[Doohan05]

Hola de nuevo msc.



En cuanto a la carpeta DLLCACHE. Está en la siguiente ruta: C:\WINDOWS\LastGood\System32. No tengo el archivo smdat32m.sys



Me parece que vamos a terminar pronto con toda esta basura, no se si me pillas... seguramente este fin de semana venga un amigo y me formatee esto porque es un sinfín y un sinvivir.



Ya que metería el XP, ¿merecería la pena comprarlo original y ponerlo, verdad? Sobretodo por las actualizaciones etc. A ver tu opinión. No creo que sea muy muy caro....



Gracias de verdad por todo lo que estás haciendo.



Saludos Doohan05.

[msc hotline sat]

Si el fichero smdat32m tiene extension .VIR y solo lo tienes en una carpeta (mira que esten visibles los ocultos https://foros.zonavirus.com/viewtopic.php?f=5&t=13245 )

el ordenador no puede cargarlo como .SYS , mira con Inicio -> Buscar -> smdat32m.* los que encuentras y nos lo dices, gracias



saludos



ms, 21-06-2007

[Doohan05]

Bueno pues el único que me sale está en c:\WINDOWS pero lo extraño por lo menos para mi, es que estando en "Buscar" y acaba la búsqueda al poco tiempo desaparece ese archivo en la lista. Se me crea un ¿.ace con icono de internet explorer?en Mi pc :roll: me estaré volviendo majareta. Le doy boton derecho encima de ese .ace y me sale: "abrir carpeta contenedora". Yo creo que este archivo no sirve para nada "bueno".....



Saludos Doohan05.

[msc hotline sat]

Pero no decia que lo encontraba y le cambiaba el nombre ???



"He intentado cambiar la extension a .vir del archivo smdat32m.sys. Me lo cambia en el nombre "



Y ahora no está ???



Pruebelo arrancando en modo seguro, no sea que tengamos un RootKit dando vueltas por ahí...



saludos



ms, 21-06-2007

[Doohan05]

msc, le doy a buscar y si que me lo encuentra en /WINDOWS pero me refiero a que una vez que lo ha encontrado al poco tiempo desaparece del buscador donde poco tiempo antes sí que estaba :? .

Ahora ya no aparece. Voy a reiniciar y a buscar otra vez, y si aparece es porque algo raro hay.



En cuanto a lo del Rootkit. El panda online me detectó 2 rootkits o herramientas de hacking. Son los dos que te puse como "herramienta potencialmente no deseada" en el informe que hay unos posts antes. En pocas palabras, el dichoso smdat32.sys y una entrada de registro. Seguramente tengas razón en cuanto a lo de estar ante un rootkit....



Saludos Doohan05.

[msc hotline sat]

Pues lance este ONLINE de Virus en memoria, que le detectará si hay algo residente virico, y seguirá ofreciendole un escaneo con su ONLINE, a ver si encuentra algo mas:



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]



y nos cuenta el resultado, gracias



saludos



ms, 21-06-2007

[Doohan05]

El nanoscan no me detectó nada.

El totalscan me detectó:



Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00041446 application/myway HackTools No 0 Yes No hkey_classes_root\clsid\{66fc8717-efa7-4546-8c4a-e224f3a80c76}

00041446 application/myway HackTools No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}

00132447 adware program Adware No 0 Yes No c:\windows\system32\stub2.ini

00132447 adware program Adware No 0 Yes No c:\windows\system32\stub3.ini

00132447 adware program Adware No 0 Yes No c:\windows\system32\stub1.ini

00132447 adware program Adware No 0 Yes No c:\windows\system32\logs2.ini

00132447 adware program Adware No 0 Yes No c:\windows\system32\logs1.ini

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Mari Carmen\Cookies\mari carmen@atdmt[1].txt



Saludos Doohan05.

[msc hotline sat]

Pues lo mas probable es que ya se haya eliminado todo rastro virico y el ordenador esté limpio de polvo y paja...



Vea si tras reiniciar persiste alguna anomalia y nos comenta el resultado, pero en principio parece estar limpio de lo que tenía.



saludos



ms, 23-06.2007

[Doohan05]

Lo que pasa que el totalscan me detectó todo esto pero no me eliminó nada.

El problema del proceso iexplore.exe al arrancar el ordenador aun sigue, el spoolsv.exe también sigue con sus trece, etc.



Pero no inviertas mas tiempo en este caso, formatearé en poder mi amigo y listo.



Encima no puedo jugar online mediante ip porque me dice que el protocolo tcp/ip no está instalado. Y si que está por lo que veo. Esto es increible. Llamaré al proveedor de internet mío a ver si han echo algo. (espero que si)



un saludo y gracias.

[msc hotline sat]

En tal caso podria ser necesaria una REPARACION DE SISTEMA:



Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate





y nos cuentas el resultado, gracias



saludos



ms, 23.06.2007