Nuevo Virus "Varsh.exe" (CERRADO)

[victordcc]

Este Virus aparece con el nombre varsh.exe y su manera de operar es:
Al usuario ejecutarlo este crea copias de él mismo en:
C:\Varsh.exe
C:\Autorun.inf
C:\Desktop.inf
Estos tres primeros tienen atributos de ser protejidos por sistema y ocultos por lo que los usuarios sin experiencia se les puede complicar. Los siguientes se cargan al inicio lo que impide que se borre el virus del Sistema:
C:\Windows\System32\Varsh.exe
C:\Windows\System32\Autorun.inf
C:\Windows\System32\Desktop.inf

Este Virus Deshabilita el Administrador de Tareas y el editor de registro, lo que complica aún mas las cosas pues no puedes terminar el proceso y este se cargara en cada reinicio.

Pero se elimina muy facil con la Herramienta de Directiva de Grupo gpedit.msc y con la herramienta de inicio msconfig, esta ultima para poder eliminar la carga al inicio.
Este virus lo vi por pirmera ves el día 17-06-07 pero aun hoy 21-06-07 no se encuentra referencia de cura en Internet.
Tengo McAfee Total Protection 2007 y manipulo el Virus a mi antojo y no lo detecta.

Lo que demuestra que no confien nunca al 100% en su antivirus

[msc hotline sat]

Eso está muy claro ! Ningun antivirus es capaz de detectar al 100 % todos los virus, imposible !

Y de este, envianos muestra para analizar y controlar :
-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 22-06-2007

nota: y cuidado con tus pendrives, que deben estar infectados dado que usa AUTORUN.INF , y con ello infectas todos los PC en los que conectas dichos pendrives, solo por enchufarlos ...

[victordcc]

Ya se ha enviado muestra del virus al correo zonavirus@satinfo.es para su respectivo analisis

[msc hotline sat]

Pues en un par de horas, cuando entremos a trabajar en SATINFO, lo analizaremos y procederemos a controlar y eliminarlo con nuestras utilidades, de lo cual informaremos



saludos



ms, 22.06.2007

[msc hotline sat]

Efectivamente, subido a VIRUSTOTAL nadie detecta nada !

Al monitorizarlo vemos que deshabilita el Editor del registro y el Task manager, queda residente y se autocopia a C: y al pendrive, por lo que ha de vigilarse mucho con los que hayamos insertado en un ordenador infectado...

STATUS: FINISHEDComplete scanning result of "varsh.exe", received in VirusTotal at 06.22.2007, 12:40:13 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 no virus found
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.21.2007 no virus found
AVG 7.5.0.476 06.22.2007 no virus found
BitDefender 7.2 06.22.2007 no virus found
CAT-QuickHeal 9.00 06.21.2007 no virus found
ClamAV devel-20070416 06.22.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 no virus found
eTrust-Vet 30.8.3735 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.22.2007 no virus found
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.21.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.22.2007 no virus found
Kaspersky 4.0.2.24 06.22.2007 no virus found
McAfee 5058 06.21.2007 no virus found
Microsoft 1.2701 06.22.2007 no virus found
NOD32v2 2344 06.22.2007 no virus found
Norman 5.80.02 06.21.2007 no virus found
Panda 9.0.0.4 06.22.2007 no virus found
Prevx1 V2 06.22.2007 no virus found
Sophos 4.18.0 06.21.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.22.2007 no virus found
TheHacker 6.1.6.136 06.20.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.21.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 no virus found

Aditional Information
File size: 45056 bytes
MD5: b09a8733984335e34510be9a826e4360
SHA1: fd16c4bb967287119c8c2a76e93714e8398354f1

[msc hotline sat]

Pues "victordcc" se lleva la palma !

Que no solo no lo detecte ningun antivirus de los 32, y ni siquiera alerte como sospechoso, no recuerdo haber visto ninguno, y he visto unas cuantas decenas de miles... !

Hoy mismo quedará controlado con la version que estamos haciendo del ELISTARA 14.26, pero recalco que ademas de explorar unidades de disco duro, se haga sobre todos los pendrives, pero estos, para escanearlos, deben introducirse en el port USB pulsando simultaneamente la tecla SHIFT, para que no se autoejecute el AUTORUN.INF del pendrive, que volvería a infectarnos el disco duro, y volveriamos a empezar el ciclo.

Aparte de desactivar el editor del Registro y el taskmanager, como otros muchos, lo cual será restaurado por el ELISTARA, vemos que quizas debido a lo configurado en el DESKTOP.INI, que tambien modifica, entrando en MIPC, no se accede a la unidad C:, lo cual soslayamos con Boton derecho -> explorar, pero tambien tendremos que restaurarlo, y que al parecer pasado un tiempo se apaga en segundos el ordenador... cositas

Y mas cosas que encontraremos, eso es de entrada para distraernos !

saludos
ms, 22-06-2007

[msc hotline sat]

Bueno ya podemos irnos a comer que está controlado totalmente !

Resulta que al cabo de un tiempo crea y ejecuta un MUERE.BAT que lanza un shutdown /s /f que repite una y otra vez el apagado y nos habia distraido la atencion. !

Si es el caso, o se arranca en modo seguro o se atrasa el reloj una hora para poder ejecutar el ELISTARA, y una vez lanzado el ELISTARA ya se restaura la normalidad de acceso como se tenia antes de la infeccion.

Pues ya implementado en el nuevo ELISTARA 14.26 LA DETECCION CONTROL Y ELIMINACION DE FICHEROS Y CLAVES CREADAS POR ESTE MALWARE VARSH, es cuestion de que los que lo tengan prueben dicha utilidad

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 22-06-2007

[msc hotline sat]

Ya subida la version 14.26 que controla el malware VARSH :

viewtopic.php?f=11&t=19364


pruebala y nos comentas el resultado, gracias

saludos
ms, 22-06-2007

[victordcc]

Es muy desastroso que uno de los pricipales daños que causa este malware es que si tienes una llave USB en el ordenador al momento de que te infectas, te borra parte del total de tus archivos, además si la vuelves a conectar (la llave) es capaz de borrartela toda, y además se copia en la llave el virus por que infectará otros equipos al que se conecte.

Aunque si te pasa que pirdes todo puedes resolver recuperando los archivos con alguna herramienta como el irecovery o inclusive el Tune-up Utilities tiene una parte que se llama "Undelete" y te puede resolver el problema de los archivos perdidos.

Espero no se propague ese virus pues al principio me causó muchos problemas pero no es algo imposible de eliminar inclusive si no tenemos herramienta para detectar y eliminar la amenaza.

[msc hotline sat]

Lo ultimo que indica no lo entiendo:



"pero no es algo imposible de eliminar inclusive si no tenemos herramienta para detectar y eliminar la amenaza"



Como que no tiene herramienta para detectar y eliminar ??? y el ELISTARA que desde la version 14.26 lo detecta, controla y elimina, tanto del disco duro como de los pendrives ???



Lo que es importante es que se vaya cogiendo el hábito de que, al conectar pendrives a los ordenadores, se haga con la tecla SHIFT apretada, pues nunca puede estarse seguro de que pueda llevar un AUTORUN que lance un malware...



Y posteenos el contenido de C:\infosat.txt, para ver el resultado del proceso, gracias



saludos



ms, 27-06-2007

[tonga]

buenas, yo tengo ese llamado virus varsh, intentando eliminarlo ya que me entro en la red del trabajo y me infecta las computadoras, no se mucho del tema, peor veo que aca tiene un antivirus "EliStarA 14.28" que elimina este virus y me soluciona el problema. quisiera saber como puedo hacer para descargarlo, algun archivo .rar o algo, si me pueden explicar bien como hacer, les agradesco mucho. si pueden enviarme info a <INTERCEPTADO>@hotmail.com o bien publicarla en esta pagina que voy a estar entrando a ver si encuientro la solucion, gracias otra vez.

[lucl]

descargalo de aqui, y sigue atentamente las indicaciones dadas sobre los pendrives y demas, saludos



http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Para probar el ELISTARA puedes descargarlo con este link:

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

pero recuerda eliminar el virus del ordenador antes de insertar el pendrive, y que cuando lo vayas a hacer. simultaneamente a la inmsercion mantengas apretada la tecla SHIFT para que no se active al AUTORUN.INF y volviera a infectar el ordenador...

y explora tanto la unidad de disco duro como la de pendrive, y quedarán limpios... hasta que este pendrive lo vuelvas a meter en un ordenador infectado, y cuando lo uses en otro ordenador lo hagas sin pulsar shift al insertarlo ...

mucho cuidado, que tiene malas pulgas !

saludos
ms, 27-06-2007

[tonga]

gracias por los datos que me dan..... creo que soy medio bestia, pero en esa pagina no veo como hacer para descargar el antivirus, me salen un monton de letras con datos .. perdon esto me sale

---v12.51-(10 de Octubre del 2006) (Muestras de (3)Puper, (8)Puper-Isa, (2)Vundo(notify), DownLoader(notify) "IPXAMP.DLL", DownLoader.SXS "SXSERV101.EXE" y Spambot "********.DLL" (según DrWeb))
---v12.52-(16 de Octubre del 2006) (Muestras de Puper "ISMINI.EXE", (17)Puper-Isa, NaviPromo "MSCLOCK32.DLL", Dialer-Cool "COOL.EXE", MyWebSearch "MWSBAR.DLL", (3)Vundo(notify), (2)BackDoor-CVT "WIN***32.DLL", Gator DashBar "DASHBAR15.DLL", Gator Gain "DATEMANAGER.EXE" y WinAntiVirusPro "FWSVC.EXE")
---v12.53-(17 de Octubre del 2006) (Muestras de (2)Puper-Isa, Keylog-Briss "A.EXE", Gator CMEII "CMESYS.EXE" Dialer-InstantAccess "PROCIA.EXE" y (4)Dialer-InstantAccess(DPF) "EGACCESS*.DLL")

y sigue mas apara abajo, pero no lo copie....

[msc hotline sat]

Esto son las versiones que vamos añadiendo cada día de dicha utilidad...

Abajo del todo hay el Boton de DESCARGA

saludos
ms, 27-06-2007

[tonga]

si si, ya encontre el boto de descarga. Perdonen la ignorancia.
Ahora cuando le doy click a descarga me sale otra ventana con un error.

No se encontró la página
Puede que la página solicitada ya no exista haya cambiado de nombre o no esté disponible temporalmente.

--------------------------------------------------------------------------------

Pruebe lo siguiente:

Si escribió la dirección de la página en la barra de direcciones, compruebe que esté escrita correctamente.

Abra la página principal de http://www.zonavirus.com y busque vínculos a la información que desea.
Haga clic en el botón Atrás para intentar otro vínculo.
Haga clic en Búsqueda para buscar información en Internet.


HTTP 404 - Archivo no encontrado
Internet Explorer

[msc hotline sat]

Acabo de subir nueva version del ELISTARA 14.29 y comprobado que baje correctamente.

Son "solo" 605315 foreros los que ya han bajado dicha utilidad con dicho link. Cierto que alguna vez puede subir mal, pero no es el caso.

Pruebalo de nuevo que no has de tener problema en la descarga, a no ser que no tuvieras la seguridad del I,.E. a nivel medio, pues si la tienes en ALTO no bajarás nada.

Posteanos el contenido de C:\infosat.txt cuando lo hayas probado, gracias

saludos
ms, 27-06-2007

[tonga]

creo que funciono bien....tengo que hacer este preoceso en todas las maquinas que estan en red?, recien lo hice en el servidor. muchas gracias a todos por la ayuda.

Wed Jun 27 10:37:57 2007
EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\SHOPPERREPORTS\BIN\2.0.20\SHPRRPRT.DLL --> Eliminado ShopprReports
Eliminada Class, "{0774F696-D801-4C18-81A7-A3A32B8BEF19}" -> C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll
Eliminada Class, "{1E6AC766-9094-4BCF-ABD3-39E2EAEA5FCD}" -> C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll
Eliminada Class, "{2178C864-B8BC-41AE-A1FB-EB6A32F87EB1}" -> C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll
Eliminada Class, "{2A8A997F-BB9F-48F6-AA2B-2762D50F9289}" -> C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll
Eliminada Class, "{454B4812-E572-4703-A1BB-63490809EAC0}" -> C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll
Eliminada Class, "{580A1F3F-89B4-433B-BBDB-B97AEB13F3FC}" -> C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
Eliminada Carpeta "%Application Data%\ShopperReports"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Wed Jun 27 10:39:41 2007
EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Respaldos\WIN-2000 03-06-2005\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
D:\Respaldos\Win-2000 09-03-2006\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
D:\Respaldos\win-2000 17-08-2005\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
D:\Respaldos\Win-2000 23-11-2006\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
D:\Respaldos\Win-2000 25-07-06\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
D:\Win-2000\AUTORUN.INF --> Eliminado, Malware.Varsh(inf)
D:\Win-2000\VARSH.EXE --> Eliminado, Malware.Varsh
D:\Win-2000\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)
D:\Win-2000 actualizado\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)

Wed Jun 27 10:40:26 2007
EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

eso es todo

[msc hotline sat]

No, no es todo, falta explorar el pendrive (o los pendrive que hubieran tocado este ordenador) INSERTANDOLOS PULSANDO SIMULTANEAMENTE SHIFT, y ademas los demas ordenadores donde hubieran pasado dicho pendrive... o mejor en todos, claro.

saludos
ms, 27-06-2007

nota: Ademas, no tenías este solo...

[tonga]

hola, si vi que me elimino un programa llamdo "CUBOS.EXE", ese era una utilidad que usaba el programa de facturacion de la empresa. No se porque lo habra borrado.



YA revide los pendrive y lo limpie.



Ahora a la hora de hacer una unidad de red con el programa, para poder trabajar en una estacion, al darle doble clik en la unidad Z:, sale un cartel que cie lo siguiente " Windows no puede encontrar el archivo ´varsh.exe`. Asegurese de que la ruta y el nombre de archivo estan escritos correctamente y vuelva a intentarlo. Para buscar un archivo, haga clic en el boton inicio y luego en Buscar"



Por lo escrito en este mensaje, el antivirus lo elimino al virus, pero como que quedo un enlaze al darle doble clic, ustedes saben como puedo volver a la normalidad ?



Les agradesco mucho su ayuda.

[msc hotline sat]

Pues lo de CUBOS.EXE se puede tratar de un FALSO POSITIVO del ELISTARA, por contener dicho fichero una cadena identica a la de la de deteccion del virus que indica:

D:\Win-2000\CUBOS\CUBOS.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)

Envienos dicho fichero (de otro ordenador) indicando bien claro : MUESTRA DE FALSO POSITIVO y lo excluiremos de la deteccion del ELISTARA, pues sino lo detectaría y eliminaría en todos los ordenadores donde estuviera.

Ello ya se indica en viewtopic.php?f=5&t=19441

Y sobre el mensaje que le da de que encuentra a faltar el VARSH, posteenos log del HJT para tratar de buscar la clave que incordia al respecto:

HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 28-06-2007

[juana316]

Gracias Victor por tu ayuda

pude limpiar mi Pc, se lo agradezco mucho, espero más noticias de todos los foreros, Ciao

[msc hotline sat]

Pues para juana316, por lo menos postee el contenido del c:\infosat.txt resultante, si es que ha usado el ELISTARA.EXE, para que podamos ver el resultado del proceso realizado ! gracias



saludos



ms, 28-06-2007

[juana316]

Logfile of HijackThis v1.99.1
Scan saved at 11:02:51 a.m., on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\NetWaiting\netWaiting.exe
C:\Program Files\Dell Support\DSAgnt.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
D:\Users\jose01\Documents\ELISTARA.07072007.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JOSEEL~1\LOCALS~1\Temp\Rar$EX00.625\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.google.com/ig/dell?hl=en&client=dell-usuk&channel=us&ibd=6060927
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:9002
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Program Files\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [ReEXEc] D:\Users\jose01\Documents\ELISTARA.07072007.EXE
O4 - HKCU\..\Run: [ModemOnHold] C:\Program Files\NetWaiting\netWaiting.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\Dell Support\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOne\register.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163111342578
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5057/mcfscan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

[msc hotline sat]

Gracias "juana316" pero le pediamos que posteara con un copiar y pegar el fichero C:\infosat.txt que es el resultado del proceso del ELISTARA, no el log del HJT como ha hecho, que no tiene nada que ver !

De todas formas de algo le va a servir, pues hemos visto que tiene restos de Symantec y de McAfee mientras que está usando AVG, y elo le puede ralentizar el ordenador.

Supongo que no era consciente de ello, pero elimine las claves de estos dos antivirus que no usa. Solo ha de haber uno para evitar colisiones y ralentizacion.

Y esperamos el copiar y pegar del C:\infosat.txt, gracias


Voy a ver si le ayudo indicandole algunos ficheros y claves a eliminar...

Elimine estos ficheros:
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\McAfee\Common Framework\McTray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

y para eliminar estas claves:

-> Para ello recordar: viewtopic.php?f=2&t=45334

(He respetado el Norton Ghost, por supuesto)

saludos
ms, 28-06-2007