Creo que tengo el Bagle(?)!! Archivos en carpeta exefld...

ismael_fm15 · Mensaje por **ismael_fm15** » 10 Jul 2007, 00:12

Bueno, tengo el Nod32 como antivirus en mi Pc, y desde ayer, cuando inicio el ordenador y me conecto me avisa de que tengo un troyano, creo. Siempre salen dos o tres ventanas distintas, con archivos de la misma carpeta, esta: C:\WINDOWS\exefld

Pero cuando me meto en esa carpeta no hay nada, esta vacía, y ademas ocupa 0 kb. La elimino, pero cuando reinicio vuelve a aperecer y otra vez la misma historia. Los archivos que dan error son numeros, por ejemplo 145472148.exe 486764989.exe

El problema que me da, es que no me deja iniciar ningun programa, le doy al explorador, por ejemplo, y no lo inicia, se queda como colgao, no reacciona. Y eso con cualquier aplicacion que intente iniciar. He conseguido tenerlo bajo control mas o menos con el Firewall ZoneAlarm, pero sigue ahi.

Ademas, tengo actualizado el Nod32, pero no encuentra ningun virus :x .

A ver si alguien puede hecharme un cable, estaria muuuy agradecido, ya que lo utilizo mucho el Pc y fastidia un monton.

Gracias

Mensaje por **msc hotline sat** » 10 Jul 2007, 06:30

Sí hay alguna variante del Bagle que lo hace, y de él aparecen nuevas variantes casi a diario !

De entrada prueba el actual ELIBAGLA:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y segun lo que veamos en el informe, procederemos en consecuencia

saludos

ms, 10-07-2007

ismael_fm15 · Mensaje por **ismael_fm15** » 10 Jul 2007, 18:01

[quote]
Tue Jul 10 07:35:18 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\ISMA\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\ISMA\DATOS DE PROGRAMA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Jul 10 07:39:34 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\KASPERSKY.ANTI-VIRUS.PERSONAL.PRO.5.0.18.+.BLACKLIST.+.REMOVAL.+.KEY.2007.-.100%.WORKS.ZIP --> Eliminado Bagle.dldr

C:\Archivos de programa\eMule\Incoming\KASPERSKY.AVP.PRO.5.0.18.WORKING.KEY.ZIP --> Eliminado Bagle.dldr

C:\Archivos de programa\eMule\Incoming\KASPERSKY_ANTIVIRUS_PERSONAL_PRO_V5.0.18_SERIAL.ZIP --> Eliminado Bagle.dldr

C:\Archivos de programa\eMule\Incoming\KEY.OFFICIEL.KASPERSKY.ANTI-VIRUS.PERSONAL.PRO.5.0.18.ZIP --> Eliminado Bagle.dldr

C:\Archivos de programa\eMule\Incoming\OK_KEY.OFFICIEL.KASPERSKY.ANTI-VIRUS.PERSONAL.PRO.5.0.18.ZIP --> Eliminado Bagle.dldr

C:\RECYCLER\S-1-5-21-1960408961-1425521274-839522115-1003\DC72.EXE --> Eliminado Bagle

C:\RECYCLER\S-1-5-21-1960408961-1425521274-839522115-1003\DC73.EXE --> Eliminado Bagle

C:\RECYCLER\S-1-5-21-1960408961-1425521274-839522115-1003\DC74.EXE --> Eliminado Bagle

C:\RECYCLER\S-1-5-21-1960408961-1425521274-839522115-1003\DC75.EXE --> Eliminado Bagle

C:\WINDOWS\system32\FLEC003.EXE --> Eliminado Bagle.dldr

Tue Jul 10 16:41:56 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%WinDir%\exefld"

Eliminada Carpeta "%AppData%\Hidires"

Tue Jul 10 16:42:35 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Tue Jul 10 16:43:59 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 10 16:44:00 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\
[/quote]

Lo he pasado 3 veces, la primera esta mañana antes de trabajar, asi que no me dio tiempo a ver como acababa el analisis. Cuando llegue reinicie el Pc y se me puso en marcha solo, y lo quite. Despues lo volvi a poner por si acaso, pero no encontro nada.

Lo ha eliminado, tengo que hacer algo mas?

Tengo otra pregunta relacionada con Virus, mas bien antivirus. Resulta que quiero instalarme el Kaspersky 6, pero cuando lo hago antes de empezar me dice que tengo instalado el Kaspersky 5, y aunque si que lo tuvo, ya no lo tengo.

El problema es que opr culpa de eso no puedo instalarme ni el 6 ni muchos otros antivirus, porque me avisan de que son incompatibles. He buscado por Kaspersky en todo mi ordenador y no encuentro nada, y tampoco aparece en "Agragar o Quitar Programas" del Panel de Control. Me podrias ayudar a solucionarlo?

Muchas gracias, de verdad que agradezco toda la ayuda recibida!! :D

Mensaje por **msc hotline sat** » 10 Jul 2007, 18:07

Postea el log del HJT a ver si vemos alguna clave

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 10-07-2007

Nota: y sino, consulta en el distribuidor donde lo has adquirido o con el soporte de kaspersky, igual tienen algun sistema.

ismael_fm15 · Mensaje por **ismael_fm15** » 11 Jul 2007, 08:12

[quote]C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://as.starware.com/dp/search?x=wKX1ILEOi+UdWpSlz2q9D0gNIIJxqUS34nOdlz0hY4397X7Psfi8KxuHds8lcMTdZJe5u/U9AbguNRqPtdJHbMYVo4eZES1D6hZMNEpxzT2sKAj0bP440SfHFISJVpZn

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)

O1 - Hosts: 0

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Reactivator Class - {AC2E8306-D24E-4082-8669-7781499F4E03} - C:\ARCHIV~1\EVERYT~1.1\everycom.dll (file missing)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Every Toolbar - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - C:\ARCHIV~1\EVERYT~1.1\everycom.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [shell32] C:\WINDOWS\System32\wuauclt10.exe

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\smmss.exe

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\System32\wudupdate.exe

O4 - HKLM\..\Run: [Microsoft Update] mswins.exe

O4 - HKLM\..\Run: [SUgAHKMsH] C:\WINDOWS\coqkfe.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Labtec\moffice.exe

O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Archivos de programa\Windows Media Connect 2\WMCCFG.exe" /StartQuiet

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKLM\..\Run: [qxwcovns] c:\windows\system32\qxwcovns.exe qxwcovns

O4 - HKLM\..\RunServices: [Microsoft Security Panagers] ngevxuzrx.exe

O4 - HKLM\..\RunServices: [eMCryT Sh3ars Panagers] svkshosts.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKLM\..\RunServices: [Microsoft Update] mswins.exe

O4 - HKCU\..\Run: [deaf bin] C:\DOCUME~1\Isma\DATOSD~1\PHONEM~1\Corn Axis.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Every Toolbar Search - res://C:\ARCHIV~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O11 - Options group: [TABS] Tabbed Browsing

O15 - Trusted Zone: http://es.msn.com

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://belin2.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {594ECDD4-A991-4208-A7B7-00DDAD9BE328} (Photosynth Class) - http://media.labs.live.com/all/ps/_code_/Photosynth.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: clkern.dll

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ojesvr32.dll (file missing)

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\i424lefq1h2e.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)
[/quote]

Esto es lo que salia en el Hijackthis. A ver si puedes ayudarme

Mensaje por **msc hotline sat** » 11 Jul 2007, 10:49

Elimina estas claves:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://as.starware.com/dp/search?x=wKX1ILEOi+UdWpSlz2q9D0gNIIJxqUS34nOdlz0hY4397 X7Psfi8KxuHds8lcMTdZJe5u/U9AbguNRqPtdJHbMYVo4eZES1D6hZMNEpxzT2sKAj0bP440SfHFISJV pZn

R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)

O1 - Hosts: 0

O4 - HKLM\..\Run: [shell32] C:\WINDOWS\System32\wuauclt10.exe

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\smmss.exe

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\System32\wudupdate.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKCU\..\Run: [deaf bin] C:\DOCUME~1\Isma\DATOSD~1\PHONEM~1\Corn Axis.exe

O8 - Extra context menu item: &Every Toolbar Search - res://C:\ARCHIV~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ojesvr32.dll (file missing)

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\i424lefq1h2e.dll (file missing)

O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe (file missing)

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Aparte envianos estos ficheros para analizar:

C:\WINDOWS\System32\wuauclt10.exe

C:\WINDOWS\System32\smmss.exe

C:\WINDOWS\System32\wudupdate.exe

C:\windows\system32\ mswins.exe

csrssv.exe

Corn Axis.exe

C:\WINDOWS\coqkfe.exe

c:\windows\system32\qxwcovns.exe

ngevxuzrx.exe

svkshosts.exe

C:\ARCHIV~1\EVERYT~1.1\everycom.dll

Pues vaya una coleccion , y todos son muy sospechosos...

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 11-07-2007

ismael_fm15 · Mensaje por **ismael_fm15** » 11 Jul 2007, 20:48

como hago pare eliminar todo eso? No se donde buscarlos.

Y tampoco se como buscar o donde encontrar los archivos que me pides. Siento ser tan pesado, pero por lo visto tengo mucha porqueria en mi PC :shock: .

Muchas gracias!!!

Mensaje por **msc hotline sat** » 11 Jul 2007, 21:32

Las claves, en el HJT, como indicamos en la informacion del link al respecto, y los ficheros con un Inicio -> Buscar -> Todos los ficheros y careptas -> <nombre del fichero> y lo copias a una carpeta de envios, la cual luego empaquetas en ZIP o RAR con password VIRUS, como decimos en las mismas instrucciones indicadas anteriormente.

Y sí, lo tienes un poco abandonado ...

saludos

ms, 11-07-2007

ismael_fm15 · Mensaje por **ismael_fm15** » 12 Jul 2007, 17:56

ya he borrado las claves, el problema viene con los *.exe

Los busco desde Buscar archivo, etc., pero no aparece ninguno. Eso si, he mirado en la carpeta C:\Windows\System32, y alguno hay, pero con el nobre algo distinto. Por ejemplo: smmss.exe aparece como smss.exe. wuauclt10.exe aparece como wuauclt.exe, y asi unos cuantos. Te envio esos? Hay otra manera de encontrarlos?

GRACIAS!!! siento ser tan pesado :oops:

ismael_fm15 · Mensaje por **ismael_fm15** » 13 Jul 2007, 08:28

ya te los he enviado, los que he encontrado

Mensaje por **lucl** » 13 Jul 2007, 09:12

Por si no lo hiciste ya, mira que no tengas archivos ocultos haciendo esto

Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas

ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar

luego tan solo tienes que seguir la ruta que te marcan y ver si asi aparecen

saludos

Mensaje por **msc hotline sat** » 13 Jul 2007, 10:00

No sé los que has enviado pero si no son los de nombre raro, esto es, los que pediamos, nos van a servir, pues los que decias son del sistema operativo.

A la vista de los que hayas enviado, procederemos.

saludos

ms, 13.07-2007

Mensaje por **msc hotline sat** » 13 Jul 2007, 12:42

A exceocion del MSN.EXE los demas ficheros recibidos son del sistema, no los pedidos !!!

Sobre este MSN.EXE implementamos su control y eleiminacion (Es un a nueva variante de BANKER) en la version de hoy del ELiSTARA 14.42, que subiremos a esta web para pruebas de evaluaicon a partir de las 16 H GMT

saludos

ms, 13-07-2007

NOTA: Y OTRA VEZ PONGA COMO REFERENCIA SU NICK DEL FORO !!!

ismael_fm15 · Mensaje por **ismael_fm15** » 16 Jul 2007, 16:46

No consigo encontrar ninguno de la lista, y lo he intentado de todas las formas posibles. No aparece aunque los ficheros ocultos esten visibles.

Si formateo el PC se arreglara todo esto?

Mensaje por **msc hotline sat** » 16 Jul 2007, 16:50

Aqui no hablamos de formatear...

Tras lo indicado, eliminadas las claves que le deciamos y probado el ELISTARA, que por cierto falta que nos postee el C:\infosat.txt, luego posteenos nuevo log del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 16-07-2007

ismael_fm15 · Mensaje por **ismael_fm15** » 16 Jul 2007, 18:57

Ya he pasado el ELISTARA:

[quote]C:\WINDOWS\system32\FLEC003.EXE --> Eliminado Bagle.dldr

Tue Jul 10 16:41:56 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%WinDir%\exefld"

Eliminada Carpeta "%AppData%\Hidires"

Tue Jul 10 16:42:35 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Tue Jul 10 16:43:59 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 10 16:44:00 2007

EliBagle v10.44 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jul 16 17:48:02 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\QXWCOVNS.EXE --> Eliminado NaviPromo(dropper)

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

C:\WINDOWS\FIRST.DLL --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "QXWCOVNS"="c:\windows\system32\qxwcovns.exe qxwcovns"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 16 17:50:13 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\backups\BACKUP-20070712-001338-502.INF --> Eliminado, Dialer-InstantAccess(inf)

C:\Documents and Settings\Isma\Escritorio\Nueva carpeta (2)\QXWCOVNS.EXE --> Eliminado, NaviPromo(dropper)

Mon Jul 16 18:03:08 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.[/quote]

C:\Documents and Settings\Isma\Escritorio\Nueva carpeta (2)\QXWCOVNS.EXE --> Eliminado,

Este fichero es el unico que encontre de los que tenia que eliminar, y lo copie en una carpeta en el escritorio para enviartelo, y ahora lo elimina, pero ha eliminado la copia que hice, asi que supongo que el original aun estara en mi Pc.

ismael_fm15 · Mensaje por **ismael_fm15** » 16 Jul 2007, 18:58

y este es el logfile del HJ despues de pasar el ELISTARA:

[quote]Logfile of HijackThis v1.99.1

Scan saved at 18:03:37, on 16/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5112.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\Archivos de programa\Labtec\moffice.exe

C:\Archivos de programa\Windows Media Connect 2\WMCCFG.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\LClock\LClock.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Labtec\MOUSE32A.DAT

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

c:\archivos de programa\archivos comunes\installshield\updateservice\isuspm.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\agent.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Reactivator Class - {AC2E8306-D24E-4082-8669-7781499F4E03} - C:\ARCHIV~1\EVERYT~1.1\everycom.dll (file missing)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Every Toolbar - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - C:\ARCHIV~1\EVERYT~1.1\everycom.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Microsoft Update] mswins.exe

O4 - HKLM\..\Run: [SUgAHKMsH] C:\WINDOWS\coqkfe.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Labtec\moffice.exe

O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Archivos de programa\Windows Media Connect 2\WMCCFG.exe" /StartQuiet

O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [LClock] C:\Archivos de programa\LClock\LClock.exe

O4 - HKLM\..\Run: [KAV50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Kaspersky] C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\KAV Personal Pro\5.0\Save Kaspersky.bat

O4 - HKLM\..\RunServices: [Microsoft Security Panagers] ngevxuzrx.exe

O4 - HKLM\..\RunServices: [eMCryT Sh3ars Panagers] svkshosts.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKLM\..\RunServices: [Microsoft Update] mswins.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Isma\Escritorio\ELISTARA.26072007.EXE

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://belin2.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {594ECDD4-A991-4208-A7B7-00DDAD9BE328} (Photosynth Class) - http://media.labs.live.com/all/ps/_code_/Photosynth.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: KLBLMain - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)[/quote]

Mensaje por **msc hotline sat** » 16 Jul 2007, 19:52

Bueno, el ELISTARA ha eliminado otras hierbas, pero aun quedan mas...

Habiamos dicho que eliminara estas claves:

[quote]Elimina estas claves:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://as.starware.com/dp/search?x=wKX1ILEOi+UdWpSlz2q9D0gNIIJxqUS34nOdlz0hY4397 X7Psfi8KxuHds8lcMTdZJe5u/U9AbguNRqPtdJHbMYVo4eZES1D6hZMNEpxzT2sKAj0bP440SfHFISJV pZn

R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)

O1 - Hosts: 0

O4 - HKLM\..\Run: [shell32] C:\WINDOWS\System32\wuauclt10.exe

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\smmss.exe

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\System32\wudupdate.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKCU\..\Run: [deaf bin] C:\DOCUME~1\Isma\DATOSD~1\PHONEM~1\Corn Axis.exe

O8 - Extra context menu item: &Every Toolbar Search - res://C:\ARCHIV~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ojesvr32.dll (file missing)

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\i424lefq1h2e.dll (file missing)

O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe (file missing)

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing) [/quote]

y vemos que algunas aun están ???

No sñe si lo hizo o no, pero hagalo ahora !!!:

ELIMINE ESTAS CLAVES:

O4 - HKLM\..\Run: [Microsoft Update] mswins.exe

O4 - HKLM\..\Run: [SUgAHKMsH] C:\WINDOWS\coqkfe.exe

O4 - HKLM\..\RunServices: [Microsoft Security Panagers]

O4 - HKLM\..\RunServices: [eMCryT Sh3ars Panagers] svkshosts.exe

O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe

O4 - HKLM\..\RunServices: [Microsoft Update] mswins.exe

O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe (file missing)

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Para ello, si tiene algunos o todos los ficheros que lanzan dichan claves, primero los renombra a .VIR y tras reiniciar nos envia dichos ficheros y elimina dichas claves:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 16-07-2007

ismael_fm15 · Mensaje por **ismael_fm15** » 18 Jul 2007, 00:34

[quote]Para ello, si tiene algunos o todos los ficheros que lanzan dichan claves, primero los renombra a .VIR y tras reiniciar nos envia dichos ficheros y elimina dichas claves[/quote]

Estoy con lo de siempre, no me encuentra los ficheros que lanzan dichas claves... :?

Mensaje por **msc hotline sat** » 18 Jul 2007, 09:18

Si con un Inicio -> Buscar -> Todos los ficheros y careptas , no aparecen estos ficheros, simplemente elimine las claves indicadas y tras reiniciar indiquenos si persiste alguna anomalia, gracias

saludos

ms, 18-07-2007