AYUDA PORFAVOR! (SOLUCIONADO)

[jmfgg]

Saludos

Desde ayer tengo un problema muy grave, cada vez que introduzco una memoria USB o un cd, auque sea nuevo virgen, me marca la ventana de error que aparece un contador decresiente de 60 s que me dice que el sistema se apagara porque hay un problema en c:/windows/system32/services.exe y que NT Authority apagara el sistema,etc.



Ya pase el cccleaner, el elistara, elimine entradas del registro con cleanreg, utilice el panda antivirus, el ad avent o algo asi, y el problema persiste, les dejo aqui mi log a ver si me pueden ayudar.



Gracias



Logfile of HijackThis v1.99.1

Scan saved at 02:07:15 p.m., on 19/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\admtray.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\WiredRed\EPop\EPop.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Acer\Empowering Technology\admServ.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\lotus\notes\ntmulti.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\igfxext.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\DOCUME~1\SI-10\LOCALS~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.1.1.244:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.1.1.145;<local>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\en-us\msntb.dll (file missing)

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [IMJPIMG] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: ePop.lnk = C:\Program Files\WiredRed\EPop\EPop.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1184809098328

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus\notes\ntmulti.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

Del log de HJT solo desconocemos esta aplicacion:



C:\Program Files\WiredRed\EPop\EPop.exe



Si sabe lo que es y es voluntaria, perfecto, pero si no, diganoslo.



Aparte, dicve que paso el ELISTARA, pues posteenos el contenido del c:\infosat.txt, que siempre pedimos para ver el resultado del proceso.



saludos



ms, 19-07-2007

[jmfgg]

Si, ese programa es para la comunicacion interna en mi trabajo asi que no hay rpoblema con el... y el log de elistara lo anexo:





Thu Jul 19 14:25:12 2007

EliStartPage v14.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4.5\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

C:\Program Files\WiredRed\EPop\EPOPREM.EXE --> Eliminado, Spy.Delf (BHO)

[jmfgg]

Ademas ahora ya no funciona el boton del touchpad y sigue marcando el error cada vez que inserto la memoria USB o un disco aunq este en blanco...



Que es lo que esta pasando???



Como puedo reporgramar el boton del touchpad para que al presionar para abajo baje las paginas? ya lo intente en la configuracion del mouse, pero no funciona...



saludos

[msc hotline sat]

El ELISTARA le generó un infosat mas largo que el posteado. Justamente es la primera parte, la de Lista por Accion Directa la que necesitamos ver en este caso.



posteelo siempre en su totalidad, que por algo es acumulativo, para que podamos ver el historico !



saludos



ms, 20-07-2007

[jmfgg]

EL kaspersky me aparecio lo siguiente:



Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.93.0

Kaspersky Anti-Virus database last update: 20/07/2007

Kaspersky Anti-Virus database records: 365412





Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true



Scan Target My Computer

C:\

D:\

E:\



Scan Statistics

Total number of scanned objects 64132

Number of viruses found 6

Number of infected objects 33

Number of suspicious objects 0

Duration of the scan process 01:03:09



Infected Object Name Virus Name Last Action

C:\WINDOWS\system32\config\system.LOG Object is locked skipped



C:\WINDOWS\system32\config\software.LOG Object is locked skipped



C:\WINDOWS\system32\config\default.LOG Object is locked skipped



C:\WINDOWS\system32\config\SECURITY Object is locked skipped



C:\WINDOWS\system32\config\SAM Object is locked skipped



C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped



C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped



C:\WINDOWS\system32\config\SYSTEM Object is locked skipped



C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped



C:\WINDOWS\system32\config\DEFAULT Object is locked skipped



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped



C:\WINDOWS\system32\netused.dll Infected: Virus.Win32.AutoRun.k skipped



C:\WINDOWS\system32\SR1000R.DLL Infected: Virus.Win32.AutoRun.k skipped



C:\WINDOWS\system32\h323log.txt Object is locked skipped



C:\WINDOWS\system32\netmanage.dll Infected: Virus.Win32.AutoRun.k skipped



C:\WINDOWS\system32\mstcpcon20.dll Infected: Virus.Win32.AutoRun.k skipped



C:\WINDOWS\system32\netmanage.dllbak Infected: Virus.Win32.AutoRun.k skipped



C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped



C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{A569117D-651C-4D03-AE0F-E14C5E752499}.crmlog Object is locked skipped



C:\WINDOWS\SchedLgU.Txt Object is locked skipped



C:\WINDOWS\wiaservc.log Object is locked skipped



C:\WINDOWS\WindowsUpdate.log Object is locked skipped



C:\WINDOWS\Sti_Trace.log Object is locked skipped



C:\WINDOWS\wiadebug.log Object is locked skipped



C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Object is locked skipped



C:\WINDOWS\CSC\00000001 Object is locked skipped



C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped



C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped



C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\60CB06FB.inf Infected: Trojan.Win32.Agent.amp skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\090E1AF6.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4FC8591B.exe Infected: Trojan.Win32.ShipUp.a skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4FD25710.INF Infected: Trojan.Win32.Agent.amp skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\50726060.exe Infected: Trojan.Win32.ShipUp.a skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\50750A5D.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\50783459.exe Infected: Trojan.Win32.ShipUp.a skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\507B5E55.exe Infected: Trojan.Win32.ShipUp.a skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\51FB55D1.inf Infected: Trojan.Win32.Agent.amp skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\52194FB0.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\16AA22C3.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\728F4CC8.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\79340FB7.INF Infected: Trojan.Win32.Agent.amp skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\79B4752B.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A2632AD.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A295CA9.exe Infected: Trojan.Win32.ShipUp.a skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A400290.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A432C8C.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AD60DEB.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AE00BE0.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AEA09D5.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AF407CA.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4A2940D2.exe Infected: Email-Worm.Win32.Brontok.q skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4ADA7A5E.exe Infected: not-a-virus:FraudTool.Win32.Errorsafe.a skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\44B96356.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1D342DDC.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\01603871.exe Infected: Backdoor.Win32.PcClient.wi skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\56701893.inf Infected: Trojan.Win32.Agent.amp skipped



C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2007-07-19_Log.ALUSchedulerSvc.LiveUpdate Object is locked skipped



C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat Object is locked skipped



C:\Documents and Settings\All Users\Application Data\Symantec\HPPHomePageActivity.log Object is locked skipped



C:\Documents and Settings\All Users\Application Data\Symantec\HPPAppActivity.log Object is locked skipped



C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\SI-10\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\SI-10\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\SI-10\Local Settings\History\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\SI-10\Local Settings\History\History.IE5\MSHist012007071920070720\index.dat Object is locked skipped



C:\Documents and Settings\SI-10\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\SI-10\Local Settings\Application Data\ApplicationHistory\ePower_DMC.exe.3ca0acde.ini.inuse Object is locked skipped



C:\Documents and Settings\SI-10\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\SI-10\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\SI-10\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\SI-10\Application Data\Symantec\PendingAlertsQueue.log Object is locked skipped



C:\Documents and Settings\SI-10\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\DM_log.txt Object is locked skipped



C:\Documents and Settings\SI-10\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\TlibCmnDlgs_log.txt Object is locked skipped



C:\Documents and Settings\SI-10\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\appLauncher_all_log.txt Object is locked skipped



C:\Documents and Settings\SI-10\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\HookStarter_log.txt Object is locked skipped



C:\Documents and Settings\SI-10\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\SPPolicy.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\SPStart.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\SPStop.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBValid.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBConfig.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBRefr.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBNotify.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBStHash.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSetDev.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBDetect.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBDebug.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBStMSI.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSMReg.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SPBBC\LOGS\BBSMNot.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SNDSYS.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SNDFW.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SNDCON.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SNDALRT.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SNDIDS.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\SNDDBG.log Object is locked skipped



C:\Program Files\Common Files\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked skipped



C:\Program Files\Norton AntiVirus\Savrt\0764NAV~.TMP Object is locked skipped



C:\Program Files\Norton AntiVirus\Savrt\0829NAV~.TMP Object is locked skipped



C:\Program Files\Norton AntiVirus\AVVirus.log Object is locked skipped



C:\Program Files\Norton AntiVirus\AVApp.log Object is locked skipped



C:\Program Files\Norton AntiVirus\AVError.log Object is locked skipped

[jmfgg]

Y el log de ELISTARA completo:





Wed Jul 18 21:26:34 2007

EliStartPage v14.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 19 13:52:14 2007

EliStartPage v14.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Jul 19 14:24:40 2007

EliStartPage v14.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Jul 19 14:25:12 2007

EliStartPage v14.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4.5\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

C:\Program Files\WiredRed\EPop\EPOPREM.EXE --> Eliminado, Spy.Delf (BHO)



Thu Jul 19 15:41:45 2007

EliStartPage v14.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[msc hotline sat]

El kaspersky ONLINE no limpia lo que detecta...





Envienos estos ficheros para analizar:





C:\WINDOWS\system32\netused.dll



C:\WINDOWS\system32\SR1000R.DLL



C:\WINDOWS\system32\netmanage.dll



C:\WINDOWS\system32\mstcpcon20.dll



C:\WINDOWS\system32\netmanage.dllbak







C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\60CB06FB.inf



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\090E1AF6.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4FC8591B.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4FD25710.INF



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\50726060.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\50750A5D.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\50783459.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\507B5E55.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\51FB55D1.inf



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\52194FB0.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\16AA22C3.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\728F4CC8.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\79340FB7.INF



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\79B4752B.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A2632AD.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A295CA9.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A400290.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7A432C8C.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AD60DEB.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AE00BE0.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AEA09D5.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7AF407CA.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4A2940D2.exe



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4ADA7A5E.exe







Para ello arranca en modo seguro, desactiva la restauracion de sistema y ve copiando todos estos ficheros a una carpeta especial, en la cual a continuacion empaquetes todos los ficheros cpon pasword VIRUS , y envias el ZIP o RAR anaexado a un mail a zonavirus@satinfo.es indicando como referencia tu nick en el foro



Tras analizarlos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-07-2007

[jmfgg]

ENVIADOS...

[msc hotline sat]

Como que no volveremos al trabajo hasta el lunes, a los que estan en cuarentena o renombrados, dejalos, estan "aparcados" pero estros 4:



C:\WINDOWS\system32\netused.dll



C:\WINDOWS\system32\SR1000R.DLL



C:\WINDOWS\system32\netmanage.dll



C:\WINDOWS\system32\mstcpcon20.dll



cambiales la extension a *.VIR, para que asi no proliferen.



saludos



ms, 20-07-2007

[jmfgg]

Solo una duda: Como les cambio la extension?

y es .vir o *.vir?



GRACIAS

[msc hotline sat]

Boton izquierdo sobre el fichero y pulsas cambiar nombre Y LE CAMBIAS LA EXTENSION a VIR, POR EJEMPLO:



netused.dll --- > netused.vir





lo de asterisco equivale a nombre del fichero (el que sea)



saludos



ms, 20-07-2007

[jmfgg]

LISTO, esto de cambiar las extensiones no me causa ningun problema? es que es la laptop de mi trabajo... y mañana también trabajo...

[msc hotline sat]

Es para que puedas aparcarlas, pero ningun problema, y si se pone tonto el ordenador, se vuelven a renombrar y listos, pero no será el caso porque ya me he asegurado y los links de carga correspondientes sson O4 RUN, y ni se va a enterar !



saludos



ms, 20-07-2007

[jmfgg]

Si note una leve mejora y veo que el winamp ya no funciona tampoco, lo del boton central del touchpad (pq es laptop) tampoco se ha solucionado que al presionar para abajo baje paginas y para los lados tambien. ¿ahora que procede?

[lucl]

pues ya esperar a mañana que te analizaran lo enviado y te daran la solucion al respecto, estate atento a tu post a lo largo de mañana , saludos

[msc hotline sat]

Me comentan que ha entrado un fichero con tu referencia, el cual está en cola para ser analizado. Informaremos al respecto



saludos



ms, 23-07-2007

[jmfgg]

Para cuando me iran a dar repsuesta???



Gracias

[msc hotline sat]

Si ya has renombrado el fichero como te deciamos:



netused.dll --- > netused.vir



se supone que habrás aparcado el problema. o no ?



Por otro lado, estoy contestandote desde casa, fuera de Barcelona, pues no sé si te habrás enterado pero cayó una linea de 110.000 volt en una subcentral de Coolblanch, y cayeron en cadena otras subcentrales electricas de manera que hasta las de Urgell y Maragall cayeron, incendianose esta ultima y dejando medio Barcelona sin corriente electrica, y entre ellos nuestra empresa, por o que hemos adquirido dos grupos electrogenos para alimentacion de equipos informaticos y alquilado otro de grande, que ayer trajeron y "aparcaron " en la calle, y hoy reanudaremos el trabajo, autonomicamente mientras que no se normaliza la red electrica tal como debe ser.



Esta noche habian prometido que con unos cuantos cientos de grupos electrogenos, traidos desde todo el pais y paises cercanos (Francia especialmente) habría suministro pero no ha sido asi, y va para largo.



Esperamos que con los medios que hemos aplicado, podremos reanudar hoy el servicio



saludos



ms, 25-07-2007



Quien no se haya enterado:



http://www.google.es/search?hl=es&q=apagon+Barcelona&meta=



ms.

[msc hotline sat]

Pues analizadas las muestras se identifican como AUTORUN.K y se controlan a partir del ELISTARA de hoy 14.48



A partir de las 16 GMT pruebalo :





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 25-07-2007

[jmfgg]

Ya corri el ELISTARA justo ahora y me marco lo siguiente:





Wed Jul 25 09:25:06 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\NETUSED.VIR --> Eliminado, AutoRun.K

C:\WINDOWS\system32\SR1000R.VIR --> Eliminado, AutoRun.K

C:\WINDOWS\system32\NETMANAGE.VIR --> Eliminado, AutoRun.K

C:\WINDOWS\system32\MSTCPCON20.VIR --> Eliminado, AutoRun.K

[msc hotline sat]

Pues muy bien, revisa tambien los pendrives y tras limpiarlo todo, cuentanos si persiste alguna anomalia o ya esta solucionado todo, gracias



Por si acaso, cuando los inserte en el USB hagalo pulsando simultanemanet SHIFT.



saludos



ms, 25-07-2007

[jmfgg]

Otra vez tuve porblemas, no se si fue pq insterte una memoria USB que pudiera estar infectada, no entendi bien eso de introducirla presionando shift simultaneamente pq la computadora me marca un mensaje de las teclas...



Te dejo mi log otra vez. Saludos



Wed Jul 25 17:26:07 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SR1000R.DLL --> Eliminado, AutoRun.K

C:\WINDOWS\system32\NETUSED.DLL --> Acceso Denegado, AutoRun.K

C:\WINDOWS\system32\NETMANAGE.DLL --> Acceso Denegado, AutoRun.K

C:\WINDOWS\system32\MSTCPCON20.DLL --> Acceso Denegado, AutoRun.K

C:\WINDOWS\system32\NETUSED.DLL.VIR --> Acceso Denegado, AutoRun.K

C:\WINDOWS\system32\NETMANAGE.DLL.VIR --> Acceso Denegado, AutoRun.K



Wed Jul 25 23:19:47 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 25 23:19:51 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MSTCPCON20.DLL.VIR --> Eliminado, AutoRun.K

C:\WINDOWS\system32\NETUSED.DLL.VIR.VIR --> Eliminado, AutoRun.K

C:\WINDOWS\system32\NETMANAGE.DLL.VIR.VIR --> Eliminado, AutoRun.K

[msc hotline sat]

Si, lo detectamos y eliminamos, pero si vuelves a infectar el ordenador insertando un pendrive sin pulsar shift ...



Aclaro tu duda:



Los pendrive, al igual que los CD/DVD pueden tener un AUTORUN.INF que se ejecuta al insertarlos, siempre que no se ejecute SHIFT (tecla de mayusculas) cuando se inserta.



Si este autorun contiene lanzamiento o ejecucion de un virus que tenga dl pendrive, lo ejecutará y con ello infectará de nuevo el ordenador.



Asi que, tras desinfectar el ordenador y reiniciar, entra el pendrive pulsando shift y pruebas el ELISTARA seleccionando la unidad USB y exploras.





Nos cuentas el resultado, gracias



saludos



ms, 26-07-2007

[jmfgg]

Entendido, parece que ya se esta controlandolo



gracias

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 27 de Julio de 2007