Mi pc elimina cosas que no le pido!!! (SOLUCIONADO)

cordavento · Mensaje por **cordavento** » 26 Jul 2007, 03:58

Hola, pues verán, mi pc al encenderla después del logo de la marca, que es ACER, en lugar de arrancar echa un pitido, oprimo cualquier botón y arranca ya mostrando el logo de windows y la barrita que corre indicando el funcionamiento. Después al verse ya el escritorio manda un mensaje que dice si estoy seguro de eliminar tal o cual ícono del escritorio, órden que yo no le he dado, si le digo que no me manda tres mensajes más por cada uno que le digo que no, y si le digo que si, sale otro nuevo mensaje pero ahora mensionando otro ícono u otra carpeta para eliminar. Después de aprox 30 minutos me deja en paz para volver a hacerlo en los 60 min siguientes.

He corrido varios antivirus online (maccfee, norton, trend, panda) e instalado otros (pctools, avast, kasrpsky o algo así, panda de prodigy, norton). Me decidi a reformatear, pero no funcionó, despues de esto como a los dos días mi pc comenzó a funcionar perfectamente, el gusto me duro como cinco días y volvió ha hacer lo mismo...Si alguien tiene una sugerencia o idea de lo que le pasa a mi pc le agradeceré me lo haga saber...Saludos y gracias!!!

Mensaje por **msc hotline sat** » 26 Jul 2007, 07:00

Posteenos log del HJT y lo analizaremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 26-07-2007

cordavento · Mensaje por **cordavento** » 26 Jul 2007, 16:37

Ea! si entendí bien ésto es lo que me has pedido...Saludos y gracias...

Logfile of HijackThis v1.99.1

Scan saved at 09:32:53 a.m., on 26/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\admServ.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\admtray.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\RtkBtMnt.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\Rar$EX00.469\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gocyberlink.com/

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [ScanSoft OmniPage SE 4.0-reminder] "C:\Program Files\ScanSoft\OmniPageSE4.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\OmniPageSE4.0\Ereg\ereg.ini"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\{47546E46-114C-476E-B7FE-DC3998FCEA02}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunOnce: [ws_uninst] C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\ws_uninst.exe -s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Mensaje por **msc hotline sat** » 26 Jul 2007, 19:52

Elimina estas claves:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

y envianos estos ficheros para analizar:

C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\{47546E46-114C-476E-B7FE-DC3998FCEA02}\{D1DA 2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe

C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\ws_uninst.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

cordavento · Mensaje por **cordavento** » 26 Jul 2007, 23:19

Ea! verás he borrarado los codigos que me has pedido, pero tengo problema con los ficheros que me pides te envíe, sucede que no sé como encontrarlos, busque su ubicación en la pc y no los encuentro, ¿Me puedes orientar como puedo encontrarlos, he ido al archivo temp y no aparecen tal y como viene la dirección?

Mensaje por **msc hotline sat** » 27 Jul 2007, 06:13

Pues entonces elimina sus claves de carga:

O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\{47546E46-114C-476E-B7FE-DC3998FCEA02}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"

O4 - HKLM\..\RunOnce: [ws_uninst] C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\ws_uninst.exe -s

y nos comentas el resultado, gracias

ms, 27-07-2007

cordavento · Mensaje por **cordavento** » 27 Jul 2007, 16:30

Hola, pues he eliminado uno de los dos códigos (HKLM\..\Run: [Lanzar...)

El segundo ya no aparece ¿?

He reiniciado y continúa todo igual.

Un dato, a reiniciar por primera vez el avast encuentra que hay un archivo al cual no pudo entrar a sacanear "acceso denegado" es el C:\hiberfil.sys error 0x0000022

Acabo de instalar otro antivirus llamada NOD32, que igual que el avast no le permite entrar en la carpeta, de todos los antivirus que he corrido sólo éstos lo han detectado...ignoro si éste dato sirva de algo.

Como antes lo mensione, ya en una ocasión formatee el disco duro, habilité en la laptop que se iniciara desde la unidad de disco extraible, donde coloqué el cd de respaldo de sistema, así ya no se inició desde la memoria del disco duro, pero el problema no desaparació...Si hay que hacer algo más drástico lo hago, claro, si me orientas como hacerlo, en verdad te agradeco el tiempo que te tomas en atenderme...

Mensaje por **msc hotline sat** » 27 Jul 2007, 20:13

Pues pruebe REPARAR SISTEMA, ya que mas buen es problema de algun fichero degradado o corrupto, que será sobreescrito y restaurado con ello:

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

y tras ello, cuentenos le resultado, gracias

saludos

ms, 27-07-2007

cordavento · Mensaje por **cordavento** » 28 Jul 2007, 17:29

:cry: Ea! pues nada, he echo lo que me has pedido, repare windows y he echo el update, reinicié y nada, sigo en las mismas...¿tendrás alguna otra sugerencia? Mejor seguir tratando que acostumbrarme a vivir con esto...

Mensaje por **msc hotline sat** » 29 Jul 2007, 09:01

Pues ya por ultimo posteanos el log del HJT Generado arrancando en modo seguro, para saltarnos algun RootKit que pudiera estar incordiando.

Y comprobaremos si el log está limpio, tras las claves eliminadas y demas procesos realizados, y obraremos en consecuencia.

Y dinos si estos ficheros que quiere eliminar los usas frecuentemente o hace tiempo que no lo hacias, no sea que simplemente sea el sistema configurado para eliminar iconos no usados hace tiempo...

saludos

ms, 29-07-2007

cordavento · Mensaje por **cordavento** » 29 Jul 2007, 16:55

:? Hola, pues bien, resulta que ahora no puedo entrar a BIOS, que la contraseña no es válida y yo no le puesto contraseña para entrar ¿? ejecuté msconfig y hay una ópción para que arranque sólo con los servicios básicos, lo apliqué, reinicié y pues supongo es como modo seguro ya que apararece la pantalla seicillita, sin el color de xp axul, parece como si fuera un windows98 viejón.

La primera vez pensé eso, que era el asistente ése que te dice que te escode o guarda los íconos del escritorio que no utilizas, pero no fue así. Normalmente todo lo que voy a ocupar con frecuencia, sea un fichero o acceso directo a un programa lo coloco en l escritorio, pues para que sea más fácil accesar.

Noté algo al iniciarla en modo básico, me siguen apareciendo los mensajes de eliminar el ícono de carpeta o programa apenas lo selecciono, pero si le digo que no, desaparece. Si la arranco en modo normal le digo que no y me manda 3 mensajes más por cada uno que le digo que no ¿?

Bien, aquí pongo el log...

Logfile of HijackThis v1.99.1

Scan saved at 09:28:47 a.m., on 29/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\Rar$EX06.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.mx/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

Ojalá encuentres algo...

Mensaje por **msc hotline sat** » 29 Jul 2007, 18:24

En esta parte que has posteado está todo limpio,,, pero es que estas a menos de la mitad !

Debe llegar hasta la posicion O23 y solo llegas a la O11...

Mira si es que no lo has seleccionado todo y si es asi, vuyelve a postear el log entero, gracias

Y para arrancar en modo seguro, prueba simplemente de pulsar repetidamente F8 al arrancar y escoger dicha opcion del menu de inicio.

No sé porqué quieres entrar en el BIOS (supongo que querrás decir en el SETUP), NO HACE FALTA PARA LO QUE TE PIDO.

Y lo del password, igual te la pusieron para que no modificaras nada de ello, si conviene se puede resetear sacando la pila del CMOS , pero solo si hace falta, que para mí no es el caso.

saludos

ms, 29-07-2007

cordavento · Mensaje por **cordavento** » 30 Jul 2007, 16:43

:? hola, pues bien, es que según el manual de soporte que trae mi laptop dice que al iniciarla le de F8, pero al arranque envía el logo de la marca (ACER) y debajo dice que para setup presione F2, lo hago pero me pide contraseña, la cual no sé...y en pantalla dice acceso a bios seguido del espacio de la contraseña. Ya lo intenté con F8 sin resultado.

Bien, lo del log es lo que me envio arrancándola en el modo que te mencioné antes, configurado después de ejecutar el msconfig. He lanzado de nuevo hijackthis ahora te lo posteo...

Logfile of HijackThis v1.99.1

Scan saved at 09:23:56 a.m., on 30/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\admServ.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Acer\Empowering Technology\admtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\dllhost.exe

C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\RtkBtMnt.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ANALAU~1\LOCALS~1\Temp\Rar$EX00.594\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.mx/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [preload] C:\Elements\preload.cmd

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Y una vez más te agradezco el tiempo y la paciencia...

Mensaje por **msc hotline sat** » 30 Jul 2007, 17:26

Envianos estos ficheros para analizar:

C:\Elements\preload.cmd

Elimina estas claves:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Este preload.cmd, si no conoces la aplicacion, mientras lo analizarmos, puedes renombrarlo a extension .VIR para que asi no se ponga en marcha tras reiniciar, y si no fuera malware , lo volveremos a renombrar y listos.

saludos

ms, 30-07-2007

cordavento · Mensaje por **cordavento** » 30 Jul 2007, 20:23

Hola, pues he eliminado el código que me sugieres, pero el archivo [color=red]C:\Elements\preload.cmd [/color] no lo en cuentro con la ruta especificada, existe una carpeta ELEMENTS, pero ninguna extención aparece con .cmd, ignoro si lo estoy buscando mal, la carpeta ELEMENTS pesa 110 Mb comprimida en rar 104 Mb, no sé si existe algún programa para enviarla por partes debido a que es muy grande para que sea por mail, o cargarlo a un sitio de disco duro virtual de la web, o igual me estoy confundiendo de fichero, no sé...tú dime

Mensaje por **msc hotline sat** » 31 Jul 2007, 05:48

Ni idea que fuera tan grande !

Pruebe de momento renombrar la extension de dicho fichero de CMD a VIR y tras reiniciar ya no entrará en uso, a ver si asi se soluciona, y nos comenta el resultado, gracias

saludos

ms, 31-07-2007

cordavento · Mensaje por **cordavento** » 01 Ago 2007, 01:19

Hola, pues bien, como antes mencione el fichero C:elements\preload.cmd no lo encuentro, existe una carpeta ELEMENTS donde existen ficheros pero ninguno con extención cmd, si busco archivos o carpetas con la terminación cmd arroja varias, pero ninguna en C:\elements\preload.cmd

cambié de nombre el archivo a ELEMENTS.VIR, es decir, el archivo no tiene extención alguna, sólo nombre...

Si busco archivos o carpetas con extención .cmd me arroja unos ficheros pero no presentan extención....

Nombre / En la carpeta

Perform C:\Elements\Patch

setpower C:\Elements\wispower

login C:\WINDOWS\system32

usrlogon C:\windos\system32

Igual se los envío por mail, espero sus comentarios

cordavento · Mensaje por **cordavento** » 01 Ago 2007, 01:21

:lol: perdón, no mencione que despues de cambiar el nombre a la carpeta nada cambió, sigo con el desperfecto...

Mensaje por **msc hotline sat** » 01 Ago 2007, 05:28

Pues cuando entremos a trabajar en SATINFO (Aqui aun son las 5 de la mañana) analizarenmos el fichero enviado, que posiblemente sea malware ...

Ya informaremos

saludos

ms, 1-08-2007

Mensaje por **msc hotline sat** » 01 Ago 2007, 09:27

Recibidos 4 ficheros .CMD que solo son scripts, no tienen rutinas viricas

Aparentemente son de una aplicacion normal, pero ... ???

En caso de duda, desinstale la aplicacion en cuestion (parece ser relativa al servidor de TelNets) y elimine restos como estos, si es que tras ello le quedan, y limpio de polvo y paja, instalela de nuevo.

saludos

ms, 1-08-2007

Mensaje por **msc hotline sat** » 01 Ago 2007, 09:29

Recibidos 4 ficheros .CMD que solo son scripts, no tienen rutinas viricas

Aparentemente son de una aplicacion normal, pero ... ???

En caso de duda, desinstale la aplicacion en cuestion (parece ser relativa al servidor de TelNets) y elimine restos como estos, si es que tras ello le quedan, y limpio de polvo y paja, instalela de nuevo.

saludos

ms, 1-08-2007

Nota: Como que uno de ellos hace una llamada a wispower.exe, si lo encuentra, envienoslo y lo analizaremos.

ms.

cordavento · Mensaje por **cordavento** » 01 Ago 2007, 16:19

Hola, a ver si entendí, ¿Elimino el código de C:\elements\preload.cmd con hjt?

Y hombre, pues a que hora duermes???

Mensaje por **msc hotline sat** » 01 Ago 2007, 16:31

Dormir ??? que es eso ???

Mejor desinstale esta apliccaion para probar si es la causante de la anomalia, luego ya la reinstalará si le hace falta

saludos

ms, 1-08-2007

cordavento · Mensaje por **cordavento** » 01 Ago 2007, 18:20

Ok, las deshabilité, todo sigue sin cambios, otra de las cosas que no puedo hacer es llamar al administrador de tareas (Ctrl+Alt+Supr) y tampoco puedo suspender el sistema si o hago inmediatamente después de que se apaga se enciende...

Pregunto, existe alguna manera, si es que ya no hay sugerencias, de dejar el disco duro en blanco, bueno los discos duros, ya que mi laptop tiene dos de 30G, es decir sin formato alguno y luego reeformatearlos? ya vez que la reeformateada reescribe lo que hay, o no sé...

Mensaje por **msc hotline sat** » 01 Ago 2007, 18:40

Si no puede acceder al Administrador de tareas, puede ser que algun virus le haya modificado la clave de acceso

Pruebe nuestras utilidades ELISTARA y ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y claro que se puede partir de cero, pero no es nuestro metodo de arreglar las cosas...

saludos

ms, 1-08-2007

cordavento · Mensaje por **cordavento** » 02 Ago 2007, 00:58

[color=darkblue]Hola, he habilitado ElistarA y éste es el log:[/color]

Wed Aug 01 13:26:29 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> SpyRealtek Acceso Denegado.

Wed Aug 01 13:26:29 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Aug 01 13:29:48 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

C:\Program Files\Asistente Prodigy\FPXXUDUD.EXE --> Eliminado, PWS-WoW

C:\System Volume Information\_restore{522AA546-BDE3-4168-A439-CC5B83810CC6}\RP2\A0000231.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{522AA546-BDE3-4168-A439-CC5B83810CC6}\RP2\A0000232.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

C:\System Volume Information\_restore{522AA546-BDE3-4168-A439-CC5B83810CC6}\RP2\A0000233.EXE --> Eliminado, PWS-WoW

[color=blue][color=blue]El parche que mensiona no istalado lo he buscado en el sitio de microsoft, pero al instalarlo me dice que los lenguajes no son iguales y pues no lo instala, en el update no me mensiona que hagan falta actualizaciones ¿ :? ?

El ELITRIIP no lo he podido correr, se queda blockeado pienso yo, debido a que después de 30 min no sale de el mensaje 12001 archivos viricos analizados y la barra de estado full, aparte la compu me dice que la memoria es insuficiente y se alenta mucho (RAM 512M).

[color=blue]Después de reiniciarla, igual, no puedo accesar al administrador de tareas, no la puedo suspender, ya sabe que al momento de cerrar la tapa se debe de suspender, pues ésta no lo hace, y si que lo hacía antes de todo este embrollo, me sigue enviando mensajes de confirmar eliminación de íconos, íconos que ni siquiera están en mi escritorio, (pc, mis sitios de red, mis documentos) si selecciono otro ícono de carpeta o programa inmediatamente en lugar de abrirlo me dice que si estoy seguro de enviarlo a la papelera de reciclaje en lugar de abrirlo, en fin, lo único que he notado en avance es que ahora en lugar de esperar como 30 min en dejar de molestar ahora es como de 10 minutos...

Me parece bien que sigamos tratando, es decir, mientras me siga diciendo que hacer...[/color]

Mensaje por **msc hotline sat** » 02 Ago 2007, 08:29

Pues pruebe el ELITRIIP pero arrancando en modo seguro, y nos postea de nuevo el infosat.txt, gracias

Y paralelamente, diganos la temperatura de la CPU...

y para poder decirnos la temperatura de la CPU, sugiero usar el [url=http://www.zonavirus.com/datos/descargas/28/EVEREST_Home_Edition.asp]~~[b]~~AIDA32[/b][/url] o el [url=http://www.zonavirus.com/datos/descargas/108/everest-home-edition.asp]~~[b]~~Everest Home Edition[/b][/url] y para conocer la temperatura, acceda la parte que pone ORDENADOR y a continuacion a SENSOR:

~~[b]~~Programas Recomendados:[/b]

· [url=http://www.zonavirus.com/datos/descargas/28/EVEREST_Home_Edition.asp]~~[b]~~Descargar AIDA32[/b][/url]

· [url=http://www.zonavirus.com/datos/descargas/108/everest-home-edition.asp]~~[b]~~Descargar Everest Home Edition[/b][/url]

saludos

ms, 2-08-2007

cordavento · Mensaje por **cordavento** » 19 Ago 2007, 03:36

:shock: Ea, pues he vuelto, verá, pues que me he puesto en contacto con el fabricante, llevá la máquina a servicio y me diagnosticaron que el teclado estaba en alguna tecla pegado, dañado pues, que por eso es el pitido que tiene al inicio del sistema (que ya les había comentado a ustedes) estuvo 15 días en reparación, le colocaron un teclado nuevo y asunto resuelto, pues no se trataba de virus, al parecer era la tecla Supr y pues nuevamente les agradezco el tiempo invertido en éste caso, saludos y pues ¿Cómo dejo el tema como resuelto? Seguro esta experiencia le puede servir a otro...

Mensaje por **lucl** » 19 Ago 2007, 10:46

Gracias a ti por avisar cordavento, nos alegramos se haya solucionado finalmente vuelve cuando quieras, saludos

SOLUCIONADO

Mensaje por **msc hotline sat** » 21 Ago 2007, 07:04

Pues dando por SOLUCIONADO el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 21-08-2007

Mi pc elimina cosas que no le pido!!! (SOLUCIONADO)

Mi pc elimina cosas que no le pido!!! (SOLUCIONADO)

Mi pc hace cosas que no le pido!!!

Mi pc hace cosas que no le pido!!!

Mi pc hace cosas que no le pido!!!

Mi pc elimina cosas que no le pido!!!

Mi pc elimina cosas que no le pido!!!

Mi pc elimina cosas que no l epido!!!

Mi pc elimina cosas que no le pido!!!

Mi pc elimina cosas que no le pido!!!

Mi pc limina cosas que no le pido!!!

Mi pc elimina cosas que no le pido!!!

Mi pc elimina cosas que no le pido!!!

Mi pc elimina cosas que no le pido!!!

Mi pc élimina cosas que no le pido!!!