spyware que dice "your computer is infected" (TERM

j#17 · Mensaje por **j#17** » 16 Ago 2007, 00:35

me pueden ayudar porfavor. tengo un dia con este problema. spyware que dice "your computer is infected"

soy principiante en todo esto de la informatica. ayuda porfavorjavascript:emoticon(':wink:')

Winkjavascript:emoticon(':(')

Sad

Logfile of HijackThis v1.99.1

Scan saved at 04:34:40 p.m., on 15/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\printer.exe

d:\Archivos de programa\Eset\nod32krn.exe

D:\Archivos de programa\Eset\nod32kui.exe

D:\ARCHIV~1\SPYWAR~1\SpywareTerminatorShield.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\tcpsvcs.exe

D:\Archivos de programa\Messenger\msmsgs.exe

d:\Archivos de programa\Spyware Terminator\sp_rsser.exe

d:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

D:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\jorge\Escritorio\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.12345678901234567891.com/redir.php?wm_Login=A306B001C283

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr441.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - d:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - d:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Barra &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - d:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AudioDeck] d:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Fork burn exit third] C:\Documents and Settings\All Users\Datos de programa\wavesignforkburn\thirdbook.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [nod32kui] "d:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SpywareTerminator] "d:\ARCHIV~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [ioloDelayModule] D:\Archivos de programa\iolo\System Mechanic Professional 6\delay.exe

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "d:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://d:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)

O9 - Extra 'Tools' menuitem: GigaSize Toolbar - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - d:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by23fd.bay23.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-LA/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170893413655

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - d:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - d:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - d:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\hrum441.txt

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe (file missing)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - d:\Archivos de programa\WinClamAVShield\sp_clamsrv.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\ARCHIV~1\SPYWAR~1\sp_rsser.exe :wink: :wink:

Mensaje por **lucl** » 16 Ago 2007, 08:53

pasate estos dos programas que te indico arrancando el pc en modo seguro, luego cuando reinicies normal nos pegas el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

Jeymi · Mensaje por **Jeymi** » 16 Ago 2007, 17:21

bueno a mi me sale un globito amarillo en la barra de windows diciendome ke mi pc esta infectada!!!! y no se ke hacer----ayudenme porfavor!!!

Jeymi · Mensaje por **Jeymi** » 16 Ago 2007, 20:15

bueno a mi me sale esto:

Thu Aug 16 09:34:02 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LMIINIT] -> C:\WINDOWS\SYSTEM32\LMIinit.dll

[SharedTaskScheduler "{18a8f76b-804b-4981-b87c-460699971a4b}"]

Por favor, envienos una muestra del fichero

C:\Muestras\IGZXWRL.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LMIINIT.DLL --> RemoteAdmin(lmiinit) Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IMSMAIN.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IMSMAIN.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IMSMN.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IMSMN.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\__C006305B.DAT --> Acceso Denegado.

C:\Documents and Settings\USUARIO\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Notepad"="c:\adp.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 16 09:38:35 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LogMeIn\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)

C:\WINDOWS\system32\LMIINIT.DLL.VIR --> Acceso Denegado, RemoteAdmin(lmiinit)

Thu Aug 16 09:53:10 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Aug 16 09:56:59 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{18a8f76b-804b-4981-b87c-460699971a4b}"]

Por favor, envienos una muestra del fichero

C:\Muestras\IGZXWRL.DLL

a "virus@satinfo.es". Gracias.

C:\Archivos de programa\Video Activex Access\IMSMAIN.EXE.VIR --> Eliminado.

C:\Archivos de programa\Video Activex Access\IMSMN.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\IMSMN.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX ACCESS\IMSMN.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\__C006305B.DAT --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 16 09:57:29 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\LMIINIT.DLL.VIR.VIR --> Eliminado, RemoteAdmin(lmiinit)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Aug 16 10:23:37 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{18a8f76b-804b-4981-b87c-460699971a4b}"]

Por favor, envienos una muestra del fichero

C:\Muestras\IGZXWRL.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\__C006305B.DAT --> Acceso Denegado.

Eliminada Carpeta "%Archivos de Programa%\Video Activex Access"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 16 10:23:51 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Aug 16 11:03:28 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Thu Aug 16 11:03:39 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Aug 16 11:16:57 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{18a8f76b-804b-4981-b87c-460699971a4b}"]

Por favor, envienos una muestra del fichero

C:\Muestras\IGZXWRL.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\__C006305B.DAT --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 16 11:17:08 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

---QUE PUEDO HACER AHORA???---PORFA RESPONDANME!

Mensaje por **lucl** » 16 Ago 2007, 21:26

tienes que enviarnos los archivos que tendras en la carpeta muestras que elistara te ha dejado en C, asi que para ello sigue las instrucciones de este link

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ademas debes bajarte elinotif y ponerlo en una misma carpeta con el elistara, cuando los tengas juntos ejecuta elistara y reinicia el pc, nos pegas el log que te deja en C infosat.txt saludos

http://www.zonavirus.com/descargas/elinotif.asp

j#17 · Mensaje por **j#17** » 17 Ago 2007, 01:03

ya le pase los programas y me salio esto:

Thu Aug 16 16:28:13 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

ALERTA. WindowsUpdate Incompleto.

Thu Aug 16 16:28:43 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Aug 16 16:35:46 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Thu Aug 16 16:39:02 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Thu Aug 16 16:39:15 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Thu Aug 16 16:39:55 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

ALERTA. WindowsUpdate Incompleto.

Thu Aug 16 16:40:03 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Aug 16 16:47:22 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

ahora q hago?? gracias por ayudarme.

asi y otra cosa ese spyware me deshbilito el panel de control y el administrador de tareas y tambn cuando le doy click derecho en el escritorio me sale q me contacte con el administrador del equipo.

Mensaje por **lucl** » 17 Ago 2007, 08:56

[quote="lucl"]

ademas debes bajarte elinotif y ponerlo en una misma carpeta con el elistara, cuando los tengas juntos ejecuta ~~[b]~~elistara[/b] y reinicia el pc, nos pegas el log que te deja en C infosat.txt saludos

http://www.zonavirus.com/descargas/elinotif.asp[/quote]

j#17 · Mensaje por **j#17** » 18 Ago 2007, 01:08

ya hice lo q me dijiste. esto es lo q me salio:

Fri Aug 17 16:49:13 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

ALERTA. WindowsUpdate Incompleto.

Fri Aug 17 16:49:34 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Aug 17 16:56:33 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Fri Aug 17 16:59:44 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Fri Aug 17 17:00:01 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

otra vez muchas gracias.

Nelson Ayala · Mensaje por **Nelson Ayala** » 18 Ago 2007, 07:19

Hola amigos:para aquellos que recien se inician en el foro,les diria humilde y respetuosamente que hay un foro especifico para pegar todos los logs de HJT,solo quiero cooperar con el orden, y por lo demás sigan las instrucciones antes mencionadas.saludos a todos.

Tonny09 · Mensaje por **Tonny09** » 20 Ago 2007, 16:53

Ami esto k me comentas me paso junto al problema de imsmain (porcierto ya solucionado). Y.... al solucionar imsmain (el del triangulito amarillo con la exclamacion) este se fue tambien. :? ~~[b]~~

Mensaje por **msc hotline sat** » 20 Ago 2007, 17:01

Si tras los procesos realizados aun persiste el problema, se tratará de un FAKE ALERT no controlado, el cual localizaremos y pediremnos muestra para analizar en cuanto nos postees el SPROCLOG.TXT generadp por el SPROCES.EXE

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 20-08-2007

j#17 · Mensaje por **j#17** » 21 Ago 2007, 02:59

Ya logre quitar el problemilla de "your computer is infected" con hijack this. Pro ahora mi problema es q yo soy administrador del equipo pro cuando trato de entrar al panel de control me dice: "esta operacion ha sido cancelada debido a las restricciones especificas para este equipo. Pongase en contacto con el administrador del sistema." tambn me pasa lo mismo cuando le doy click derecho en el estritorio desps me voy a propiedades y le doy click y me sale lo mismo.me sale eso cada vez q hago un monton de cosas. necesito ayuda xfavor!!!

Mensaje por **msc hotline sat** » 21 Ago 2007, 04:18

Pues posteanos log del HJT o del SPROCES y dinos ademas la clave que eliminaste, para saber lo que era y veremos si conocemos lo que modificaba, para restaurarlo

saludos

ms, 21-08-2007

j#17 · Mensaje por **j#17** » 22 Ago 2007, 00:48

esto es lo q me sale en el HJT:

Logfile of HijackThis v1.99.1

Scan saved at 04:44:44 p.m., on 21/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

d:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

D:\Archivos de programa\Eset\nod32kui.exe

d:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\Resources\Themes\YAFVC3\VistaStart\VistaStart1.3.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Archivos de programa\Messenger\msmsgs.exe

E:\jorge\software\xp to vista\vistart\ViStart.exe

D:\Archivos de programa\Windows Sidebar\sidebar.exe

D:\Archivos de programa\Shock Utility\ShockAero\ShockAero.exe

D:\Archivos de programa\Windows Sidebar\sidebar.exe

D:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

E:\jorge\software\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.12345678901234567891.com/redir.php?wm_Login=A306B001C283

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr441.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - d:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - d:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Archivos de programa\Styler\TB\StylerTB.dll

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AudioDeck] d:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Fork burn exit third] C:\Documents and Settings\All Users\Datos de programa\wavesignforkburn\thirdbook.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [nod32kui] "d:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ioloDelayModule] D:\Archivos de programa\iolo\System Mechanic Professional 6\delay.exe

O4 - HKLM\..\Run: [VistaStart1.3] C:\WINDOWS\Resources\Themes\YAFVC3\VistaStart\VistaStart1.3.exe

O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\ISSO\VIPhd\vsdrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "d:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ViStart] E:\jorge\software\xp to vista\vistart\ViStart

O4 - HKCU\..\Run: [Sidebar] D:\Archivos de programa\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ShockAero] D:\Archivos de programa\Shock Utility\ShockAero\ShockAero.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://d:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)

O9 - Extra 'Tools' menuitem: GigaSize Toolbar - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - d:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by23fd.bay23.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-LA/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170893413655

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - d:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - d:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\hrum441.txt

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe (file missing)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Archivos de programa\Eset\nod32krn.exe

y fijate q ademas no me recuerdo de la clave q elimine. y el backup q me hizo el HJT lo borre. pro me recuerdo q era un "F2" y como tres "04" y unos decian "winavxx" y otro decia "printer" o algo asi no me recuerdo. gracias por la ayuda.

Mensaje por **msc hotline sat** » 22 Ago 2007, 06:17

Pues mal hecho ! "quemastes los barcos" y eso es ser muy osado y puede costarte claro, que te sirva de experiencia ! Justamente el UNFIX es de lo mejor que se dispone para recuperar las claves borradas con el HJT, pero si borraste los ficheros de respaldo ...

Bueno, elimina estas claves

O4 - HKLM\..\Run: [Fork burn exit third] C:\Documents and Settings\All Users\Datos de programa\wavesignforkburn\thirdbook.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)

O9 - Extra 'Tools' menuitem: GigaSize Toolbar - {18955D47-882E-48fc-B903-A4BDD030E7FD} - (no file)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y parece que usas NOD32 pero persisten claves de Norton ???

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

Aparte hay tres ficheros sospechosos:

E:\jorge\software\xp to vista\vistart\ViStart.exe

D:\Archivos de programa\Shock Utility\ShockAero\ShockAero.exe

C:\WINDOWS\system32\vtr441.dll

Subelos al VirusTotal y posteanos el resultado, gracias http://www.virustotal.com

saludos

ms, 22-08-2007

j#17 · Mensaje por **j#17** » 24 Ago 2007, 00:10

gracias. ya elimine lo q me dijiste. mande los archivos a virustotal y esto fue lo q me tiro:

Análisis del archivo vtr441.dll recibido el 23.08.2007 23:56:09 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 19/32 (59.38%)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.8.22.0 2007.08.23 Win-Trojan/Agent.37376.FC

AntiVir 7.4.1.63 2007.08.23 -

Authentium 4.93.8 2007.08.23 -

Avast 4.7.1029.0 2007.08.23 Win32:Agent-JJU

AVG 7.5.0.484 2007.08.23 Downloader.Agent.QOI

BitDefender 7.2 2007.08.23 -

CAT-QuickHeal 9.00 2007.08.23 -

ClamAV 0.91 2007.08.23 -

DrWeb 4.33 2007.08.23 Trojan.DownLoader.28776

eSafe 7.0.15.0 2007.08.23 Win32.Agent.bxx

eTrust-Vet 31.1.5082 2007.08.23 Win32/VMalum.JW

Ewido 4.0 2007.08.23 Downloader.Agent.bxx

FileAdvisor 1 2007.08.23 -

Fortinet 2.91.0.0 2007.08.23 W32/Agent.BXX!tr.dldr

F-Prot 4.3.2.48 2007.08.23 -

F-Secure 6.70.13030.0 2007.08.23 Trojan-Downloader.Win32.Agent.bxx

Ikarus T3.1.1.12 2007.08.23 Trojan.Packed.120

Kaspersky 4.0.2.24 2007.08.23 Trojan-Downloader.Win32.Agent.bxx

McAfee 5104 2007.08.23 -

Microsoft 1.2803 2007.08.23 -

NOD32v2 2480 2007.08.23 -

Norman 5.80.02 2007.08.23 W32/Agent.BXCR

Panda 9.0.0.4 2007.08.23 Adware/WinAntiVirus2007

Prevx1 V2 2007.08.24 Generic.Malware

Rising 19.37.32.00 2007.08.23 Adware.Win32.Agent.nwu

Sophos 4.20.0 2007.08.23 -

Sunbelt 2.2.907.0 2007.08.23 -

Symantec 10 2007.08.23 -

TheHacker 6.1.8.172 2007.08.23 Trojan/Downloader.Agent.bxx

VBA32 3.12.2.3 2007.08.23 Trojan-Downloader.Win32.Agent.bxx

VirusBuster 4.3.26:9 2007.08.23 Trojan.DL.Agent.JRR

Webwasher-Gateway 6.0.1 2007.08.23 Worm.Win32.UPXpacked.gen (suspicious)

Información adicional

Tama�o archivo: 37376 bytes

MD5: 49f1c960c44ec3a9a9b21ac3297483b9

SHA1: 9b57531b5cd1863df38fa6188e3dbb2ddb039b81

packers: UPX

packers: UPX

packers: UPX

packers: UPX

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=59DA55300033DE1E92A800171A6FFD00F95CC6A1

con ViStart.exe no hubo problema

con ShockAero.exe solo uno lo identifico 1/32 eSafe 7.0.15.0 2007.08.23 suspicious Trojan/Worm

q hago ahora???

gracias de nuevo.

Mensaje por **msc hotline sat** » 24 Ago 2007, 07:39

Pues renombra este vtr441.dll

a vtr441.VIR :

C:\WINDOWS\system32\vtr441.dll

y nos la envias para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Aparte, elimina esta clave:

O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr441.dll

y tras reiniciar nos comenta el resultado, gracias

saludos

ms, 24-08-2007

j#17 · Mensaje por **j#17** » 25 Ago 2007, 02:02

ya hice todo lo q me dijiste y ahora si me deja entrar a ejecutar -> regedit. pero a todo lo demas me lo sigue bloquando. ya te mande el archivo tambn. gracias por la gran ayuda q me estas dando. te cuidas orale!!!

Mensaje por **msc hotline sat** » 25 Ago 2007, 10:46

Pues prueba una vez mas el ELISTARA que espero que te solucionará el acceso a Propiedades de pantalla y al Administrador de Tareas:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y nos cuentas si se ha solucionado el problema, gracias

saludos

ms, 25-08-2007

Mensaje por **msc hotline sat** » 25 Ago 2007, 11:33

Y por lo que te pasó del WINAVXX, mira al respecto y procede por si acaso...

Para mas informacion acerca del WINAVXX.EXE:

http://www.prevx.com/filenames/X938602620781644632-X1/WINAVXX.EXE.html

[quote="Para le eliminacion del gusano WINAVXX.EXE, msc"]

Renombrar estos ficheros a extension .VIR :

C:\WINDOWS\system32\winavxx.exe

C:\WINDOWS\system32\printer.exe

system.exe

autorun.exe

(y hasta que no esté controlado, enviarnos estos ficheros para analizar, segun se indica mas abajo)

y eliminar estas claves:

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

Extremely nasty Unknown application.

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y probar el ELISHELL para eliminar la carga del printer.exe:

ELISHELL

http://www.zonavirus.com/descargas/elishell.asp

[/quote]

lo cual se resume para los interesados al respecto.

saludos

ms, 25-08-2007

j#17 · Mensaje por **j#17** » 26 Ago 2007, 01:03

mira fijate q ya hice todo. pro el administrador de tareas ya lo tenia habilitado antes de ejecutar elistara. despues de ejecutar elistara no me resolvio nada y este es el log:

Sat Aug 25 12:55:18 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.DLL --> Eliminado AdClicker.EV

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 25 12:55:45 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

Sat Aug 25 13:01:20 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Windows\System32\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6000.16386_none_f1f7f368deed95c3\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft.windows.i..utomation.proxystub_6595b64144ccf1df_1.0.6000.16386_none_b80a29519535473c\SXSOAPS.DLL --> Acceso Denegado, Puper-Is

Sat Aug 25 13:05:41 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Sat Aug 25 13:06:07 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

y con lo de winavxx ya lo habia hecho. ya lo habia eliminado con el HJT. y el backup q me hizo lo borre; entonces no te pude enviar el archivo. y las claves q me dijiste q las borrara las borré. y despues ejecute elishell y me dio un anuncio q decia:

el "shell" actual es EXPLORER.EXE y tampoco pude resolver nada. pro igual gracias. y disculpa tanto la molestia pro necesito ayuda men. porfa. diculpa. gracias.

Mensaje por **msc hotline sat** » 26 Ago 2007, 08:33

Claro, lo que tienes ahora no tiene que ver con el WINAVXX.EXE, bueno quiza si que sea el downloader que lo descargó, como puede descargar cualquier otro troyano: PUPER

[quote]
Explorando Unidad D:\

D:\Windows\System32\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6000.16386_none_f1f7f368deed95c3\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft.windows.i..utomation.proxystub_6595b64144ccf1df_1.0.6000.16386_none_b80a29519535473c\SXSOAPS.DLL --> Acceso Denegado, Puper-Is
[/quote]

Pues fijate que en los tres casos se ha denegado el acceso al fichero para eliminarlo, asi que debes arrancar en consola de recuperacion (con el CD de instalacion) y desde el DOS eliminar estos tres fichero. Si antes pudieras hacer una copia y luego enviarnoslos te lo agradeceriamos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y lo que dices de que ya el elishell encuentra bien el registro y que puedes acceder al adminuistrador de tareas, posiblemente fue por un proceso anterior del elistara / elishell o de alguna utilidad, pero este virus lo instala.

Parece que ya falta poco, animo !

saludos

ms, 26-08-2007

j#17 · Mensaje por **j#17** » 27 Ago 2007, 05:27

mira te voy a contar algo q no te he contado. fijate q yo estaba interesado en el windows vista. entonces empece a ver si lo podia conseguir en la web. y encontre el vista lite4. y bueno lo descargue y lo instale en mi compu. mi disco duro esta particionado en cuatro partes. en el "C" esta windows xp; en el "D" estan los archivos de programa del windows xp; en el "E" esta todo lo q es musica, imagenes, documentos de office, videos etc.; y en el "F" esta como q la basura q deshechan las aplicaciones, los restos de otras cosas. entoces yo instale el windows vista lite4 en la particion "D" por si ocurria un error entonces podia usar el windows xp. despues q lo insatale no se q paso y todo se quedo negro. encendi la compu y me decia q precionara Ctrl+Alt+Supr para reiniciar. entoces lo precione y me salia lo mismo. en fin no podia hacer nada. entonces lleve la compu con un mi primo q sabe de informatica. y el no se q fue lo q le hizo y me la dejo bien pro con los archivos y carpetas del windows vista lite4 en la particion "D". la compu funcionaba bien y todo tonces un dia me aparecio lo del "your computer is infected" y fue cuando encontre este foro tan bueno. y me inscribi para solucionar mis problemas. y no se q hacer xq tengo miedo de meter el disco de instalacion del vista lite4. y si se me friega todo voy a tener q llevar con mi primo otra vez y me va a cobrar mucho. me cobra como Q100 por la arreglada eso creo q es como €10. entoces necesito una gran ayuda como la q me estas dando. te lo agradesco. entoces no se si seria mejor entrar a la direcion del problema y borrar el archivo q contiene el PUPER. ya q todo eso es del windows vista lite4 y no me sirbe. muchas gracias espero la respuesta. gracias de nuevo.

Mensaje por **msc hotline sat** » 27 Ago 2007, 15:18

Con VISTA no trabajamos.

No damos soporte al mismo, ni nuestras utilidades lo contemplan.

Si por similitud te va lo que indicamos para XP y 2000, estupendo, pero para el Vista no tiene ni porqué funcionarte el ELISTARA, y en cambio has tenido suerte !

Y lo que te indicamos de arrancar en consola de recuperacion, no sé si el Vista lo tiene.

En cualquier caso, si puedes enviarnos los ficheros, los analizaremos e implementaremos en el ELISTARA su control y eliminacion como PUPER que son, si bien nada de lo que digamos es para el VISTA, tenlo presente que el usarlo en dicho sistema es bajo tu unica responsabilidad.

saludos

ms, 27-08-2007

j#17 · Mensaje por **j#17** » 28 Ago 2007, 01:35

bueno mira ya te mande los archivos. y otra cosa, el sistema operativo q yo uso es el Xp no el vista. solo tengo las carpetas y archivos del vista pro ni las uso. y no estoy seguro si eliminarlas por eso no las he eliminado. no se ni como eliminarlas. si las elimino solo con darles Supr o con una aplicacion o algo asi. espero tu respuesta muchas gracias. buena onda!!

Mensaje por **msc hotline sat** » 28 Ago 2007, 05:39

Con la nueva version del ELISTARA 14.51 YA DISPONIBLE EN ESTA WEB para evaluacion, se controla este virus, lo que no sé es si te correrá en VISTA, ya que no le damos soporte todavía.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 28-08-2007

j#17 · Mensaje por **j#17** » 29 Ago 2007, 01:28

saludos. ya le pase el elistara, y este fue el log q me dio:

Tue Aug 28 16:01:40 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Aug 28 16:01:56 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Aug 28 16:07:54 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Windows\System32\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6000.16386_none_f1f7f368deed95c3\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft.windows.i..utomation.proxystub_6595b64144ccf1df_1.0.6000.16386_none_b80a29519535473c\SXSOAPS.DLL --> Acceso Denegado, Puper-Is

Tue Aug 28 16:11:42 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Tue Aug 28 16:12:01 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Tue Aug 28 16:20:28 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\MSCTL32.DLL --> Eliminado

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Aug 28 16:20:50 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Aug 28 16:28:47 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Windows\System32\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6000.16386_none_f1f7f368deed95c3\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft.windows.i..utomation.proxystub_6595b64144ccf1df_1.0.6000.16386_none_b80a29519535473c\SXSOAPS.DLL --> Acceso Denegado, Puper-Is

Tue Aug 28 16:32:31 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Tue Aug 28 16:32:45 2007

EliStartPage v14.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

parece q no me elimino nada. y mira disculpa q te pregunte esto q no tiene nada q ver con el tema. pero ¿por que aveces la unidad de cd-room empieza a hacer ruidos y a como q leer un cd y despues se sale la bandeja del cr-room.? y despues de eso la trato de meter y se qda trabada y no entra hasta q apago el pc. diculpa la pregunta. muchisimas gracias. adios!!!

Mensaje por **msc hotline sat** » 29 Ago 2007, 10:19

Repito que no damos soporte al VISTA.

No sé si puedes arrancar en consola de recuperacion como en el XP y acceder a estos ficheros:

D:\Windows\System32\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6000.16386_none_f1f7f368deed95c3\REGEDT32.EXE --> Acceso Denegado, Puper-Is

D:\Windows\winsxs\x86_microsoft.windows.i..utomation.proxystub_6595b64144ccf1df_1.0.6000.16386_none_b80a29519535473c\SXSOAPS.DLL --> Acceso Denegado, Puper-Is

Si es asi hazlo y envianoslos para analizar

De lo demas , teniendo VISTA, NO COMMENT de momento.

j#17 · Mensaje por **j#17** » 31 Ago 2007, 01:21

mira disculpa pro fijate q no se como arrancar en consola de recuperacion. no se ni q es eso ni para q sirve. y el vista q yo tngo no es original. es el vista lite4 y no se si se pueda hacer todo eso. y mira q pasa si mejor solo elimino los ficheros?? ya q estos no me sirven de nada en el xp, y como no uso el vista entonces no me sirven. q hago?? y me podrias explicar q es lo de consola de recuperacion y como se hace y para q sirve. asi me informo un poco.. muchisimas gracias por la paciencia q tnes con migo. gracias!!

Claudia34 · Mensaje por **Claudia34** » 31 Ago 2007, 05:13

¿Es una version pirata el vista que tienes instalado? Saludos.