HOLA
EHH SOY NUEVA Y LA VERDAD QUE TENIA UNA DUDA MAS QUE NADA LO QUE PASA ES QUE TENGO EL NOD 32 Y ANTES TENIA EL McAfee Y ME HACIA PROBLEMA CON EL WINDOWS QUE TENGO AHORA CORRO EL ANTIVIRUS Y ME SALE LO SIGUIENTE
Registro de sucesos
NOD32 Scanner versión 2501 (20070903) NT
Comprobación CRC del archivo NOD32.EXE: estado correcto
La memoria operativa está correcta.
Fecha: 3.9.2007 hora: 23:27:49
Discos, carpetas y archivos analizados: C:
C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\CatRoot2\edb.log - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\sptd.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\Temp\IH36C.tmp - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\Temp\IH5E3.tmp - Error abriendo archivo (El archivo está bloqueado) [4]
ASI SUCESIBAMENTE SON VARIOS PORQUE PASA ESTO ES UN VIRUS O QUE ?
NO SE CUAL ES EL PROBLEMA (Cerrado)
NO SE CUAL ES EL PROBLEMA (Cerrado)
Lithium...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No es propio de virus lo indicado. No estarás usando VISTA ??? porque tiene muchas exigencias con los privilegios...
En cualquier caso, posteanos log del HJT y lo analizaremos:
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
saludos
ms, 4-09-2007
En cualquier caso, posteanos log del HJT y lo analizaremos:
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
saludos
ms, 4-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Yap Grax por responderme :wink: ahi va lo k me salio despues k hice lo k me dijiste...ahh y tengo el WINDOWS UE creo k se llama :?: jeje
Logfile of HijackThis v1.99.1
Scan saved at 16:03:20, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.cl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.windowsue.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Orbit.lnk = C:\Archivos de programa\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Logfile of HijackThis v1.99.1
Scan saved at 16:03:20, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Orbit.lnk = C:\Archivos de programa\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Lithium...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues esto de windows UE no sé que quiere decir, pero lo que vemos es que usas XP con SP2 e I.E. 7 y estas usando un proxy: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
Puedes eliminar estas claves:
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
y si no eres consciente de usar proxy ni es voluntario lo indicado, elimina tambien su clave que te indicamos en el primer párrafo.
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Tras ello reinicia y cuentanos si persiste algun problema, gracias
saludos
ms, 5-09-2007
Puedes eliminar estas claves:
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
y si no eres consciente de usar proxy ni es voluntario lo indicado, elimina tambien su clave que te indicamos en el primer párrafo.
->
Tras ello reinicia y cuentanos si persiste algun problema, gracias
saludos
ms, 5-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Otra vez :(
Bueno hola y muchas gracias por responder :wink: pero parece k denuevo tengo problemas con este compu...lo que pasa que el otro dia no pude leer la respuesta puesto que no podia ingresa a la pagina no se porque...en fin...ayer estaba mi hermano chikitin en el pc y metio su mp3 en el puerto usb y le salio una alerta del nod32 que habia una variante de un gusano o algo asi y ke dejaba el archivo en cuarentena la cuestion es que hoy prendy el pc y me salio lo siguiente en un recuadro
regedit.exe
la aplicacion ha fallado al inicializarse debido a que la estacion de ventana se ha cerrado
aceptar
Eso me salio y yo la tonta le puse aceptar:? y no se que era le pregunte a mi hermano que sabe algo de compu y me dijo que era de un prgrama quizas y algo de que parece que me habian crakeado el pc :cry: y no entiendo naaaaa en fin....
Luego puse andar el Nod32 y me salieron una serie de errores otra vez que:roll: no se que son......
C:\Documents and Settings\Administrador\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
Este se repite varias veces y tambien esta
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
Que tambien se repite varias veces
y asi un monton de errores que tambien me llamo la antencion este
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
y asi sucesibamente voy a bajar denuevo el programa que me diste la otra vez y te publico los resultados ok....
regedit.exe
la aplicacion ha fallado al inicializarse debido a que la estacion de ventana se ha cerrado
aceptar
Eso me salio y yo la tonta le puse aceptar
Luego puse andar el Nod32 y me salieron una serie de errores otra vez que
C:\Documents and Settings\Administrador\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
Este se repite varias veces y tambien esta
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
Que tambien se repite varias veces
y asi un monton de errores que tambien me llamo la antencion este
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
y asi sucesibamente voy a bajar denuevo el programa que me diste la otra vez y te publico los resultados ok....
Lithium...
ahi va el resultado
Logfile of HijackThis v1.99.1
Scan saved at 19:29:55, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.cl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.windowsue.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [antihost] C:\WINDOWS\system32\ahr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites -http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
eso me salio espero tu respuesta y mushas gracias:wink:
Scan saved at 19:29:55, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [antihost] C:\WINDOWS\system32\ahr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites -
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
eso me salio espero tu respuesta y mushas gracias
Lithium...
ahh se me olvidaba
el Nod 32 me puso en kuarentena el siguiente archivo
C:/WINDOWS/System32/ahr.exe
con el siguiente diagnostico
Probablemente una variante modificada de(gusano de internet)Win32/Delf
era a lo k me referia anteriormente
C:/WINDOWS/System32/ahr.exe
con el siguiente diagnostico
Probablemente una variante modificada de(gusano de internet)Win32/Delf
era a lo k me referia anteriormente
Lithium...
Un fichero con las claves del registro correspondientes al perfil del usuario.
Un fichero con las claves del registro correspondientes al usuario modificadas en la session que has iniciado para que en el siguiente reinicio se apliquen los cambios en NTUSER.DAT
Son ficheros esenciales del registro de windows
Mira en el apartado de "Archivos y secciones del Registro" y en la tabla te detalla lo que te comento acontinuacion
CONCLUSION:
Son ficheros esenciales para el buen funcionamiento de windows, almacenan perfiles de usuario, el propio registro de windows con una proteccion tan alta para que ningun programa sea antivirus o no, puede leer lo que hay dentro, y el NOD32 lo unico que te esta diciendo es que ese archivo esta protegido y no ha podido leerlo para comprobar si tiene virus, solo es un AVISO
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Lo Unico que se necesita para que el mal triunfe es que los hombres buenos no hagan nada, Edmund Burke
Lo Unico que se necesita para que el mal triunfe es que los hombres buenos no hagan nada, Edmund Burke
ok...pero
Muchas gracias....pork estaba asustada no sabia que era todo eso k salia en el antivirus jejeje pero lo del gusano me gustaria saber donde me lo pegue o como....jiji te repito el nombre del archivo ok...
C:/Windows/System32/ahr.exe
probablemente una variante modificada de(gusano de internet)Win32/Delf
Y cuando prendy el pc e inicie sesion me salio el siguiente recuadro...
regedit.exe
la aplicacion ha fallado al inicializarse debido a que la estacion de ventana se cerrado
aceptar
y yo acepte ; mi hermano me dijo que era algo de un programa y que me habian crakeado el pc...no le entendy jeje:roll:
Eso seria jojojo muchas gracias por tu tiempo y tu ayuda...:wink:
C:/Windows/System32/ahr.exe
probablemente una variante modificada de(gusano de internet)Win32/Delf
Y cuando prendy el pc e inicie sesion me salio el siguiente recuadro...
regedit.exe
la aplicacion ha fallado al inicializarse debido a que la estacion de ventana se cerrado
aceptar
y yo acepte ; mi hermano me dijo que era algo de un programa y que me habian crakeado el pc...no le entendy jeje
Eso seria jojojo muchas gracias por tu tiempo y tu ayuda...
Lithium...
Bien, pasa elistara y peganos el log que te dejara en C infosat.txt porque es probable que tengais virus en el mp3, coge el mp3 de tu hermano e insertalo apretando a la vez SHIFT, que es la tecla de mayusculas, una vez echo esto pasate elistara y complementa con elitriip, y si te pide muestra nos la envias
http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/elitriip.asp
debeis aseguraros que limpiais bien el mp3 pues si no el virus volvera ... saludos
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
debeis aseguraros que limpiais bien el mp3 pues si no el virus volvera ... saludos
gracias
ok...lo hare pero me quedo una duda el Nod32 dejo en cuarentena el archivo eso no influira en el resultado de los otros programas que baje ? :roll:
En todo caso = hare ahora el escaneo....antes de acostarme jejeje ya k aca son las 2:36 am juju....
a pesar de eso respondame asi yo los voy siguiendo cuando me contesten ok.....
Muchas gracias por la ayuda y el tiempo...:wink:
En todo caso = hare ahora el escaneo....antes de acostarme jejeje ya k aca son las 2:36 am juju....
a pesar de eso respondame asi yo los voy siguiendo cuando me contesten ok.....
Muchas gracias por la ayuda y el tiempo...
Lithium...
RESULTADO
Pase el Elistara y me salio lo siguiente
Eliminando Troyano SpyRealtek
el Log que guardo fue el siguiente
Sat Sep 08 02:49:05 2007
EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
me pregunto si eliminaba los HOST y le puse que no porque primero no se que son:? y dos no me dijiste si tenia que eliminarlo y segui al pie de la letra las indicacciones je
Ahora pasare el Eli Tri IP
Muchas gracias por su tiempo y ayuda...:wink:
Eliminando Troyano SpyRealtek
el Log que guardo fue el siguiente
Sat Sep 08 02:49:05 2007
EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
me pregunto si eliminaba los HOST y le puse que no porque primero no se que son
Ahora pasare el Eli Tri IP
Muchas gracias por su tiempo y ayuda...
Lithium...
ME EQUIVOQUE
JEJEJE disculpen me equivoque porq no scanie con el elistara es que me enrede pero ahora si lo hice bien sali del antivirus como dice en la ventana del elistar y coloque scan se creo este log
Sat Sep 08 03:06:30 2007
EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Sep 08 03:06:35 2007
EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow
Antes habia empezado a correr el Eli trip ip y me habia salido unas preguntas que no entendi a las cuales le puse lo siguiente
Desea bloquear el intento de intrusion po TLP445
A eso le puse que no porque no sabia si se referia a mi entrada de internet porque la comparto con mi vecino:? es de antena inalambrica (satelital creo :?: )
Luego salieron dos preguntas mas a las que les puse aceptar que eran
Quiere limpiar el fichero HOST ?
Quiere eliminar las colas de impresion ?
bueno ahora volvere a correr el eli trip ip para que finalice el proceso correctamente
gracias por su tiempo y ayuda...:wink:
Sat Sep 08 03:06:30 2007
EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Sep 08 03:06:35 2007
EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow
Antes habia empezado a correr el Eli trip ip y me habia salido unas preguntas que no entendi a las cuales le puse lo siguiente
Desea bloquear el intento de intrusion po TLP445
A eso le puse que no porque no sabia si se referia a mi entrada de internet porque la comparto con mi vecino
Luego salieron dos preguntas mas a las que les puse aceptar que eran
Quiere limpiar el fichero HOST ?
Quiere eliminar las colas de impresion ?
bueno ahora volvere a correr el eli trip ip para que finalice el proceso correctamente
gracias por su tiempo y ayuda...
Lithium...
listo
este log creo el Eli tri ip
Sat Sep 08 03:28:04 2007
EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Sat Sep 08 03:28:06 2007
EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
no puso mas me pregunto
desea bloquear el intento de intrusion por TLP445
Le respondi que no porque no se que es
las otras dos preguntas que hizo le puse aceptar y eran si queria limpiar el fichero HOST y si queria limpiar las colas de impresion.
bueno eso seria todo por hoy dia espero sus respuestas para ver que pasa muchas gracias por su tiempo y ayuda:wink:
Sat Sep 08 03:28:04 2007
EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Sat Sep 08 03:28:06 2007
EliTriIP v3.85 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
no puso mas me pregunto
desea bloquear el intento de intrusion por TLP445
Le respondi que no porque no se que es
las otras dos preguntas que hizo le puse aceptar y eran si queria limpiar el fichero HOST y si queria limpiar las colas de impresion.
bueno eso seria todo por hoy dia espero sus respuestas para ver que pasa muchas gracias por su tiempo y ayuda
Lithium...
me equivoque
perdonnn :!: :!:
me equivoque en las letras era TCP 445 NO TLP como escribi yo sorry es que el sueño me vencia jeje nos vemos gracias por todo:D
me equivoque en las letras era TCP 445 NO TLP como escribi yo sorry es que el sueño me vencia jeje nos vemos gracias por todo
Lithium...
OK
Hola...
Ya pase el elitrip denuevo y bloquie el puerto TCP445 ¿que es ese puerto? y lo otro que queria saber es como me contagie esos virus?:?:
Además el Nod32 todavia tiene el archivo en cuarentena que era el siguiente :
C:/Windows/System32/ahr.exe
Que es ese archivo:?: para que sirve :?: y cuando se va salir de cuarentena :?:
Bueno eso era por el momento jejeje
Muchas gracias por su ayuda y su tiempo...:wink:
Ya pase el elitrip denuevo y bloquie el puerto TCP445 ¿que es ese puerto? y lo otro que queria saber es como me contagie esos virus?
Además el Nod32 todavia tiene el archivo en cuarentena que era el siguiente :
C:/Windows/System32/ahr.exe
Que es ese archivo
Bueno eso era por el momento jejeje
Muchas gracias por su ayuda y su tiempo...
Lithium...
Ok
Sabes busque informacion acerca del archivo o sea de la extencion ahr.exe y encontre que era un gusano :
[color=red]Gusano cuyo objetivo principal es propagarse y afectar al mayor número de ordenadores posibles, realizando copias de sí mismo en las unidades físicas y extraíbles que haya disponibles.[/color]
Eso encontre en una pagina salia como eliminarlo aunque el Nod32 no puede ya que escaneo el archivo y me sale que esta infectado pero que no es posible hacer ninguna accion.Me pasa lo siguiente que salia en la pag que encontre:
[color=red]Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria)[/color]
En fin lo que hice por el momento mientras ud.revisan el archivo fue terminar el proceso de esa aplicacion ,como salia en la pag pero nada mas ya que no se para que sirve y puedo mandarme un error si lo borro ok bueno eso seria.....
Muchas gracias:wink:
Sabes busque informacion acerca del archivo o sea de la extencion ahr.exe y encontre que era un gusano :
Eso encontre en una pagina salia como eliminarlo aunque el Nod32 no puede ya que escaneo el archivo y me sale que esta infectado pero que no es posible hacer ninguna accion.Me pasa lo siguiente que salia en la pag que encontre:
En fin lo que hice por el momento mientras ud.revisan el archivo fue terminar el proceso de esa aplicacion ,como salia en la pag pero nada mas ya que no se para que sirve y puedo mandarme un error si lo borro ok bueno eso seria.....
Muchas gracias
Lithium...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Respecto al ultimo post, entre las opciones que se ofrecen, estña la de poder bloquear el TCP445, para que puedas entrar a Internet y descargarte parches nuevos, sin que te ataquen muchos virus tipo Sasser, por ello se ofrece, es normal, y lo aceptas o no, si lo haces impediras que en aquella sesion puedan intrusionar, y en el siguiente reinicio ya se normaliza dicho port.
saludos
ms, 12.09-2007
saludos
ms, 12.09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibida muestra para analizar, pasamos a controlarla como AUTORUN.F a partir del ELISTARA 14.61:
ELISTARA:
Descargar EliStarA
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 12-09-2007
ELISTARA:
Descargar EliStarA
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 12-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola :
Ayer trate de pasar el elistara y no entendy bien al final que reinicie y no salia nada en el contenido del infosat solo que habia escaniado el disco se y borrado esas cosas que pregunta antes de abrir la ventanilla del scanner...bueno mi pc andaba muy mal puesto que se quedaba pegado el internet explorer como tambien el msn y asi...al final mi cuñado me lo formatio mejor ya que aprovechando que cambie la modalidad de mi internet ( ahora es banda ancha) me dijo que lo mejor era hacer eso en fin muchas gracias por todo...y estare al tanto de las noticias de su pagina que son muy buenas...para el cuidado de la pc...
Desde ya muchasssssss gracias pues por sus respuestas, apoyo y ayuda....:wink:
Ayer trate de pasar el elistara y no entendy bien al final que reinicie y no salia nada en el contenido del infosat solo que habia escaniado el disco se y borrado esas cosas que pregunta antes de abrir la ventanilla del scanner...bueno mi pc andaba muy mal puesto que se quedaba pegado el internet explorer como tambien el msn y asi...al final mi cuñado me lo formatio mejor ya que aprovechando que cambie la modalidad de mi internet ( ahora es banda ancha) me dijo que lo mejor era hacer eso en fin muchas gracias por todo...y estare al tanto de las noticias de su pagina que son muy buenas...para el cuidado de la pc...
Desde ya muchasssssss gracias pues por sus respuestas, apoyo y ayuda....
Lithium...