No me deja entrar! (SOLUCIONADO)

[toufusette]

Buenas!

Bueno, aqui esta mi problema, estoy desesperada!

Desde ayer por la noche, cuando enciendo el ordenador, me pasa una cosa extraña y es que se reinicia solo, no me aparece la pantalla Bienvenido. Cuando se reinicia, despues me aparece una lista con modo seguro,...intente todo y solo me deja en modo seguro/ modo seguro con red.

Desde esta tarde, estuve con el antivirus de panda y me detectó virus pero los desinfectó. Tambien encontro un monton de spywares pero no los elimina...

No se si mi problema esta relacionado con los virus/spyware o con otra cosa...estoy desesperada! tengo que imprimir unas cosas y no puedo porque claro, la impresora no esta instalada en modo seguro :(

No se mucho de eso y espero que alguien sepa como arreglarlo! Ya no se que hacer!



Muchas gracias !!

[lucl]

Pùes pasa en modo seguro estos dos programas que te indico





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



cuando los pases peganos el log que te dejara en C infosat.txt

ademas ya que puedes conectar en modo seguro con funciones de red, pasa este online y dinos que resultado te da, saludos



https://www.virustotal.com/es/

[toufusette]

he pasado el antivirus online y aqui esta el resultado :



realsched.exe Win32/Secdrop.NT infected C:\Archivos de programa\Archivos comunes\Real\Update_OB\

launchpd.exe Win32/Secdrop.NT infected C:\Archivos de programa\ATI Multimedia\main\

jusched.exe Win32/Secdrop.NT infected C:\Archivos de programa\Java\jre1.5.0_10\bin\

MsgPlus.exe Win32/Secdrop.NT infected C:\Archivos de programa\MessengerPlus! 3\

wmplayer.exe.tmp Win32/SillyDl.IV infected C:\Archivos de programa\Windows Media Player\

BMan1.exe Win32/Secdrop.NT infected C:\Documents and Settings\All Users\Datos de programa\msw\

BMan1.ex_ Win32/Secdrop.NT infected C:\Documents and Settings\All Users\Datos de programa\msw\

mtrslib2[1].js JS/SillyDlScript.Z infected C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\HXPMNJVP\

aun_0027.exe Win32/SillyDl.HQ infected C:\temporary\

MediaTicketsInstaller.ocx Win32/Clspring.B infected C:\WINDOWS\Downloaded Program Files\CONFLICT.1\

UERSY_0001_N68M0602NetInstaller.exe Win32/SillyDl.AFX infected C:\WINDOWS\Downloaded Program Files\CONFLICT.1\

MediaTicketsInstaller.ocx Win32/Clspring.B infected C:\WINDOWS\Downloaded Program Files\CONFLICT.2\

UERSY_0001_N68M0602NetInstaller.exe Win32/SillyDl.AFX infected C:\WINDOWS\Downloaded Program Files\CONFLICT.2\

mtu.bat BAT/Secdrop infected C:\WINDOWS\

MediaTicketsInstaller[1].cab Win32/Clspring.N infected, no cure C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\6N6P61WL\

MediaTicketsInstaller[1].cab>MediaTicketsInstaller.ocx Win32/Clspring.N infected C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\6N6P61WL\

datadx.dll_tobedeleted Win32/Qoologic!generic infected C:\WINDOWS\system32\

DefLib.sys Win32/Fledib.A infected C:\WINDOWS\system32\

tcpip.sys Win32/UVSW.B infected C:\WINDOWS\system32\dllcache\

tcpip.sys Win32/UVSW.B infected C:\WINDOWS\system32\drivers\

jcmmje.exe Win32/Secdrop.NT infected C:\WINDOWS\system32\

jcmmje.exe1176483063 Win32/Secdrop.NT infected C:\WINDOWS\system32\

lsasss.exe Win32/Secdrop.NT infected C:\WINDOWS\system32\

lsasss.ex_ Win32/Secdrop.NT infected C:\WINDOWS\system32\

NeroCheck.exe Win32/Secdrop.NT infected C:\WINDOWS\system32\

NeroCheck.ex_ Win32/Secdrop.NT infected C:\WINDOWS\system32\

oins.exe Win32/Malum.ABUD infected, no cure C:\WINDOWS\system32\

regscan.exe Win32/Secdrop.NT infected C:\WINDOWS\system32\

E_S10IC2.EXE Win32/Secdrop.NT infected C:\WINDOWS\system32\spool\drivers\w32x86\3\

active.exe Win32/Secdrop!generic infected C:\WINDOWS\Temp\

MediaTicketsInstaller.ocx Win32/Clspring.N infected C:\WINDOWS\Temp\ICD1.tmp\

MediaTicketsInstaller.ocx Win32/Clspring.O infected C:\WINDOWS\Temp\ICD2.tmp\

iinstall.exe Win32/Malum.AHYQ infected, no cure C:\WINDOWS\Temp\

37B5.tmp Win32/Clspring!generic infected C:\RECYCLER\S-1-5-21-1004336348-1979792683-725345543-1003\Dc1\





Le doy a Cure o Delete??





Estoy pensando a una opcion...formatear...esto arreglaria todo??

[Claudia34]

Pues pasa primero como esta indicado el elistara y elitrip y peganos los logs aqui que por lo que veo ni lo haz hecho todavia.

Y ademas de eso:



Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

[msc hotline sat]

En primer lugar, desinstale el Messenger Plus que es un foco de adwares.



Luego, tras probar el ELITRIIP y el ELISTARA, posteenos el contenido de c:\infosat.txt



Y por último, desactive restauracion de esistema, arranque en modo seguro con funciones de red, lance el antivirus ONLINE aconsejado y cuentenos el resultado.





saludos



ms, 9-10-2007

[toufusette]

[u]ELISTARA[/u]





Tue Oct 09 18:04:12 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\MTU.BAT --> Eliminado

C:\Documents and Settings\Propietario.NORDEN-PC.001\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Eliminada Class, "{85589B5D-D53D-4237-A677-46B82EA275F3}" -> C:\WINDOWS\System32\cEj2NLii.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 09 18:05:33 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Archivos de programa\theme hospital fullcd multi language\REDIST\DIRECTX\DRIVERS\DISPLAY\MSDDRAW\M64_SONY.DLL --> Eliminado, MalWare.Celular

C:\Archivos de programa\theme hospital fullcd multi language\REDIST\DIRECTX\DRVSJ\DISPLAY\MSDDRAW\M64_SONY.DLL --> Eliminado, MalWare.Celular

C:\Documents and Settings\All Users\Datos de programa\msw\MSW.EXE --> Eliminado, QDial.Internazionale

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSY_0001_N68M0602NETINSTALLER.EXE --> Eliminado, ErrorSafe (dldr)

C:\WINDOWS\system32\58X605FM.DLL --> Eliminado, Adware.XHelper(BHO)

C:\WINDOWS\system32\88PLXQEP.DLL --> Eliminado, Adware.XHelper(BHO)

C:\WINDOWS\system32\AWY83L3T.DLL --> Eliminado, Adware.XHelper(BHO)

C:\WINDOWS\system32\DYQ647V1.DLL --> Eliminado, Adware.XHelper(BHO)

C:\WINDOWS\system32\OHMV63J4.DLL --> Eliminado, Adware.XHelper(BHO)

C:\WINDOWS\system32\TF6ATX8M.DLL --> Eliminado, Adware.XHelper(BHO)

C:\WINDOWS\Temp\POWERSCAN.EXE --> Eliminado, PowerScan v1.1

C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\G1ORGT4B\POWERSCAN[1].EXE --> Eliminado, PowerScan v1.1

C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\SHOTSJY9\ADP8032[1].EXE --> Eliminado, BB CashBack (Uninst)







[u]ELITRIP[/u]

Tue Oct 09 18:30:55 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliTriIP v3.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SCVHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliTriIP v3.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SCVHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\REGSCAN.EXE.Muestra EliTriIP v3.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGSCAN.EXE --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Oct 09 18:31:12 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Reboot.exe --> Eliminado, Malware(winsys)

C:\WINDOWS\Options\Install\Reboot.exe --> Eliminado, Malware(winsys)

[lucl]

Ve a C y en la carpeta de nombre muestras tienes varios archivos que debes enviarnos para su analisis, te dejo link de modo de envio, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[toufusette]

vengo de enviarlo



muchas gracias por intentar ayudarme ;)

[msc hotline sat]

Pues mañana los analizamos e informamos



saludos



ms, 9-10-2007

[msc hotline sat]

Recibidas las muestras se implementan en las utilidades ELITRIIP y ELISTARA de hoy



A partir de las 19 h descarga las utilidaes indicadas yb pruebaslas, y te detectaran y eliminaran el Downloader y el SDBOT que contienen las muestras





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 10-10-2007

[toufusette]

No encuentra ningun virus... :?





Tengo una duda...si formateo el pc, el problema estará "resuelto"? es que viendo lo que me esta pasando, creo que eso nunca va a acabar..me esta poniendo mala no poder entrar en windows

[lucl]

[quote="msc hotline sat"]Recibidas las muestras se implementan en las utilidades ELITRIIP y ELISTARA de hoy



A partir de las 19 h descarga las utilidaes indicadas yb pruebaslas, y te detectaran y eliminaran el Downloader y el SDBOT que contienen las muestras







Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 10-10-2007[/quote]

seguiste las indicaciones de msc? peganos el log por favor saludos

[Claudia34]

Aunque te parezca que supuestamente no encontro virus, igual peganos el log como te lo indica msc hotline sat:



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

[toufusette]

aqui estan los resultados





Wed Oct 10 19:51:57 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{85589B5D-D53D-4237-A677-46B82EA275F3}" -> C:\WINDOWS\System32\cEj2NLii.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Wed Oct 10 19:52:20 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Oct 10 20:06:19 2007

EliTriIP v3.97 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Wed Oct 10 20:06:22 2007

EliTriIP v3.97 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[lucl]

Es posible que borraras los archivos que enviaste de muestra? Es que eso explicaria que no lo localizaran ahora, comentanos algo al respecto, ademas te aconsejo utilices un antiespias



http://www.zonavirus.com/descargas/spybot-sd.asp





y confirmame algo, los has pasado en modo seguro? saludos

[toufusette]

los archivos de la carpeta Muestras siguen en el ordenador.

Si, en modo seguro con red, es que solo puedo estar en modo seguro, no me deja entrar en el windows normal

[toufusette]

vengo de analizar con el hijackthis, por si puede ayudar





Logfile of HijackThis v1.99.1

Scan saved at 20:41:15, on 10/10/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,khkutkm.exe,C:\WINDOWS\System32\undname.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {A70AB26A-7588-715C-DE9B-01A2DFA869C4} - C:\WINDOWS\System32\fqorzw.dll (file missing)

O2 - BHO: (no name) - {CEEE0ECA-CF28-9EFC-7231-BBA93F975B94} - C:\WINDOWS\System32\ukgbqivo.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKLM\..\Run: [Win32 USB2 Driver] scvhost.exe

O4 - HKLM\..\Run: [win32 service] ajptvi.exe

O4 - HKLM\..\Run: [BMan] C:\Documents and Settings\All Users\Datos de programa\msw\BMan1.exe

O4 - HKLM\..\Run: [itqejc] C:\WINDOWS\System32\jcmmje.exe reg_run

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\System32\lsasss.exe

O4 - HKLM\..\Run: [Red Swoosh] C:\Archivos de programa\RSSoft\RedSwoosh.exe /S

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [Win32 USB2 Driver] scvhost.exe

O4 - HKLM\..\RunServices: [win32 service] ajptvi.exe

O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] scvhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [ATI Launchpad] "C:\Archivos de programa\ATI Multimedia\main\launchpd.exe"

O4 - HKCU\..\Run: [Win32 USB2 Driver] scvhost.exe

O4 - HKCU\..\Run: [fqxgk] C:\WINDOWS\System32\jcmmje.exe reg_run

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] scvhost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/25102131d5cc9dd55b17/netzip/RdxIE601_es.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/es/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://moviecam1.axiscam.net:43442/activex/AMC.cab

O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe

O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)

[lucl]

Bueno lo de la carpeta muestras estara renombrado a .Vir, para empezar te falta el sp2 y actualizaciones posteriores, que son muy importantes, entra aqui e instalalo





https://support.microsoft.com/es-es/help/12373/windows-update-faq



ya que tienes el pc como un colador de virus, ademas tienes varias entradas asi a voz de pronto que tienes que tratar de enviarnos para analizar



O4 - HKLM\..\Run: [Win32 USB2 Driver] [b]scvhost.exe [/b]



O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\System32\[b]lsasss.exe[/b]



sobre estos dos remarcados en negrita buscalos si puedes y envialos para su analisis y si habias desinstalado el mesengerplus3 todavia nos queda una clave que debes quitar haciendo fix cheked



O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart



y sobre la anterior que te pido muestra scvhost.exe me queda la duda de si es la que ya enviaste.

Bueno, ve haciendo lo mas importante actualizar tu pc, eso hara que deje de ser un colador y puedas empezar a notar mejoria, nos comentas tus avances saludos

[toufusette]

intento actualizar con windows update pero me sale eso :

[Número de error: 0x8007043C]

El sitio Web ha encontrado un problema y no puede mostrar la página que intenta ver. Las opciones que se indican a continuación pueden ayudarle a solucionar el problema.

[evangelion_01]

bueno, si ya enviaste enviaste las muestras no habria problema, ya que se implementaria su control en la nueva version de elistara.



Sobre lo que mencionas de formatear, pues es posible que te de resultado, pero hay veces que aun formateando sigue el virus, es mejor eliminarlos

[msc hotline sat]

Pues varias cosas...



Las versiones que probaste de nuestras utilidades no son las de ayer, descarga las actuales que son la 14.81 y la 3.98 para el ELISTARA y el ELITRIIP respectivamente, pruebalas y posteanos el infosat.txt resultante



Pero ademas envianos muestras de:



[b]C:\WINDOWS\System32\lsasss.exe[/b] (fijate en las tres eses ultimas, no solo el de dos, que es del sistema)



y estos que lanzan estas claves:



O4 - HKLM\..\Run: [Win32 USB2 Driver] [b]scvhost.exe[/b] (ojo, no svchost.exe !) posiblemente estará en c:\windows\system32, como el otro... y las siguientes:



O4 - HKLM\..\Run: [win32 service] [b]ajptvi.exe[/b]



O4 - HKLM\..\Run: [BMan] C:\Documents and Settings\All Users\Datos de programa\msw\[b]BMan1.exe[/b]



O4 - HKLM\..\Run: [itqejc] [b]C:\WINDOWS\System32\jcmmje.exe[/b]



O4 - HKCU\..\Run: [Regscan] [b]C:\WINDOWS\System32\regscan.exe[/b]



O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\svchost.exe:[b]ext.exe[/b] , (solo el ext.exe que posiblemente tambien estará en c:\windows\system32\)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y puestos a hacer limpieza, elimina estas dos claves:



O2 - BHO: (no name) - {A70AB26A-7588-715C-DE9B-01A2DFA869C4} - C:\WINDOWS\System32\fqorzw.dll (file missing)



O2 - BHO: (no name) - {CEEE0ECA-CF28-9EFC-7231-BBA93F975B94} - C:\WINDOWS\System32\ukgbqivo.dll (file missing)



O23 - Service: Windows Update Service (muamgrd) - Unknown owner - C:\WINDOWS\System32\muamgrd.exe (file missing)



y elimina esta que es maliciosa segun el site advisor (no entiendo como la tienes si lo tienes instalado ???)



O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab



y si no lo tienes, recuerda: http://www.siteadvisor.com







Lo de los parches aplazalo hasta que hayamos analizado las muestras pedidas y tengas limpio el ordenador, que igual entonces podrás...



saludos



ms, 11-10-2007

[msc hotline sat]

Pues el nuevo LSASSS.EXE del que nos has enviado muestra es un downloader que ya se controla con el ELISTARA de ayer:



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 11-10-2007

[toufusette]

He vuelto a hacer los analisis (y eso que descargue las nuevas versiones ayer)





Thu Oct 11 14:40:54 2007

EliStartPage v14.81 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NEROCHECK.EXE --> Eliminado DownLoader.Agent.AWF

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\MSW\BMAN1.EXE --> Eliminado DownLoader.Agent.AWF

Entrada Eliminada [HKLM\...\Run] "NEROCHECK"="C:\WINDOWS\System32\NeroCheck.exe"

Entrada Eliminada [HKLM\...\Run] "BMAN"="C:\Documents and Settings\All Users\Datos de programa\msw\BMan1.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 11 14:41:24 2007

EliStartPage v14.81 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\REALSCHED.EXE --> Eliminado, DownLoader.Agent.AWF

C:\Archivos de programa\ATI Multimedia\main\LAUNCHPD.EXE --> Eliminado, DownLoader.Agent.AWF

C:\Archivos de programa\Java\jre1.5.0_10\bin\JUSCHED.EXE --> Eliminado, DownLoader.Agent.AWF

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, DownLoader.Agent.AWF

C:\Muestras\REGSCAN.EXE.MUESTRA ELITRIIP V3.96 --> Eliminado, DownLoader.Agent.AWF

C:\WINDOWS\system32\JCMMJE.EXE --> Eliminado, DownLoader.Agent.AWF

C:\WINDOWS\system32\LSASSS.EXE --> Eliminado, DownLoader.Agent.AWF

C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S10IC2.EXE --> Eliminado, DownLoader.Agent.AWF

C:\WINDOWS\Temp\ULOGIN125.EXE --> Eliminado, DownLoader.Agent.AWF



Thu Oct 11 14:52:07 2007

EliTriIP v3.98 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Microsoft Update"="muamgrd.exe"

Entrada Eliminada [HKCU\...\Run] "Microsoft Windows Update"="svcshost.exe"

Entrada Eliminada [HKCU\...\Run] "Microsoft Windows Update"="svcshost.exe"

Entrada Eliminada [HKCU\...\Run] "Win32 Configuration"="videosd32.exe"

Entrada Eliminada [HKCU\...\Run] "Win32 Configuration"="videosd32.exe"

Entrada Eliminada [HKCU\...\Run] "Win32 USB2 Driver"="scvhost.exe"

Entrada Eliminada [HKCU\...\Run] "Win32 USB2 Driver"="scvhost.exe"

Entrada Eliminada [HKCU\...\Run] "Win32 USB2 Driver"="scvhost.exe"

Entrada Eliminada [HKCU\...\RunOnce] "Win32 USB2 Driver"="scvhost.exe"

Entrada Eliminada [HKLM\...\Run] "Win32 USB2 Driver"="scvhost.exe"

Entrada Eliminada [HKLM\...\RunOnce] "Win32 USB2 Driver"="scvhost.exe"

Entrada Eliminada [HKLM\...\RunServices] "Win32 USB2 Driver"="scvhost.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Thu Oct 11 14:52:13 2007

EliTriIP v3.98 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\SCVHOST.EXE.Muestra EliTriIP v3.96 --> Eliminado, SdBot.worm.gen









Los archivos que me pediste te los mandaré esta noche, que ahora mismo no puedo.





Muchas gracias por vuestra paciencia!

[msc hotline sat]

Bien, pero al ser fiesta mañana en España (12 de octubre, fiesta nacional) y luego fin de semana, hasta el lunes no volvemos a SATINFO, que es cuando los analizaremos



Lastima, porque de haber llegado esta mañana las hubieramos implementado esta tarde en nuestras utilidades, pero al menos ya ves que lo de ayer ya está controlado y eliminado.



saludos



ms, 22-20-2007

[toufusette]

Esperando que analizeis las muestras, he vuelto a analizar el ordenador con Panda Activescan, el antivirus online y algo curioso pasó: encontró más de 400 virus y no se cuantos spywares (menos de 100). Eso se debe a que estuve navegando por internet en modo seguro no?



quereis que os ponga los resultados?? ha desinfectado todos los virus, cosa que no ha hecho con los spywares

[lucl]

Ponlo si quieres, no obstante recuerda que mañana te analizaran varias muestras que enviaste y es probable que te quitemos alguno de los bichos que tenias o tienes, los spy puedes quitarlo con un buen antiespias si quieres te recomiendo uno, lo actualizas inmunizas lo pasas y nos cuentas, saludos







http://www.zonavirus.com/descargas/spybot-sd.asp

[toufusette]

última hora : despues del scan del panda online, tenia muchos problemas en el ordenador y no podia conectarme en internet. El panda ha seguramente eliminado archivos que no debía.

La unica solucion que me quedo fue formatear el pc. Lo he hecho y la verdad es que ahora el pc funciona como nuevo.



Asi que ahora solo me queda daros las gracias, que muxos de vosotros tuvisteis que ser pacientes conmigo. En este foro haceis un gran trabajo, espero que sigueis asi, que gracias a vosotros muchas personas logran a librarse de estos bichos! :) :)



Muchas gracias.

Un saludo.

[lucl]

Bueno no suele ser el formateo lo que deseamos pero si lo has hecho asi... lo unico estate atenta que no te vuelvan los problemas y en cualquier caso como mañana analizan tus envios pues estaras mas informada y en caso de que vuelvan zas.... cerramos el post pues y vuelve cuando quieras, saludos

[msc hotline sat]

Postcierre se han recibido ficheros .PF (prefectch) para analizar, los cuales lo procede al no ser mas que lanzadores de los ejecutables, aparte que ya no viene al caso, por estar el Tema cerrado y haber ya formateado el disco duro ...



saludos



ms.