NO PUEDO INSTALAR NINGUN ANTIVIRUS

[ramiroros]

no puedo instalar ningun antiviruss

ya intente instalar el NOD32, AVG Y OTROS

Y no puedooo

q debo hacer?

[msc hotline sat]

Posiblemente tenga un virus residente



Arranque en modo seguro con funciones de red y lance esta AV ONLINE, asi lprobablemente o detectará y en tal caso podrá eliminarlo:





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]



saludos



ms, 25-09-2007

[ramiroros]

analize la pc

y me aparecio una amenaza llamada "MeMedia"



q tengo q hacer?

[lucl]

pasate este programa que te indico y peganos el log que te dejara en C infosat.txt



http://www.zonavirus.com/descargas/elistara.asp





y luego ejecuta hijackthis y nos pegas el log igualmente





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

saludos

[ramiroros]

Wed Oct 10 21:35:00 2007

EliStartPage v14.81 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\JEJMAI.EXE.Muestra EliStartPage v14.81

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JEJMAI.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "JEJMAI"="c:\windows\system32\jejmai.exe jejmai"

Entrada Eliminada [HKCU\...\Run] "Instant Access"="C:\WINDOWS\system32\lnaccess.exe /res"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 10 21:36:59 2007

EliStartPage v14.81 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\











Logfile of HijackThis v1.99.1

Scan saved at 09:45:45 p.m., on 10/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Fenix Team Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Escritorio\ELISTARA.20102007.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm147YYAR

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ramiroleproso.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5137/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6BA8C573-A2C7-456F-AA77-E7443E846867}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

[HellMonkey]

Bueno, pues en primera, manda la muestra que te pide elistara.

Mira aquí para ello: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y por lo pronto (no me hagas mucho caso a mí, espera a que te confirme alguien del staff), veo esta clave sospechosa...

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm147YYAR



Instalaste mywebsearch voluntariamente? Y puede que FlashGet te esté dando problemas.



Saludos.

[msc hotline sat]

Mas vale eliminar este resto de MyWebSearch, como ya se apunta en el post anterior:



O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm147YYAR



elimina dicha clave

y no te olvides de enviarnos la muestra solicitada por el ELISTARA



Por favor, envienos una muestra del fichero

C:\Muestras\JEJMAI.EXE.Muestra EliStartPage v14.81





todo ello como indicamos en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 11-10-2007

[ramiroros]

la clave ya la elimine



no puedo enviar el fichero C:\Muestras\JEJMAI.EXE.Muestra EliStartPage v14.82

no aparece nada en el directorio C:\Muestras

q tengo q hacerr?

[ramiroros]

ya pude enviar la muestra

espero su respuesta

[lucl]

Muy bien pues el lunes cuando lleguen te lo analizaran y ya te diran algo, estate atento al post para entonces, saludos

[msc hotline sat]

Pero de momento, como que la hemos movido a c:\muestras, ya no se cargará en el proximo reinicio, asi que posiblemente el virus está "aparcado" y podrá trabajar de momento sin él en memoria



Luego el lunes ya implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 11-10-2007

[msc hotline sat]

Analizada la muestra recibida, se detectan rutinas de nueva variante de NAVIPROMO que pasamos a controlar y eliminar con la version de hoy del ELISTARA 14.83 que estará disponible en esta web a partir de las 19 h GMT



Tras probarla, posteenos el contenido del c:\infosat.txt para ver el resultado del proceso



saludos



ms, 15-10-2007

[ramiroros]

Tue Oct 16 07:14:06 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 16 07:15:00 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\JEJMAI.EXE.MUESTRA ELISTARTPAGE V14.81 --> Eliminado, NaviPromo(dropper)

[msc hotline sat]

Pues como ha visto, con la nueva version ya hemos detectado y eliminado el fichero en cuestion:


[quote]EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\JEJMAI.EXE.MUESTRA ELISTARTPAGE V14.81 --> Eliminado, NaviPromo(dropper)[/quote]

Reinicie y tras ello cuentenos si persiste alguna anomalia o ya podemos dar por solucionado el Tema



saludos



ms, 16-10-2007

[flacoroo]

parece que tenias el norton antivirus instalado antes, con google busca el desinstalador de norton, lo ejecutas en modo seguro y despues trata de instalar tu nuevo antivirus.....

[msc hotline sat]

Mas bien son DPF, propios de escaneos ONLINE, no creo que fuera por instalacion anterior, pero...



saludos



ms, 16-10-2007

[ramiroros]

el problema sigue

intente instalar el nod32

y me aparece el siguiente error

" (106) Ha ocurrido un error mientras se extraia del archivo comprimido"



y tambien surgio otro problemitaa

cuando estaba escaneando con el SuperAntispyware

en la PC aperecio toda la pantalla azul

y decia q windows se habia apagado para q no sufra posibles daños

q tengo q hacerr ?

[msc hotline sat]

Prueba el ELITRIIP:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



A lo mejor algun gusano mal curado te dejó claves que lo impiden, a ver si eso las restaura



saludos



ms, 16-10-2007

[ramiroros]

Tue Oct 16 15:26:20 2007

EliTriIP v4.00 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Oct 16 15:26:21 2007

EliTriIP v4.00 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3836

Nº Total de Ficheros: 32090

Nº de Ficheros Analizados: 5505

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Y ha probado tras reiniciar, a ver si le hemos restaurado alguna clave que le afectara y asi puede ya instalarlo???



saludos



ms, 16-10-2007





nota: Si no se detecta el gusano, ya no se indica las modificaciones del registro, a pesar de que se restauren las claves que se vieran modificadas.



ms.

[ramiroros]

no puedo instalarloo :?

[msc hotline sat]

Pues lance este AV ONLINE a ver si detecta algun virus que se lo impida:



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]



y nos comneta el resultado, gracias



saludos



ms, 17-10-2007

[ramiroros]

el antivirus aconsejado no puedo utilizarloo

asi q use el de symantec



y me detecto los siguientee :



Virus Status: Infected!

Your computer is infected with at least one known threat.

Virus Status: Unknown

The Scan was unable to determine your vulnerability status.



32482 files scanned, 1 file(s) infected on your disk drives.



No viruses were detected in memory.



Your computer is infected with at least one known virus or Trojan horse.



A scan has not been run. To start Virus Detection, click here.



C:\WINDOWS\Temp\IAUninstall\uninstall.exe is infected with Dialer.Generic

[msc hotline sat]

Pues si aun no lo ha eliminado, pruebe el ELISTARA:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si no lo detecta, envienos este fichero uninstall.exe para analizar y tras ello lo implementaremos en una nueva version



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 17-10-2007

[ramiroros]

no lo detecta

asi que ya envie el fichero uninstall.exe

[evangelion_01]

Pues esperemos a que se reciba la muestra enviada y se procedera a implementar su control y eliminacion en la nueva version de elistara

saludos!!



victor v.

[msc hotline sat]

Ahora SATINFO ya está cerrado, mañana lo analizaremos.



Pero mientras, subelo al VIrusTotal y nos posteas el resultado con un copiar y pegar en tu proximo post, de respuesta a este Tema:



https://www.virustotal.com/es/



Asi adelantaremos trabajo, sabiendo cuantos antivirus lo detectan y como, para descartar falsas alarmas.



y evidentemente, en tu ordenador renombra la extension de dicho fichero a .VIR para que al reiniciar ya no se ponga en marcha, y asi lo tendrás "aparcado"



saludos



ms, 17-10-2007

[ramiroros]

[list]

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.10.18.0 2007.10.17 -

AntiVir 7.6.0.23 2007.10.17 DIAL/116736.A.12

Authentium 4.93.8 2007.10.17 -

Avast 4.7.1051.0 2007.10.17 Win32:Dialer-gen

AVG 7.5.0.488 2007.10.17 Potentially harmful program Dialer.CAA

BitDefender 7.2 2007.10.17 Dialer.Instantaccess.AE

CAT-QuickHeal 9.00 2007.10.17 PornDialer.InstantAccess.ae (Not a Virus)

ClamAV 0.91.2 2007.10.17 Dialer-695

DrWeb 4.44.0.09170 2007.10.17 -

eSafe 7.0.15.0 2007.10.15 -

eTrust-Vet 31.2.5216 2007.10.17 -

Ewido 4.0 2007.10.17 Dialer.InstantAccess.ae

FileAdvisor 1 2007.10.17 -

Fortinet 3.11.0.0 2007.10.17 Dial/InstantAccess

F-Prot 4.3.2.48 2007.10.17 W32/Dialer.ELO

F-Secure 6.70.13030.0 2007.10.17 W32/Dialer.BEND

Ikarus T3.1.1.12 2007.10.17 not-a-virus:Porn-Dialer.Win32.InstantAccess.ae

Kaspersky 7.0.0.125 2007.10.17 not-a-virus:Porn-Dialer.Win32.InstantAccess.ae

McAfee 5143 2007.10.17 -

Microsoft 1.2908 2007.10.17 Dialer:Win32/EGroupInstantAccess.A

NOD32v2 2598 2007.10.17 a variant of Win32/Dialer.InstantAccess

Norman 5.80.02 2007.10.17 W32/Dialer.BEND

Panda 9.0.0.4 2007.10.17 Generic Trojan

Prevx1 V2 2007.10.17 -

Rising 19.45.22.00 2007.10.17 -

Sophos 4.22.0 2007.10.17 -

Sunbelt 2.2.907.0 2007.10.17 -

Symantec 10 2007.10.17 Dialer.Generic

TheHacker 6.2.8.096 2007.10.17 Trojan/Dialer.InstantAccess.ae

VBA32 3.12.2.4 2007.10.17 Porn-Dialer.Win32.InstantAccess.ae

VirusBuster 4.3.26:9 2007.10.17 -

Webwasher-Gateway 6.6.1 2007.10.17 Dialer.116736.A.12

[/list]

[lucl]

Muy bien, pues como ya has enviado la muestra tan solo resta que hayas renombrado a .VIR y asi estar tranquilo hasta mañana que te analicen y te demos la herramienta necesaria, saludos

[msc hotline sat]

No se ha recibido ninguna muestra a la cuenta de zonavirus con referencia "ramiroros" ...



Sentimos decirle que sin ellas no podremos ayudarle



Si ya las envió, repita el envio, segun lo indicado:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 19-10-2007