Troyano Downloader.RKS (SOLUCIONADO)

ayacata · Mensaje por **ayacata** » 24 Ene 2008, 21:21

Hola amigos, otra vez recurro a este fabuloso foro para intentar por última vez de eliminar a este troyano que parece indestructible, o tirar la toalla y formatear mi equipo. Hace casi dos meses que que está hospedado en mi pc, llevo más o menos ese mismo tiempo en "conversaciones" con el soporte técnico de Panda, (para eso me cuesta 70 € al año) y no he conseguido nada, cada vez que inicio o reinicio vuelve a aparacer. Estoy cansada de análisis e infinidad de soluciones distintas que ellos me dan y cansada de que este troyano se burle de mi y de mi antivirus.

Les adjunto el log y de paso les informo que les he enviado por email las muestras del archivo infectado. El ElistAra no me detecta nada.

logfile of HijackThis v1.99.1

Scan saved at 18:37:38, on 24/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Uli\LOCALS~1\Temp\Rar$EX00.812\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Secured_eMule Toolbar - {1d1b60fd-b21f-4b9a-8a5f-64e8544828d7} - C:\Program Files\Secured_eMule\tbSec1.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7CD79CB3-5D54-43F0-A147-5D26ED55D254} - C:\WINDOWS\system32\cardsu.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Secured_eMule Toolbar - {1d1b60fd-b21f-4b9a-8a5f-64e8544828d7} - C:\Program Files\Secured_eMule\tbSec1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [AntivirusRegistration] C:\Program Files\CA\Etrust Antivirus\Register.exe

O4 - HKLM\..\Run: [Adobe] "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ante cast ooze tray] C:\Documents and Settings\All Users\Application Data\Bin Wait Ante Cast\Intra 01.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [that store] C:\DOCUME~1\Uli\APPLIC~1\BARBAR~1\Warn Cdrom Safe.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/cabs/ascstubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146052517699

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146052509433

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Program Files\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\program files\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Program Files\Panda Security\Panda Internet Security 2008\TPSrv.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Claudia34 · Mensaje por **Claudia34** » 24 Ene 2008, 21:38

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)

¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

Mensaje por **lucl** » 24 Ene 2008, 21:42

Y desinstala el mesenger plus3 pues es foco adwares y fauna varia, saludos

Mensaje por **msc hotline sat** » 25 Ene 2008, 05:58

Y además:

Tienes tres ficheros sospechosos, de los cuales lanzas dos en el arranque y el otro cuando abres del I.E.:

C:\WINDOWS\system32\cardsu.dll

C:\Documents and Settings\All Users\Application Data\Bin Wait Ante Cast\Intra 01.exe

C:\DOCUME~1\Uli\APPLIC~1\BARBAR~1\Warn Cdrom Safe.exe

de los cuales hay uno ya fichado : http://www.prevx.com/filenames/X1543651833773893728-0/INTRA+01.EXE.html

Envianos dichos ficheros y tras analizarlos, informaremos, aparte de implementar el control y eliminacion de los que procedan en nuestras utilidades.

saludos

ms, 25-1-2008

NOTA:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ms.

Mensaje por **msc hotline sat** » 25 Ene 2008, 10:29

Hemos recibido el fichero empaquetado pero el password no es VIRUS.

Dinos el que has puesto, y recuerda para otra vez lo que indicamos al respecto:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 25-1-2008

ayacata · Mensaje por **ayacata** » 25 Ene 2008, 18:27

Tienes razón, qué cabeza la mía, me empeciné en que la contraseña era VIR. Aprovecho para comentarte que los otros dos ficheros que me comentas, el INTRA 01.exe y Warn Cdrom Safe.exe, no los encuentro, sólo me aparecen como entradas de registro en las copias del Spybot, por cierto ¿puedo eliminarlas?

El cardsu.dll es el que te mandé empaquetado y con la contraseña VIR.

Saludos y gracias

Mensaje por **msc hotline sat** » 25 Ene 2008, 19:47

No, no, no se debe borrar nada sin haberlo analizado...

Maximo si quieres puedes renombrar su extension a .VIR, para que no se ponga en marcha en el siguiente reinicio, y si no es culpable, se restaura a la extension inciial y punto.

Bueno, pues el lunes, cuando volvamos al trabajo en SATINFO, volveremos sobre las muestras, aplicando password VIR, lástima que no hubieras hecho conforme indicamos, pues ya estaría controlado !

saludos

ms, 25-1-2008

ayacata · Mensaje por **ayacata** » 29 Ene 2008, 15:00

:cry: y mi troyano??? no encontramos el antídoto? perdona mi impaciencia pero me consta que eres rápido en contestar.

Saludos

Mensaje por **msc hotline sat** » 29 Ene 2008, 15:19

Sí, claro... Al no venir con el password adecuado, se aparcó, y ayer se aplicó el que decías y se vio que ya se controlaba con el actual ELISTARA como Trojan.AGZ, y habiendose ya indicado en este Tema que lo probaras, se esperaba log del infosat.txt, como se pide en cada prueba del ELISTARA:

[quote]Claudia34 Publicado: Jue Ene 24, 2008 9:38 pm Título del mensaje:

--------------------------------------------------------------------------------

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

Descargar EliStarA

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso. [/quote]

Pruebalo y posteanos el contenido del c:\infosat.txt

saludos

ms, 29-1-2008

ayacata · Mensaje por **ayacata** » 29 Ene 2008, 21:42

Mi gozo en un pozo!!! no puedo lanzar el ELISTARA, algo ocurre ya que que cuando lo ejecuto pone "restaurando registro de sistema" y de hay no sale, he esperado 15 minutos y parece colgado. Que conste que lo hice en modo seguro y con la opción de restaurar sistema desactivado.

Mensaje por **msc hotline sat** » 30 Ene 2008, 07:59

En tal caso, saltaremos la exploracion del registro, con la opcion /SALTAREG aplicada al ELISTARA

Para ello puedes probarlo desde Inicio-> Ejecutar -> <ruta>\"ELISTARA /SALTAREG" o desde una ventana al DOS, copias el ELISTARA.EXE a la carpeta de sistema (c:\windows\system32\ para el XP) y desde alli ejecutas ELISTARA /SALTAREG

Y vacia temporales de internet ...

Ya nos contarás el resultado posteando el contenido de c:\infosat.txt, gracias

saludos

ms, 30-1-2008

ayacata · Mensaje por **ayacata** » 30 Ene 2008, 19:29

Hola, aquí te adjunto el InfoSat.tex, si bien creo que no he conseguido nada positivo, el informe del panda sigue detectando el virus y desinfectando. Te voy a indicar también que mientras el ELISTARA hacía su exploración, salieron dos avisos de acceso denegado a los siguientes directorios:

1) c:\documents and settings\all users\application data\microsoft\eHome\EPG\trace helper (16)

2) c:\documents and settings\uli\application data\??????sAppData (16)

Unidad C:\ Protegida

Wed Jan 30 17:39:41 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 30 17:44:24 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CARDSU.DLL --> Acceso Denegado, Trojan.BHO.AGZ

Nº Total de Directorios: 5458

Nº Total de Ficheros: 50972

Nº de Ficheros Analizados: 15310

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Wed Jan 30 17:53:20 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 30 17:53:29 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5459

Nº Total de Ficheros: 50972

Nº de Ficheros Analizados: 15309

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 30 Ene 2008, 19:36

Pues siempre se ha de ver lo positivo de las cosas ! Nos ha informado de que el dichoso CARDSU.DLL tiene ACCESO DENEGADO:

C:\WINDOWS\system32\CARDSU.DLL --> Acceso Denegado, Trojan.BHO.AGZ

pues pruebalo arrancando en mod seguro y si asi persiste que no se puede acceder, arranca en consola de recuperacion, accedes a dicha carpeta de sistema y lo borras con un DEL CARDSU.DLL

Para ello arranca con el CD de instalacion y selecciona R para acceder a la Consola de Recuperacion, y una vez alli, tecleas:

C: <enter>

CD WINDOWS <enter>

CD SYSTEM <enter>

DEL CARDSU.DLL <enter>

y colorin colorado...

ya me contarás si sobrevive tras ello :wink:

saludos

ms, 30-1-2008

ayacata · Mensaje por **ayacata** » 31 Ene 2008, 00:27

Hola, pues he seguido al pie de la letra tus indicaciones, tampoco me limpia el fichero en modo seguro, sigue el acceso denegado. Lo intenté con el cd de recuperación y después de presionar la R me sale toda esta historia en inglés:

The Recovery Console provides system repair and recovery functionalily. Type EXIT to quit the Recovery Console and restart the Computer.

1: C:Windows

Which windows installation would you like to log onto (to cancel, press enter)? ([color=red]aquí sólo tengo la opción de poner una sola letra)[/color]Invalid selection, please select a valid installation number

y cualquier letra que pongo no la acepta ¿Qué hago?

Mensaje por **msc hotline sat** » 31 Ene 2008, 07:51

Pues entra 1 que es lo que te dice para acceder a C: , luego ya CD WINDOWS, CD SYSTEM32 y DEL CARDSU.DLL ...

(Y ENTER tras cada entrada, claro)

y nos informas del resultado, gracias

saludos

ms, 31-1-2008

ayacata · Mensaje por **ayacata** » 31 Ene 2008, 21:28

:D HUNDIDO

Te adjunto el Infosat.txt, tambié le pasé el antivirus y no encontró nada. Muy agradecida por tu interés y ayuda.

Saludos

Thu Jan 31 19:40:44 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 31 19:40:50 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5457

Nº Total de Ficheros: 50978

Nº de Ficheros Analizados: 15308

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 01 Feb 2008, 08:14

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 1-2-2008