No se arregla ni formateando.Cuelgues w2000. ¿Virus en boot?

[lestril]

Hola a todos.



Es la primera vez que participo en este foro, y en esta ocasión recurro a ustedes como último recurso antes de llevar el ordenador a algún taller técnico.



Lo primero decir que tengo un ordenador IBM de hace unos años, con una partición oculta para la recuperación de todo el software original (se llama ibm product recovery). Pulsando F11 al iniciar la BIOS, automaticamente se formatea el disco duro y se instala WINDOWS 2000 y los controladores necesarios.



Pues bien, siempre he utilizado esta herramienta cuando he tenido problemas con virus y demás y tengo que decir que me ha ido de fábula. Funciona perfectamente y deja el ordenador como una patena.



Resulta que hace ya unas semanas que el ordenador se me queda colgado al iniciarse. Unas veces el cuelgue se produce antes de aparecer windows 2000, otras veces cuando está cargando windows y otras nada más iniciado (ya en el escritorio). La solución es desconectar el ordenador (del enchufe) y volver a conectarlo (así hasta más de 6 veces seguidas), hasta que arranca correctamente y ya puedo usarlo todo el día.



Bien, pasé antivirus varias veces, de escritorio y on line y no me detectan nada. Igual con los antispyware. Por tanto y después de esto procedí a utilizar la recuperación de IBM como otras tantas veces. Pero esta vez, el problema no se ha solucionado, sigue exactamente igual.



Lo he formateado varias veces, de esta forma, y nada de nada. He vuelto a pasar antivirus y nada de nada.



Asi que, he pensado que puede tratarse de un virus del sector de arranque del disco duro. Pero como ningún antivirus me lo detecta, ni siquiera lo sé a ciencia cierta.



Por favor, si alguien puede ayudarme o darme alguna indicación de cúal puede ser el problema se lo agradeceré profundamente.



Muchas gracias por vuestra ayuda.



Un saludo.

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Saludos.

[lestril]

Hola Claudia34,



no sabes cuantísimo te agradezco tus indicaciones.



Intentaré seguirlas al pie de la letra, aunque, como ya expliqué, muchas veces el ordenador se cuelga incluso antes de llegar al momento en que se pulsa F8 para elegir inicio a prueba de fallos.



Un saludo.

[lestril]

Hola de nuevo,



Aquí están los archivos que me has pedido, todos ejecutados en modo a prueba de fallos, sin red ni nada.



[b][i]--Infosat de elistara--[/i][/b]



Sun Feb 17 16:32:05 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Feb 17 16:32:18 2008

EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1048

Nº Total de Ficheros: 19437

Nº de Ficheros Analizados: 8198

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





[b][i]-- infosat de elitrip --[/i][/b]





Sun Feb 17 16:36:19 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Feb 17 16:36:28 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1046

Nº Total de Ficheros: 19438

Nº de Ficheros Analizados: 7440

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





[b][i]-- hijackthis en modo normal --[/i][/b]



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:56:23, on 17/02/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Boot mode: Normal



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\System32\NMSSvc.exe

C:\WINNT\system32\regsvc.exe

C:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\atiptaxx.exe

C:\WINNT\system32\Promon.exe

C:\WINNT\system32\dla\tfswctrl.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe

C:\WINNT\System32\MsiExec.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Promon.exe] Promon.exe

O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE

O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{171EDA76-D3A2-4312-9ACA-0776294F842F}: NameServer = 62.151.2.65,62.151.2.65

O17 - HKLM\System\CS1\Services\Tcpip\..\{171EDA76-D3A2-4312-9ACA-0776294F842F}: NameServer = 62.151.2.65,62.151.2.65

O17 - HKLM\System\CS2\Services\Tcpip\..\{171EDA76-D3A2-4312-9ACA-0776294F842F}: NameServer = 62.151.2.65,62.151.2.65

O20 - AppInit_DLLs: C:\ARCHIV~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe

O23 - Service: Indicador del estado de Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe

O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe

O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe



--

End of file - 4304 bytes





[b][i]-- hijackthis en modo a prueba de fallos --[/i][/b]



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:26:30, on 17/02/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Boot mode: Safe mode



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\userinit.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Promon.exe] Promon.exe

O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE

O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Escritorio\ELISTARA.23022008.EXE

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{171EDA76-D3A2-4312-9ACA-0776294F842F}: NameServer = 62.151.2.65,62.151.2.65

O17 - HKLM\System\CS1\Services\Tcpip\..\{171EDA76-D3A2-4312-9ACA-0776294F842F}: NameServer = 62.151.2.65,62.151.2.65

O17 - HKLM\System\CS2\Services\Tcpip\..\{171EDA76-D3A2-4312-9ACA-0776294F842F}: NameServer = 62.151.2.65,62.151.2.65

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe

O23 - Service: Indicador del estado de Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe

O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe

O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe



--

End of file - 3698 bytes





-- Fin de los logs -----------------------------------------





Bueno, a parte de esto, no sé si será relevante, pero resulta que los problemas para iniciar sólo se presentan cuando el ordenador parte desde apagado; es decir, si estoy en windows y reinicio, arranca perfectamente. Por el contrario si apago el ordenador completamente y lo enciendo a los 10min entonces si que se queda colgado.



A ver si cuando tengais un rato teneis la bondad de echarle un ojo a todo este lio que he puesto.



Muchas gracias por vuestra paciencia.



Un saludo.

[msc hotline sat]

Algo raro tienes en el I.E., ya que el Windows 2000 con SP4 no admite el I.E. SP2, solo el SP1, ello podría ser motivo de problemas.



Sugiero desinstales el I.E. y lo instales de nuevo.



Por lo demas, todo lo veo normal.



saludos



ms, 17-2-2008

[lestril]

Ok, muchas gracias.



Ya lo he desinstalado completamente.



Por ahora no volveré a instalarlo, sino que utilizaré unicamente el mozilla firefox.



Ójala sea ese el problema!



Ya os contaré si se ha solucionado cuando apage el ordenador.



Un saludo.

[msc hotline sat]

Pues aparte de decirnos si ello ha sido suficiente, recomendamos volver a instalar el I,E, pues sino no podrás lanzar windowsupdate para actualizar parches de microsoft que vayan saliendo, y sin ellos serías muy vulnerable.



saludos



ms, 17-2-2008

[julibaga]

En varias ocasiones me ha pasado algo parecido y primero reseteo la BIOS y luego formateo y se ha solucionado el problema.

Espero les sirva de ayuda.

[msc hotline sat]

Entiendo que quieres decir que reseteas el SETUP, pues si lo hicieras con la BIOS te quedarias sin arranque ni acceso alguno al soft... :lol:



Pues gracias por darnos esta idea, aunque no siempre pueda deberse a una mala configuracion del SETUP, en algun caso que asi fuera, podría solucionar este y otros problemas, como ya has comprobado.



Pues comentenos si realmente fue suficiente tras reiniciar, y si es asi, a ver si puede reinstalar el I.E. de alguna manera, incluida la del reset al SETUP si hace falta, tras lo cual volver a cargar los parametros por defecto y luego terminar de configurar el SETUP del BIOS manualmente.



saludos



ms, 17-2-2008

[lestril]

Siento deciros que el problema persiste.



Se sigue colgando al iniciar windows.



Perdonad mi ignorancia, pero me podeis explicar como se resetea la BIOS o el setup? por probar no pierdo nada...



Gracias de nuevo.



Un saludo.

[msc hotline sat]

Sí, claro:



El SETUP de la BIOS es una configuracion del equipò que se guarda en un chip de tecnología CMOS, la cual se mantiene gracias a estar permanentemente alimentada por una pila o batería, que se ve facilmente en la placa base.



Si es una pila de litio, circular y plateada, tipo reloj, se saca y o se cortocircuitan los bornes para acelerar la descarga o al cabo de 20 minutos ya se vuelve a colocar y con el SETUP borrado se procde a cargar los valores por defecto y configurar el resto de nuevo.



La BIOS no la resetee ! ello es lo que hace el virus CIH el día 26 de Abril de cada año, con tristes consecuencias ! :cry:



y nos comenta el resultado, gracias



saludos



ms, 18-2-2008

[lestril]

Buenos días:



Como quiero daros la mayor información posible, os expongo aquí la secuencia de hoy al intentar encender el ordenador.



_____________________________________________________________________________________

- Los 3 primeros arranques: el ordenador se queda colgado en la pantalla "pulse F1 para setup". Es decir, ni siquiera llega a iniciar windows.



- 2 siguientes arranques: el ordenador se cuelga en la pantalla de carga de windows.



- 2 siguientes arranques: el ordenador hace scandisk automaticamente para "comprobar coherencias", y se cuelga en mitad del escaneo (al 33%).



- 2 siguientes arranques: Realiza scandisk, pero se cuelga cuando presenta los resultados del escaneo.



- Ya cansado, intento arrancar en modo "a prueba de fallos", se cuelga en la carga de windows.



- Último arranque: intenta hacer de nuevo scandisk, lo cancelo y esta vez windows arranca perfectamente.

_______________________________________________________________________________________





Y esta es la agonía que sufro todos los días. A partir de ahora, si no apago el ordenador, este funciona a la perfección todo el día.



Administrador, perdón por ser tan pesado, pero, cuando dices "[b]con el SETUP borrado se procede a cargar los valores por defecto y configurar el resto de nuevo[/b]", a qué te refieres exactamente, es una tarea trivial (orden de iniciar discos, etc), o la cosa es complicada?



Un saludo.

[msc hotline sat]

Sí, cuando se borra el SETUP, o se resetea (que es lo mismo), se tiene que configurar de nuevo, para lo que se ofrece el básico, el cual se debe cargar con "[b][i]load default parameters[/i][/b], y a partir de ahí configurar lo particular, sugiero poner en AUTO los discos duros y lectoras de CD que tengas instalados y en NONE lo que no tengas.



Otra cosa que podrias hacer ya que estas en ello, es cambiar la pila, que puede estar gastada y quizas darte algun problema, aprovecha...



saludos



ms, 18-2-2008

[lestril]

Ok, intentaré hacer eso.

Aunque lo dejaré para la noche, porque si lo hago ahora y el problema persiste tendré que arrancar otras 10 veces y la verdad es que crispa los nervios.



Mientras tanto, otra pequeña consulta, si no te importa: es posible que sea un virus en el sector de arranque del disco duro (MBR, creo) y haya que reconstruirlo o esa opción queda descartada.



Gracias de nuevo.



Un saludo.

[msc hotline sat]

No están de moda los virus de MBR, para haber virus nuevos de dicho tipo, y todos los antiguos ya los controlan los antivirus conocidos.



Pero por si no lo detectaras con lo hecho, prueba este AV ONLINE y nos posteas el informe resultante



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]





NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



saludos



ms, 18-2-2008

[lestril]

Bueno, aquí tienes el informe.



Cuando pide el objeto a analizar he elegido Áreas críticas, no sé si he hecho bien.





-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 18 de febrero de 2008 12:43:57

Sistema operativo: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 18/02/2008

Registros en la base antivirus: 528220

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Áreas críticas:

C:\WINNT

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\



Estadísticas:

Número de objeros analizados: 8753

Virus encontrados: 0

Objetos infectados: 0 / 0

Objetos sospechosos: 0

Duración del análisis: 00:09:13



Bombre del objeto infectado / Nombre del virus / Última acción

C:\WINNT\system32\config\software.LOG Object is locked saltado

C:\WINNT\system32\config\default.LOG Object is locked saltado

C:\WINNT\system32\config\SECURITY Object is locked saltado

C:\WINNT\system32\config\SECURITY.LOG Object is locked saltado

C:\WINNT\system32\config\SYSTEM.ALT Object is locked saltado

C:\WINNT\system32\config\SAM Object is locked saltado

C:\WINNT\system32\config\SAM.LOG Object is locked saltado

C:\WINNT\system32\config\SYSTEM Object is locked saltado

C:\WINNT\system32\config\SOFTWARE Object is locked saltado

C:\WINNT\system32\config\DEFAULT Object is locked saltado

C:\WINNT\system32\config\AppEvent.Evt Object is locked saltado

C:\WINNT\system32\config\SecEvent.Evt Object is locked saltado

C:\WINNT\system32\config\SysEvent.Evt Object is locked saltado

C:\WINNT\system32\CatRoot\SYSMAST.cbd Object is locked saltado

C:\WINNT\system32\CatRoot\SYSMAST.cbk Object is locked saltado

C:\WINNT\system32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATMAST.cbd Object is locked saltado

C:\WINNT\system32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATMAST.cbk Object is locked saltado

C:\WINNT\security\logs\scepol.log Object is locked saltado

C:\WINNT\Debug\PASSWD.LOG Object is locked saltado

C:\WINNT\Debug\ipsecpa.log Object is locked saltado

C:\WINNT\Debug\oakley.log Object is locked saltado

C:\WINNT\SchedLgU.Txt Object is locked saltado

C:\WINNT\CSC\00000001 Object is locked saltado



Análisis completado.



Ya me dirás algo, cuando puedas.



Un saludo.

[msc hotline sat]

Pues en dicha zona, nada de nada : Objetos infectados: 0 / 0



Mira en las demas zonas, y en la que aparezcan objetos infectados, posteanosla ! (si es el caso, claro)



saludos



ms, 18-2-2008

[lestril]

Hola de nuevo,



Ya está hecho, en las demás zonas el resultado es el mismo.





Después, en mi desesperación he usado AVG antispyware online y me ha dado este resultado:



_________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________





Name: TrackingCookie.Netflame

Path: C:\Documents and Settings\Administrador\Cookies\administrador@ssl-hints.netflame[2].txt

Risk: Medium



Name: Adware.Generic

Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Risk: Medium



Name: Adware.Generic

Path: HKU\S-1-5-21-1123561945-1580818891-839522115-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Risk: Medium



Name: TrackingCookie.Tradedoubler

Path: :mozilla.16:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Tradedoubler

Path: :mozilla.17:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Doubleclick

Path: :mozilla.37:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Atdmt

Path: :mozilla.41:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Netflame

Path: :mozilla.69:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Hitbox

Path: :mozilla.77:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Hitbox

Path: :mozilla.78:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Hitbox

Path: :mozilla.79:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Coremetrics

Path: :mozilla.88:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Advertising

Path: :mozilla.91:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Advertising

Path: :mozilla.92:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Advertising

Path: :mozilla.93:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Yieldmanager

Path: :mozilla.116:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Yieldmanager

Path: :mozilla.117:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Yieldmanager

Path: :mozilla.118:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Yieldmanager

Path: :mozilla.119:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Yieldmanager

Path: :mozilla.120:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Yieldmanager

Path: :mozilla.121:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Webtrends

Path: :mozilla.132:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Questionmarket

Path: :mozilla.135:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Questionmarket

Path: :mozilla.136:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Statcounter

Path: :mozilla.137:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Liveperson

Path: :mozilla.165:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Liveperson

Path: :mozilla.169:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Liveperson

Path: :mozilla.170:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Webtrendslive

Path: :mozilla.171:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Serving-sys

Path: :mozilla.182:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Imrworldwide

Path: :mozilla.224:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Imrworldwide

Path: :mozilla.225:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.2o7

Path: :mozilla.233:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Serving-sys

Path: :mozilla.249:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Serving-sys

Path: :mozilla.250:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Serving-sys

Path: :mozilla.251:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Serving-sys

Path: :mozilla.252:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Serving-sys

Path: :mozilla.253:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Serving-sys

Path: :mozilla.254:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Tribalfusion

Path: :mozilla.274:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Name: TrackingCookie.Safer-networking

Path: :mozilla.321:C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zqe5iiun.default\cookies.txt

Risk: Medium



Un total de 41 infecciones, lo que me parece muy raro, habida cuenta de que ya he pasado todos los antivirus imaginables ¿?



Esto es muy raro...



Un saludo.

[msc hotline sat]

Son solo cookies de seguimiento... , elimina temporales de internet y cookies y listos



Si quieres hazlo con el mismo ELISTARA, aceptando eliminar temporales



saludos



ms, 18-2-2008

[msc hotline sat]

Son solo cookies de seguimiento... , elimina temporales de internet y cookies y listos



Si quieres hazlo con el mismo ELISTARA, aceptando eliminar temporales



saludos



ms, 18-2-2008









NOTA:



Y si encuentras estas claves en el log del HJT, eliminalas:



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm



O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm





LO MALO ES QUE PARECE QUE USAS MOZILLA, AL CUAL NO DAMOS SOPORTE NI NOSOTROS NI NUESTRAS UTILIDADES, A VER SI A PESAR DE ELLO EL ELISTARA TE SOLUCIONA EL PROBLEMA. AUNQUE NO CREO QUE TE ELIMINE DICHOS TEMPORALES O COOKIES.



Es la desventaja de no ir con lo standar, cuando hay problemas no hay tantas soluciones.





saludos



ms, 18-2-2008

[lestril]

No me salen exactamente esas líneas, sino estas:



O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll



Que son parecidas, pero el archivo final no es el mismo.



En cuanto al mozilla, lo tengo porque desinstale el iexplorer, por si acaso era incompatible con el service pack 4. Ahora he instalado el ie 6 sp1.



Desde luego, si el problema es mozilla, lo desinstalo y punto; eso a mí me da igual :D



Un saludo y gracias.

[msc hotline sat]

No, las que dices no contienen la class



c95fe080-8f5d-11d2-a20b-00aa003c157a



que detectaba el ewido en estas claves de registro:



Name: Adware.Generic

Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Risk: Medium



Name: Adware.Generic

Path: HKU\S-1-5-21-1123561945-1580818891-839522115-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Risk: Medium





Si quieres, buscalas y eliminalas con el BUSCAREG:





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



saludos



ms, 18-2-2008





y lo del mozilla, no es que creamos que estas cookies puedan causar problemas, solo que las del I.E. contemplamos controlarlas y eliminarlas, y la de otros navegadores alternativos, no. ms.

[lestril]

Buscareg me devuelve una serie de cadenas, 7 en concreto, pero que no son las que busco (al menos eso creo, porque no se puede ver la ruta completa).



Son del tipo "4f2d07a7a0a4298d"=",33,HKLM,SOFTWARE\\... y ya no veo más.



¿Las borro?



Saludos.

[msc hotline sat]

Si contienen esta class: c95fe080-8f5d-11d2-a20b-00aa003c157a eliminelas, pues segun ewido son las de un "Adware.Generic"



y tras ello nos ciomenta el resultado, gracias



saludos



ms, 18-2-2008

[lestril]

Ok, ya está hecho.



Cuando vuelva a arrancar el ordenador os comento como ha ido la cosa.



Gracias por vuestra paciencia.



Un saludo.

[msc hotline sat]

Venga pues, cruza los dedos... :wink:



Hasta luego



ms.