El McAfee no para de "eliminar" virus troyanos!(SO

Almava · Mensaje por **Almava** » 18 Feb 2008, 09:39

Hola a todos!

Quería comentaros una cosa con respecto a viruses. Desde hace 2 ó 3 semanas mi antivirus (McAfee) no hace más que presentarme ventanas con que a eliminado troyanos en distintas partes de mi sistema. Al principio al decirme que los eliminaba me quedé tranquila, pero ahora me parece un poco raro que me aparezcan tantas ventanas como esta porque se supone que mi antivirus debería funcionar correctamente y no se si lo está haciendo. Además estos virus (VAnti.sys, por ejemplo), se repiten varios días con lo cual no se si se llegan a eliminar correctamente o no. En las ventanas de "Alerta de VirusScan" me han llegado ha aparecer incluso 80 líneas con troyanos (no todos diferentes, como 3 o 4 nombres de troyanos en distintos archivos). Y otra vez con el VAnti.sys, el McAfee tuvo problemas para elimarlo presentadome el mensaje "fallo al eliminar (fallo al limpiar)". No se, estoy algo preocupada porque siempre he oido que los troyanos y los gusanos son virus bastante peligrosos para el sitema operativo y nunca me habían aparecido todas esas ventanas!

Es esto normal? Qué debería hacer?

Uso el Windows XP por si esa información os sirve a vosotros de algo.

Gracias

Mensaje por **msc hotline sat** » 18 Feb 2008, 13:38

Debes tener ademas un dropper (generador de troyanos) o un downloader (descargador) que te va creando od escarfgando nuevas variantes de estos malwares.

Veamos si lo localizamos.

De entrada prueba estas dos utilidades:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y aparte posteanos el log generado por esta otra utilidad de investigación: (esto despues de haber hecho lo anterior, para ver lo que queda)

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 18-2-2008

Mensaje por **msc hotline sat** » 18 Feb 2008, 13:39

Debes tener ademas un dropper (generador de troyanos) o un downloader (descargador) que te va creando o escargando nuevas variantes de estos malwares.

Veamos si lo localizamos.

De entrada prueba estas dos utilidades:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y aparte posteanos el log generado por esta otra utilidad de investigación: (esto despues de haber hecho lo anterior, para ver lo que queda)

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 18-2-2008

Almava · Mensaje por **Almava** » 18 Feb 2008, 15:23

A ver, os comento:

Al pasar el EliStarA, no llego a la ventana en que puedo presionar el botón "Explorar", así que creo que no logro pasarlo correctamente (lo intento desde "modo seguro").

De todas maneras os posteo el contenido de C:\infosat.txt:

Mon Feb 18 14:06:19 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Feb 18 14:06:23 2008

EliTriIP v4.37 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7428

Nº Total de Ficheros: 153569

Nº de Ficheros Analizados: 22497

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Feb 18 14:33:32 2008

EliStartPage v15.67 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Luego, tras reiniciar el equipo como me decías, paso el SPROCES (herramienta de investigación). Pero nunca llega ninguna ventana ni nada en la que pueda presionar SALIR, como me decis. Lo he intentado tanto en "modo seguro" como en modo normal. Tras un rato en ambos de no pasar nada tras apretar el boton "Ejecutar", decido reiniciar el ordenador y al apagarse me informa de que el Sproces no responde, por lo que creo que no ha funcionado este programa tampoco correctamente.

De todas maneras, a continuación os adjunto el C:\SPROCLOG.TXT que me aparecio:

Mon Feb 18 14:50:44 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIV~1\ESRI\LICENSE\ARCGIS9X\LMGRD.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\ARCHIV~1\ESRI\LICENSE\ARCGIS9X\ARCGIS.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\VSTSKMGR.EXE

C:\WINDOWS\SYSTEM32\SLSERV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\EZBUTTON\CPLBCL50.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WORKS SHARED\WKUFIND.EXE

C:\ARCHIVOS DE PROGRAMA\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\VIRUSSCAN ENTERPRISE\SHSTAT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\UDATERUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\SKYPE\PHONE\SKYPE.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\COMMON FRAMEWORK\MCTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\3082\MSOFFICE.EXE

C:\ARCHIVOS DE PROGRAMA\SKYPE\PLUGIN MANAGER\SKYPEPM.EXE

C:\DOCUMENTS AND SETTINGS\MARIANO\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: ShowBarObj Class - {43AE45CB-DDA7-454B-9650-93A4C090BDB8} - C:\Archivos de programa\Eyetide Media\Eyetide Viewer\Toolbar\ETBar.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &EyeTideBar - {987D027C-F0EF-40fa-9A1A-C45007F1F36F} - C:\Archivos de programa\Eyetide Media\Eyetide Viewer\Toolbar\ETBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: []

O4 - HKCU\..\Run: [VoipStunt] "C:\Archivos de programa\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [VoipBuster] "C:\Archivos de programa\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CplBCL50] C:\Archivos de programa\EzButton\CplBCL50.EXE

O4 - HKLM\..\Run: [NWEReboot]

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: Microsoft Works Calendar Reminders.lnk

O4 - Global Startup: Post-it® Software Notes Lite.lnk

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: ArcGIS License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\arcgis9x\lmgrd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Serial Driver (BTSERIAL) - Unknown owner - C:\WINDOWS\System32\drivers\btserial.sys

O23 - Service: Bluetooth Port Client Driver (BTSLBCSP) - Unknown owner - C:\WINDOWS\System32\drivers\btslbcsp.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\vstskmgr.exe

O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

O23 - Service: Bluetooth Audio (BtAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btaudio.sys

O23 - Service: Bluetooth Virtual Communications Driver (BTDriver) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Bluetooth LAN Access Server (BTWDNDIS) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: Panda Anti-Dialer (ComFiltr) - Unknown owner - C:\WINDOWS\system32\DRIVERS\COMFiltr.sys (file missing)

O23 - Service: Dritek HotKey Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\Drivers\DKbFltr.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - Elaborate Bytes - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: McAfee Inc. (mfeapfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeapfk.sys

O23 - Service: McAfee Inc. (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. (mfehidk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfehidk.sys

O23 - Service: Mtlmnt5 - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlmnt5.sys

O23 - Service: Mtlstrm - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlstrm.sys

O23 - Service: NtMtlFax - - C:\WINDOWS\SYSTEM32\DRIVERS\NtMtlFax.sys

O23 - Service: PCTINDIS5 NDIS Protocol Driver (PCTINDIS5) - PCTEL Inc. - C:\WINDOWS\system32\PCTINDIS5.SYS

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

Espero que esta informacion os valga para poderme informar de que seguir haciendo.

Saludos.

Mensaje por **msc hotline sat** » 18 Feb 2008, 17:43

Supongo que eres conciente de haber tenido el ONLINE GAME, pues habia esta clave que el ELISTARA ha eliminado:

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

y vemos esta clave de Panda ??? que hace esto ahí, si usas McAfee ??? eliminalo si es antigua y en desuso

O23 - Service: Panda Anti-Dialer (ComFiltr) - Unknown owner - C:\WINDOWS\system32\DRIVERS\COMFiltr.sys (file missing)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y lo del ELISTARA, si no llega a la pantalla de exploracion, es que tiene en el registro alguna maraña de claves...

Pruebe de eliminar primero temporales de internet, y si tras ello aun persiste, pruebelo desde Inicio -> Ejecutar con la opcion /SALTAREG , o desde ventana al DOS, pero fijese en el nombre completo del ELISTARA...

saludos

ms, 18-2-2008

Almava · Mensaje por **Almava** » 18 Feb 2008, 19:40

Os cuento:

1- No era consciente de haber tenido el ONLINE GAME, me supongo que será algún tipo de juego por internet o algo así, pero el caso es que soy yo la única que utilizo este ordenador y no me gustan los juegos (ni online ni no online), asi que si es eso no se de donde viene.

2- He pasado el HJT en modo seguro para poder quitar la clave que me decías: "O23 - Service: Panda Anti-Dialer (ComFiltr) - Unknown owner - C:\WINDOWS\system32\DRIVERS\COMFiltr.sys (file missing)", pero esa clave no me aparece con lo que no puedo elimiarla. Y si, hace algun tiempo tuve el panda pero luego tuve el nod32 y ahora tengo el McAfee.

3- Y con lo de ELISTARA no ha habido suerte ninguna. De hecho si en Inicio -> Ejecutar (ELISTARA /SALTAREG o también intente ELISTARA/SALTAREG) no encuentra el archivo. Lo mismo ocurre si lo hago desde la ventana al DOS. Lo intente en modo seguro y no seguro y he comprobado que el nombre con que esta guardado es ELISTARA (todo con mayusculas).

4- No he comentado en los mensajes anteriores que desde hace meses me aparecen errores relacionados con internet explorer, se me queda la pantalla en azul o se me cierra algun problema (ultimamente mucho el Word) y ejecuto el explore.exe para que todo vuelva a funcionar correctamente. Y el mensaje que hoy me aparecio de error (que no se si tiene que ver con el internet explorer o no) es el siguiente:

"An unhandled win32 exception ocurred in WINWORD.EXE [528]...."

No comente nada de esto, porque esto lleva ocurriendo mucho tiempo y lo del McAfee y los troyanos unicamente 2 o 3 semanas.

Que hago a continuacion?

Saludos.

Mensaje por **msc hotline sat** » 18 Feb 2008, 20:59

Pues sobre el punto 1 no se trata de ningun juego, sino del nombre de un virus: ONLINEGAMES, virus con multitud de variantes (aparecen a diario nuevas no controladas), y que desactiva el poder ver ficheros ocultos y se propaga por pendrive.

Respecto al punto 2, con el BUSCAREG Entra "Service: Panda Anti-Dialer" y cuando encuentres la clave que lo contenga, pulsas doble click sobre ella y te preguntará si quieres eliminarla, procede con ello.

Sobre el punto 3 ya te dije que miraras bien el nombre del ELISTARA... , que cambia cada día. El de hoy es ELISTARA.28022008.EXE y desde DOS, y en el directorio donde lo tengas, escribe pues ELISTARA.28022008.EXE /SALTAREG y dale al ENTER

Respecto al punto 4, el problema es del Word, reinstalalo o reinstala el Office completo, pero lo tienes dañado y es el causante del error en cuestion

Espero que con lo indicado te libres del virus en cuestion y del errpr en el Word.

Tras probar el ELISTSRA completo, posteanos el contenido de C:\infosat.txt con un copiar y pegar, gracias

saludos

ms, 18-2-2008

Nota, si se te pidiera enviar muestras, hazlo segun indicamos para el foro:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ms.

Almava · Mensaje por **Almava** » 18 Feb 2008, 21:22

Lo primero muchas gracias por explicarme que era el ONLINE GAME, pos como has podido comprobar soy bastante patosa con los ordenadores. Doy por echo que ese problema ya esta solucionado.

Con respecto al punto 2, no se que es el BUSCAREG. Lo siento. Me lo podrías explicar.

Sobre el ELISTARA pedir disculpas, al guardarlo le había cambiado el nombre yo, por eso dije que el mio se había llamaba ELISTARA. Lo acabo de volver a bajar y no le he cambiado el nombre, asi que intentare lo que me decis y os hare saber el resultado.

Y sobre el punto 4 me gustaria saber si pasa algo si tardo un mes o algo asi en instalar el Word de nuevo. ¿Me daría esto muchos problemas? ¿Cuales? Es que estoy en el extranjero y deje el CD donde tengo lo de Microsoft en España. Además estoy terminando mi proyecto fin de carrera y como no soy muy buena con los ordenadores, preferiria que un amigo me lo hiciera, lo cual supondría algo de tiempo y no tengo mucho.

Muchas gracias por vuestra paciencia.

Saludos.

Mensaje por **flacoroo** » 18 Feb 2008, 21:45

te dejo el link para que lo bajes el [url=http://www.zonavirus.com/descargas/buscareg.asp]buscareg[/url]

y sobre el offices si no lo puedes instalar no hay problema mientras no lo uses o necesites no hay problema....

Almava · Mensaje por **Almava** » 18 Feb 2008, 21:54

Gracias por lo del BUSCAREG.

Sobre lo del Office, necesito usar el Word para terminar de escribir mi proyecto. ¿Quieres decir que si no instalo de nuevo el Office tendre tantisimos problemas con el Word que no podre terminarlo?

Mensaje por **lucl** » 18 Feb 2008, 22:44

Depende de lo degradado que este el office, lo que es cierto es que para repararlo aunque sea sin instalarlo necesitas igualmente el cd, con lo que te recomiendo pidas te lo envien urgentemente para poder solucionarlo si tanta falta te hace, saludos

Almava · Mensaje por **Almava** » 18 Feb 2008, 23:57

Intentare conseguir el CD lo antes posible, de todas maneras me gustaría repararlo en vez de desintalarlo y volver a instalarlo. Si tuviese algun problema... me podeis decir a que foro debería referirme?

Con respecto al BUSCAREG, lo baje y en modo seguro meti:

- Service: Panda Anti-Dialer

- Service:Panda Anti-Dialer

-"Service: Panda Anti-Dialer"

-"Service:Panda Anti-Dialer"

Y con todas opciones el BUSCAREG no encontro nada. Luego busque por Panda-Dialer y me aparecieron tres claves. Debería eliminar las tres? Supongo que si pero no estoy segura. Os adjunto lo que me dio.

Con respecto a lo del ELISTARA, haciendolo como me habeis dicho, en modo seguro, tanto en Ejecutar desde DOS no lo reconoce. Si simplemente lo ejecuto directamente sigo sin llegar al botón de EXPLORAR.

Paso siguiente?

Gracias.

Almava · Mensaje por **Almava** » 19 Feb 2008, 00:16

Lo que os decía que os adjuntaba

Mensaje por **msc hotline sat** » 19 Feb 2008, 05:59

A la pregunta del BUSCAREG dile que sí, claro y a lo del ELISTARA, copialo mejor en la carpeta de sistema, c:\windows\system32\ luego desde una ventana al DOS ve a dicha carpeta y entra DIR ELISTARA.*.* y luego, desde el mismo sitio, escribe todo lo que indica el DIR sobre el ELISTARA, añadiendo /SALTAREG, como ya te deciamos, por ejemplo

~~[b]~~[i]ELISTARA.28022008.EXE /SALTAREG [/i][/b] y pulsa ENTER

pero los numeros deben ser los que te aparezcan en el resultado del DIR ...

y cuando aparezca la ventana de EXPLORAR; hazlo, que es necesario para eliminar por cadenas este ONLINE GAME

saludos

ms, 19-2-2008

NOTA: Y es curioso que no encuentres lo del Anti-Dialer porque en el HJT tienes

O23 - Service: Panda Anti-Dialer (ComFiltr) - Unknown owner - C:\WINDOWS\system32\DRIVERS\COMFiltr.sys (file missing)

Aparte de lo que eliminas, que está bien porque encuentras Panda teniendo McAfee instalado, con el BUSCAREG asegurate de que no llame al ~~[b]~~[i]COMFiltr.sys[/i][/b] que lanza en dicha clave, seleccionando dicho nombre, y si lo encuentras, elimina tambien la clave en cuestion. ms.

Almava · Mensaje por **Almava** » 19 Feb 2008, 12:50

Con respecto al BUSCAREG:

- Ya elimine las tres "claves" que me aparecian cuando escribía "Panda Anti-Dialer"

- Al buscar COMFiltr.sys en BUSCAREG no ha encontrado nada.

Con respecto al ELISTARA:

He hecho lo que me habeis indicado pero no lo encuentra. Os adjunto la pantalla negra de la ventana al DOS. ¿Qué hago para que pueda eliminar las cadenas del ONLINE GAME?

Saludos.

Mensaje por **msc hotline sat** » 19 Feb 2008, 13:02

Mira en el post anterior... :

[quote]a lo del ELISTARA, copialo mejor en la carpeta de sistema, c:\windows\system32\ luego desde una ventana al DOS ve a dicha carpeta y entra DIR ELISTARA.*.* y luego, desde el mismo sitio, escribe todo lo que indica el DIR sobre el ELISTARA, añadiendo /SALTAREG, como ya te deciamos, por ejemplo

~~[b]~~[i]ELISTARA.28022008.EXE /SALTAREG[/i][/b] y pulsa ENTER

pero los numeros deben ser los que te aparezcan en el resultado del DIR ...

y cuando aparezca la ventana de EXPLORAR; hazlo, que es necesario para eliminar por cadenas este ONLINE GAME [/quote]

Desde donde estás entra:

CD\windows\system32 <enter>

y ahi copias el ELISTARA que sea (fijate qué número dice para poderlo ejecutar), y luego lo ejecutas con la opcion indicada ( /SALTAREG)

saludos

ms, 19-2-2008

Almava · Mensaje por **Almava** » 19 Feb 2008, 13:32

creo que ahora he entendido bien lo que tenía que hacer, de todas maneras os adjunto de nuevo la pantalla negra en caso de que siga haciendo algo mal porque sigo sin llegar al botón EXPLORAR (termina despues de eliminar temporales de IE).

¿Que hago para poder eliminar el ONLINE GAME y resolver el problema? ¿Es este el que provoca lo de los troyanos?

Mensaje por **msc hotline sat** » 19 Feb 2008, 13:43

Felicidades ! :wink:

Ahora pruebalo y luego nos copias con un copiar y pegar el contenido de C:\infosat.txt , como respeusta de este Tema

saludos

ms, 19-2-2008

Almava · Mensaje por **Almava** » 19 Feb 2008, 13:54

No entiendo exactamente que quieres que pruebe de nuevo. Lo ultimo que hice fue lo de la pantalla negra de la ventana a DOS que puse en el mensaje anterior.Lo lleve a cabo en modo seguro pero como te comente empieza a ejecutarse y termina despues de la eliminacion de temporales del IE. Nunca llego al botón de EXPLORAR, al que si he entendido bien debería llegar.

Aqui os adjunto lo que me salio en C:\infosat.txt:

Tue Feb 19 13:22:16 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Saludos.

Mensaje por **msc hotline sat** » 19 Feb 2008, 14:01

Pues si ni asi llegas algo raro tiene este equipo, ya que como maximo nos hemos encontrado con problemas de registro que los obviamos con la opcion /SALTAREG , pero si ni asi llegas a EXPLORAR , apaga y vamonos ! :roll: Es el mas duro de los miles con los que nos hemos topado ...

En tal caso arranca en modo seguro con funciones de red y lanza este AV ONLINE, que asi podrá escanear y eliminar dicho virus:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]

y nos comentas el resultado, gracias

saludos

ms, 19-2-2008

Almava · Mensaje por **Almava** » 19 Feb 2008, 17:49

He pasado el virus scan que me habeis dicho y dice que no hay viruses. ¿Qué hago ahora?

NOTA: Me costo cerrar la pagina, al no poder ldesde la "X" lo hice desde el administrador de tareas.

Gracias.

Mensaje por **msc hotline sat** » 20 Feb 2008, 04:57

Pues al haber tenido el ONLINE GAME, vacune el ordenador con el ELIPEN y procese sus pendrives con dicha utilidad, por si se hubieran infectado en su momento

ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp

y dinos si aun persisten las continuas detecciones de McAfee, motivo de este Tema, y si es asi, prueba el nanoscan a ver si en memoria detecta algo (y es muy rapido):

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y nos informa del resultado, gracias

saludos

ms, 20-2-2008

Almava · Mensaje por **Almava** » 20 Feb 2008, 14:38

Hola de nuevo!

Os quería comentar una cosa que a mi me ha pasado con ELISTARA y no se si si a vosotros os diga algo u os sirva para algo. Os acordais de que no había manera de que saliera el botón EXPLORAR de ELISTARA incluso con /SALTAREG?Pues os comento que me dio por volver a probar ELISTARA y lo hice de dos maneras:

1- Cómo lo habíamos intentado varias veces: desde ventana al DOS, desde CD/windows/system32 y luego con ELISTARA.28022008.EXE /SALTAREG. Y al ejecutarse dando a todo que si.....y no salio el botón EXPLORAR.

2- Lo ejecuté también desde una ventana de al DOS. Desde CD/windows/system32 y luego ELISTARA.28022008.EXE. Al ejecutarse he dado a las tres primeras preguntas que NO y luego me salio el botón EXPLORAR finalmente. Algún motivo para que así funciene? Que le pasa a mi ordenador? (Os lo comento por si a alguna persona más le pasa lo mismo que a mi y podeis resolverlo de esta manera.)

Os adjunto el Infosat (la primera parte corresponde al punto 1 y la segunda parte corrsponde al punto 2).

Wed Feb 20 13:40:30 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Feb 20 13:41:26 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Feb 20 13:41:28 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Downloaded Program Files\HBTOOLS.INF --> Eliminado, HotBar(inf)

Nº Total de Directorios: 7432

Nº Total de Ficheros: 161926

Nº de Ficheros Analizados: 24375

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Todavía no he vacunado el ordenador con ELIPEN ni he probado el nanoscan porque no se si tengo que hacerlo despues de lo que me ha dado el ELISTARA o no. Ya me comentais que debo hacer y seguiré haciendolo.

Saludos.

Mensaje por **msc hotline sat** » 20 Feb 2008, 15:15

El ELIPEN es independiente de lo que has hecho, es para vacunar ordenador y pendrives contra la propagacion de virus de pendrive, y te aconsejo que lo ejeutes sobre todos los pendrives que tengas.

Y el nanoscan, si no tienes problemas no hace falta, aunque solo tarda un minuto y pasarlo no hace daño :wink:

Por lo demas, el ELISTARA hizo su trabajo eliminando un troyano que tenías, y el que no llegaras a la ventana de exploracion, puede ser que al aceptar eliminar temporales se encontrara con demasiados. Mejor eliminalos desde el

I.E., -> Herramientas -> Opciones de Internet -> Historial de exploracion /Eliminar archivos temporales y cookies de seguimiento.

Y ya con ello damos por solucionado el tema y procedemos a cerrarlo

saludos

ms, 20-2-2008

nota: y si volviera a dar señales de vida el VAnti.sys indicado al principio, dinoslo y envianos muestra, pues se trata de RootKit que igual no deja verse y oculta claves y procesos... aunque esperamoa que se ha eliminado, pero... ms.

El McAfee no para de "eliminar" virus troyanos!(SO

El McAfee no para de "eliminar" virus troyanos!(SOLUCIONADO)