PC LENTO Y FALLA EL I EXPLORER

[saralopez]

Hola,Soy una novata,novatisima.

He estado leyendo algun tema y me han parecido muy interesante.

No me funciona bien el PC, va muy lento y cuando estoy en internet no paran de abrirse páginas de antivirus diciendo que tengo el pc infectado pero no sirve para nada porque solo explorar.Al mirar los mensajes de otros leí un caso parecido y le mandasteis instalar el ELISTARA,ya lo he hecho y me detectó un archivo infectado.Os envío el log del C INFOSAT.txt.

Por favor ayuda que estoy loca con este ordenador porque cada dos por tres se cuelga o no responde o dice que se ha cometido un fallo.

Gracias de antemano.

[flacoroo]

bajate estos programitas

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

[url=http://www.zonavirus.com/descargas/elinotif.asp][u][b]Descargar Elinotiff [/b][/u][/url]



y ejecutas reiniciando tu compu en modo seguro...si no puedes entrar en modo seguro en modo normal...bajas el siguiente archivo



[url=http://www.zonavirus.com/descargas/elibagla.asp][u][b]Descargar Elibagla [/b][/u][/url]



y el resultado del Infosat.txt debes copiar y pegar el resultado ya que de la forma que lo mandastes se pierde la estructura y no podemos ver nada....

[msc hotline sat]

Pero no postees el resultado como has hecho, sino con un copiar y pegar del contenido del infosat.txt :



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 20-2-2008

[saralopez]

Hola de nuevo.

He hecho lo que me mandastéis descargar los programas y ahora os envío el infosat(esta vez espero mandarlo bien).

Gracias por todo y a ver si soluciono lo de las páginas antivirus,porque sigue pasando que se activan sólos.

Chao Bacalaos.

Ahí va el infosat:

Tue Feb 19 17:43:34 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM\NVS2.INF --> Eliminado

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 19 17:44:52 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\ZONEPROTECTANTISPYWARE.EXE --> Eliminado, P2PAdware.A



Nº Total de Directorios: 1828

Nº Total de Ficheros: 21331

Nº de Ficheros Analizados: 6180

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Feb 19 18:17:03 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Tue Feb 19 18:17:38 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1838

Nº Total de Ficheros: 21412

Nº de Ficheros Analizados: 6180

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Feb 20 10:14:33 2008

EliTriIP v4.40 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 20 10:14:40 2008

EliTriIP v4.40 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1844

Nº Total de Ficheros: 22307

Nº de Ficheros Analizados: 5159

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Feb 20 10:17:58 2008

EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 20 10:18:02 2008

EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1844

Nº Total de Ficheros: 22307

Nº de Ficheros Analizados: 2817

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

ejecuta hijackthis y lo analizaremos, saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[saralopez]

Hola buenos dias a todos.

A continuación os envío el bloc de nota para revisarlo.

Un saludo.

Logfile of HijackThis v1.99.1

Scan saved at 11:55:38, on 21/02/08

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\BIN\SPRTCMD.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\WINDOWS\SYSTEM\WZCCBGBZI.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\ARCHIVOS DE PROGRAMA\CANON\EASY-WEBPRINT\TOOLBAND.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [avast! Web Scanner] C:\ARCHIV~1\ALWILS~1\AVAST4\ASHWEBSV.EXE

O4 - HKLM\..\Run: [ashMaiSv] C:\ARCHIV~1\ALWILS~1\AVAST4\ashmaisv.exe

O4 - HKLM\..\Run: [Spyware-Secure] C:\ARCHIVOS DE PROGRAMA\SPYWARE-SECURE\SPYWARE-SECURE_TRIAL.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [avast!] C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O4 - HKCU\..\Run: [wzccbgbzi] c:\windows\system\wzccbgbzi.exe

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\ARCHIVOS DE PROGRAMA\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\ARCHIVOS DE PROGRAMA\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\ARCHIVOS DE PROGRAMA\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\ARCHIVOS DE PROGRAMA\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://especiales.softonic.com/sinespias/installer.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab

[msc hotline sat]

Y donde vas con esos pelos... ??? quiero decir con windows98 que está ya muerto y enterrado ...



Bueno, lo que vemos aparte del sistema onsoleto es este fichero sospechoso:



C:\WINDOWS\SYSTEM\WZCCBGBZI.EXE



envianoslo para analizar



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras ello informaremos



saludos



ms, 21-2-2008

[msc hotline sat]

Analizada la muestra enviada, resulta ser una variante de NAVIPROMO que pasamos a controlar a partir del ELISTARA de hoy 16.79



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 4-3-2008