NO SE QUE HACER CON ESTO AYUDA

[tutan007]

llevo unos dias que me sale esto me manda pagar por una clave de resgristro, por mas que paso antinspyware no me lo kita solo se kirta con los 2 programas que me manda bajar que son el PC CLEAENER y PC ANTISPYWARE. necesito ayuda no controlo de ordenadores si me podies ayudar os lo agrdeceria.

os dejo la foto que es despues del analisis que me pide el codigo de resgistro estasn abjuntadas abajo.







gracias y espero que me ayuden a solucionarlo

[msc hotline sat]

Puede ser un FAKE ALERT que intente hacerle comprar dichos productos, o que tiene instaladas versiones shareware de los mismos de los que debe adquirir licencia o desinstalarlos.



Por si fuera lo primero, pruebe el ELISTARA:





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y si no se detecta nada, pruebe el SPROCES y nos postea el log resultante que analizaremos:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 27-03-2008

[tutan007]

ola he echo lo que me has dicho mira esto es lo que me salio del Eliestara:

Thu Mar 27 14:59:43 2008

EliStartPage v15.92 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\ARCHIV~1\CRAWLER\TOOLBAR\CTBR.DLL --> Eliminado CrawlerToolbar(BHO/TB)

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Mar 27 15:00:45 2008

EliStartPage v15.92 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 7066

Nº Total de Ficheros: 81811

Nº de Ficheros Analizados: 21520

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Detectada Posible Infección del Spam-MailBot.



Thu Mar 27 15:15:14 2008

EliStartPage v15.92 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Mar 27 15:15:25 2008

EliStartPage v15.92 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 195

Nº Total de Ficheros: 1286

Nº de Ficheros Analizados: 585

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Thu Mar 27 15:19:46 2008

EliStartPage v15.92 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales de



[color=#FF0000]leugo pase el otro y me salio esto:

[color=#000000][/color][/color]





Thu Mar 27 15:23:25 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE

C:\ARCHIVOS DE PROGRAMA\SPYWARE TERMINATOR\SP_RSSER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\RWZKTULM\TSZWXSFO.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\INSTALLSHIELD\UPDATESERVICE\ISUSPM.EXE

C:\WINDOWS\SYSTEM32\DGFKRGDQ.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT STUDENT\MICROSOFT STUDENT CON ENCARTA PREMIUM 2008 DVD\EDICT.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQIMZONE.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\DOCUMENTS AND SETTINGS\JORDAN\ESCRITORIO\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\JORDAN\ESCRITORIO\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\JORDAN\ESCRITORIO\SPROCES.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\DOCUMENTS AND SETTINGS\JORDAN\ESCRITORIO\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\JORDAN\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: GNX Bingo - {04618753-8BCC-4227-AE2A-4981EB17FCEF} - C:\WINDOWS\kdftlboerql.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PC-Antispyware Site Blocker Button - {10F0C2A9-8E38-43e3-204D-45524C494E20} - C:\Archivos de programa\PC-Antispyware\IeExtension.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ISUSPM] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -scheduler

O4 - HKCU\..\Run: [tixcbusu] C:\WINDOWS\system32\dgfkrgdq.exe

O4 - HKCU\..\Run: [L08EXLRD_1527906] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [PC-Antispyware] "C:\Archivos de programa\PC-Antispyware\PC-Antispyware.exe" hide

O4 - Startup: .protected

O4 - Startup: desktop.ini

O4 - Global Startup: .protected

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203714796136

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

HKLM\..\Policies\Explorer\Run: [AqrOd8Jg97] C:\Documents and Settings\All Users\Datos de programa\rwzktulm\tszwxsfo.exe

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: gdrv - Windows (R) 2000 DDK provider - C:\WINDOWS\gdrv.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de funciones de Microsoft UAA para el servicio High Definition Audio (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: VSO Software pcouffin (Pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\Pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys



esto es lo que me sale, miralo haber si se me ha kitao la historia esta gracias por la ayuda

[msc hotline sat]

Pues hay bastante tela que cortar...



Envianos estos ficheros para analizar:



C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\RWZKTULM\TSZWXSFO.EXE



C:\WINDOWS\SYSTEM32\DGFKRGDQ.EXE



C:\WINDOWS\kdftlboerql.dll



C:\Archivos de programa\PC-Antispyware\IeExtension.dll



C:\Archivos de programa\PC-Antispyware\PC-Antispyware.exe



C:\Archivos de programa\SpyBro\SpyBro.exe



y tras analizarlos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 27-03-2008

[tutan007]

UNA COSA NO ME DEJA MANDARTELOS ME DICE QUE SON DE MUCHA EXTENSION, COMO HAGO

[tutan007]

La mayoria de los archivos que me mandas pasarte no los tengo,

[msc hotline sat]

Lo del tamaño, se te pide que los empaquetes en un ZIP o RAR con passord VIRUS...



Y lo de que no los tienes ... pueden estar ocultos o con atributo de sistema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 27-03-2008

[tutan007]

ya te he mandado el email los 2 ultimos archivos no los he encotrado, espeor que encuentres la solucion y muchas gracias por toda la ayuda de verdad espero tu respuesta.



saludos

[msc hotline sat]

Pues aun no han llegado, y hoy ya no habrá tiempo de monitorizarlos. Seguiremos mañana si Dios quiere.



Posiblemente será en el ELISTARA 15.94, cuando lo pruebes, nos posteas el resultado contenido en el infosat.txt correspondiente.



saludos



ms, 27-03-2008

[tutan007]

EL ELIESTARA ya lo he pasado te lo he puesto arriba lo que me ha salido, vale no me corre prisa con que me puedas ayudar me vale gracias



saludos

[lucl]

Todos los dias se actualiza el elistara por lo que descargatelo de nuevo y pasalo otra vez, peganos el log como el anterior, saludos

[msc hotline sat]

Sí, provaste la version 15.92 y la actual es la 15.93, pero al no haberse recibido tus muestras ayer tarde, cuando se cerró la entrada de muestras, no sabemos si estarán controladas con dicha version.



Hoy en un par de horas, cuando entremos a trabajar en SATINFO, veremos si se han recibido y proceder en consecuencia



Tal como deciamos, trataremos que con la version de hoy, 15.94, estén controlados



saludos



ms, 28-03-2008

[msc hotline sat]

RECIBIDAS LAS MUESTRAS.



En un primer analisis se detecta que todas son malwares, renombralas a extension .VIR para que no entren en proceso a partir del proximo reinicio



Entran en cola de monitorizacion, a ver si hoy se pueden implementar en las nuevas versiones de nuestras utilidades, pero al ser viernes hacemos solo media jornada ... procuraremos darle entrada, pero de momento renombra la extension para poder trabajar sin virus residente.



saludos



ms, 28-03-2008



NOTA: Si no decimos lo contrario, mira lo que indiquemos en las nuevas versiones que subiremos hoy, y si las pruebas, informanos del resultado. ms.

[tutan007]

NO he entendido como debo cambiar el nombre; lo que habies encontrado es malo?¿ le paso el nuevo eliestara y os pongo el resultado gracias



saludos

[tutan007]

he pasado la nueva version de eliestara y me ha salido esto



Nº Total de Directorios: 7066

Nº Total de Ficheros: 81980

Nº de Ficheros Analizados: 21522

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:23:57 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 28 16:24:00 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7065

Nº Total de Ficheros: 81957

Nº de Ficheros Analizados: 21523

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[tutan007]

he probado ya el eliestara el ultimo el 15.94 y esto es lo que me ha salido haber que te parece

un saludo

Nº Total de Directorios: 7066

Nº Total de Ficheros: 81980

Nº de Ficheros Analizados: 21522

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:23:57 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 28 16:24:00 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7065

Nº Total de Ficheros: 81957

Nº de Ficheros Analizados: 21523

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:35:51 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\KDFTLBOERQL.DLL --> Eliminado AdWare.Agent.BN(BHO)

C:\ARCHIVOS DE PROGRAMA\PC-ANTISPYWARE\IEEXTENSION.DLL --> Eliminado PCAntiSpyware(BHO)

Eliminada Class, "{04618753-8BCC-4227-AE2A-4981EB17FCEF}" -> C:\WINDOWS\kdftlboerql.dll

Eliminada Class, "{10F0C2A9-8E38-43e3-204D-45524C494E20}" -> C:\Archivos de programa\PC-Antispyware\IeExtension.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 28 16:36:14 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\rwzktulm\TSZWXSFO.EXE --> Acceso Denegado, Spy-Agent.FK (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\DGFKRGDQ.EXE --> Acceso Denegado, Obfuscated.SZ (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 7061

Nº Total de Ficheros: 81937

Nº de Ficheros Analizados: 21517

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0

[lucl]

Para cambiarles el nombre con el boton derecho del raton picando en el archivo en cuestion te sale la opcion cambiar nombre le quitas el .exe y le pones .VIR, y vuelve a pasar elistara arrancando en modo seguro, saludos. Mira este link que te dejo.



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[msc hotline sat]

Efectivamente, hemos podido implementar el control por cadenas de este nuevo engendro en el ELISTARA 15.94:



ELISTARA



---v15.94-(28 de Marzo del 2008) (Muestras de (2)DownLoader.ConHook "*****.DLL", Puper-Sb "SBMDL.DLL", (14)PWS-OnLineGames.AMVO, (4)PWS-OnLineGames.KAVO, (3)PWS-OnLineGames.TAVO, Malware.Zambrano, PCAntiSpyware(BHO) "IEEXTENSION.DLL", AdWare.Agent.BN "KDFTLBOERQL.DLL", Spy-Agent.FK "TSZWXSFO.EXE" y Obfuscated.SZ "DGFKRGDQ.EXE")





Arranca en modo segur0 para que no esté en uso y pruebalo, tras ello nos posteas de nuevo el infosat, gracias



Si se resistiera como el VUNDO9, procederiamos como con aquel, pero ya veremos...



saludos



ms, 28-03-2008

[tutan007]

muchas gracias eh echo lo que me as dicho y me va deperlas no me ha vuelto a salir eso, mucahs gracias que me aconsejas para que no me vuelva a salir.

y otra cosa yo tengo el avast de antivirus y el spyware terminator qe tal protegen esos estaria bien o seria mejor otros?¿¡





graciaspor todo saludos

[msc hotline sat]

Como antivirus el AVAST es uno de tantos, actualizado y residente no está mal, aunque tiene falsos positivos por ejemplo con el ELISTARA, pero como antispyware te recomediaría mas el EWIDO o AVG 7.5 (es lo mismo):



http://www.ewido.net/en/download/





Si quieres ver la opinion de nuestros foreros al respecto:



https://foros.zonavirus.com/viewtopic.php?f=12&t=5051





saludos



ms, 31-03-2008