reinicios (SOLUCIONADO)

[empiezator]

Hola. Mi problema es cuando me instale un supuesto driver para visualizar video en el pc, a partir de ahi empezo a reiniciarse solo y me sale una web ofreciendome conectar con un supuesto programa antivirus, le di al nod32 para analizar y limpiar, al llegar al supuesto archivo infectado se reinicia por lo que no puedo llevar a cabo la desinfeccion. Consegui copiar la ruta del supuesto archivo infectado en la que os detallo:



C:\Documents and Settings\e\Configuración local\Archivos temporales de Internet\Content.IE5\0Z15JODF\installadcleaner_es[1].cab »CAB »UADCES_0001_D10M1801.exe - Win32/Adware.AdvancedCleaner aplicación

C:\Documents and Settings\e\Configuración local\Archivos temporales de Internet\Content.IE5\IUPV0MT9\installadcleaner_es[1].cab »CAB »UADCES_0001_D10M1801.exe - Win32/Adware.AdvancedCleaner aplicación



Esperando alguna solucion, quedo a la espera de vuestra respuesta.



Un saludo.

[msc hotline sat]

Pues prueba el ELISTARA, y si lo conoce lo eliminará, y sino, envianos muestra, como quizas pedirá en el c:\infosat.txt



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 25-03-2008

[empiezator]

Buenas. Tras probar el Elistara y una serie de preguntas, al llegar a la pregunta de si quiero borrar el contenido del archivo HOST, el pc se me reinicia, tras lo cual se me vuelve a preguntar lo mismo, volviendose a reiniciar.

Hice la prueba de borrar el contenido de archivos temporales de internet del IE, volviendose a reiniciar.

He aqui el archivo infosat.txt:





Tue Mar 25 20:54:37 2008

EliStartPage v15.91 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\MTU.CMD --> Eliminado

C:\WINDOWS\5565.REG --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SBMNTR.EXE.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SBMNTR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\SBSM.EXE.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SBSM.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\SBMDL.DLL.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SBMDL.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WAMDL.DLL.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\WAMDL.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SCIT.EXE.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SCIT.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\SCM.EXE.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SCM.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\SBMDL.DLL.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SBMDL.DLL --> Acceso Denegado.

Eliminada Class, "{6860A44B-5D3E-433D-A7B5-D517F810D0E7}" -> C:\Archivos de programa\NetProject\sbmdl.dll

Eliminada Class, "{DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40}" -> C:\Archivos de programa\NetProject\wamdl.dll



Tue Mar 25 20:58:41 2008

EliStartPage v15.91 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\NetProject\SBMNTR.EXE.VIR --> Eliminado.

C:\Archivos de programa\NetProject\SBSM.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\SBMDL.DLL.Muestra EliStartPage v15.91

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NETPROJECT\SBMDL.DLL --> Eliminado

C:\Archivos de programa\NetProject\SCIT.EXE.VIR --> Eliminado.

C:\Archivos de programa\NetProject\SCM.EXE.VIR --> Eliminado.

Eliminada Class, "{6860A44B-5D3E-433D-A7B5-D517F810D0E7}" -> C:\Archivos de programa\NetProject\sbmdl.dll



Tue Mar 25 21:00:18 2008

EliStartPage v15.91 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{6860A44B-5D3E-433D-A7B5-D517F810D0E7}" -> C:\Archivos de programa\NetProject\sbmdl.dll

Eliminada Carpeta "%Archivos de Programa%\NetProject"

Eliminadas las Paginas de Inicio y de Busqueda del IE



Gracias por su atencion.

Un saludo.

[msc hotline sat]

Pues vea que se le pide enviar muestras para analizar de:







Por favor, envienos una muestra del fichero

C:\Muestras\SBMNTR.EXE.Muestra EliStartPage v15.91



Por favor, envienos una muestra del fichero

C:\Muestras\SBSM.EXE.Muestra EliStartPage v15.91



Por favor, envienos una muestra del fichero

C:\Muestras\SBMDL.DLL.Muestra EliStartPage v15.91



Por favor, envienos una muestra del fichero

C:\Muestras\WAMDL.DLL.Muestra EliStartPage v15.91



Por favor, envienos una muestra del fichero

C:\Muestras\SCIT.EXE.Muestra EliStartPage v15.91



Por favor, envienos una muestra del fichero

C:\Muestras\SCM.EXE.Muestra EliStartPage v15.91





A pesar de que los ficheros ha sido eliminados de su ruta habitual y estan en cuarentena en c:\muestras\ , es necesario que nos envien dichos ficheros para poder pasar a controlarlos con las nueva version de nuestras utilidades, de lo cual informaremos cuando se hayan analizado.



Para ello:

[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 25-03-2008

[msc hotline sat]

Recibidas las muestras en cuestion, en un primer analisis venmos que se trata de nuevas variantes de PUPER, que pasaremos a controlar con la version de hoy 15.93 del ELISTARA.



___



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 27-03-2008

[empiezator]

Gracias por su atencion, ¿Y esta nueva version del Elistara, me solucionara los intentos mios de limpiar los archivos temporales de internet, de lo cual, se me reinicia, aparte de los eventuales reinicios?

Cuando le doy al nod32 para un scanner profundo, al llegar a unos archivos determinados (ubicados en archivos temporales de internet), se me reinicia, impidiendo por ello el analisis completo y posible limpieza.



Un saludo.

[msc hotline sat]

Cuando pasas el ELISTARA acepta en la pregunta de si quieres eliminar los temporales de internet y asi lo hará



Espero que esta noche quedes libre de polvo y paja.



Cuando postees el infosat,txt resultante, lo veremos



saludos



ms, 27-03-2008

[empiezator]

Eso es lo que hice, pero enseguida se reinicio, como si quisiera evitar su eliminacion. En fin, veremos esta noche.

Un saludo.

[msc hotline sat]

En todo caso, arranca en modo segur0 cuando vayas a pasar el nuevo ELISTARA, o eso lo puedes probar igualmente en el actual, a ver si sigue o reinicia, pues si en modo seguro el virus no está en memoria, igual se comporta de otra manera.



Pruebalo y dinos el resultado, gracias



saludos



ms, 27-03-2008

[empiezator]

He probado el Elistara 15.93 en modo seguro, consiguiendo eliminar los archivos temporales de internet, pero al seguir analizando, se le deniega el acceso a unas carpetas en 4 ocasiones tras lo cual se reinicia.

Adjunto el infosat.txt:



Fri Mar 28 16:41:23 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 28 16:41:40 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Parece que no ha llegado a completarse, pero bueno, ya me diras.



Un saludo.

[lucl]

Dinos de que carpetas se trata a las que se les denego el acceso, saludos

[msc hotline sat]

Pueden ser carpetas reservadas del sistema, pero eso que no termine...



Lanza una comprobacion de errores:



MIPC -> Boton derecho sobre unidad C -> Propiedades -> Herramientas -> Conmprobar errores



y nos comentas el resultado



saludos



ms, 28-02-2008

[empiezator]

ya hice lo de comprobar errores, pero no encuentro el resultado.



un saludo

[msc hotline sat]

La denegacion de acceso a determinadas carpetas es normal, aceptalo y si luego reinicia como dices, si con una comprobacion de errores no encuentra nada, prueba un CHKDSK /F desde una ventana al DOS, y si ni asi, mira la temoeratura de la CPU, que igual se reinicia por exceso de calor...



https://foros.zonavirus.com/viewtopic.php?f=5&t=11159



Indicanos si sobrepasa de 50 ºC , gracias



saludos



ms, 29-03-2008

[empiezator]

Hola. Ya le pase un CHKDSK /F y no salio nada, comprobe la temperatura del ahtlon XP y esta entre los 50-55º. Siempre me reinicia cuando le paso el ELISTARA, NOD3 y el REGSEEKER. Otro dato que me llama la atencion es que no consigo eliminar el programa Quiktime y una carpeta vacia "HELPER" ubicada en archivos de programa, no se si estos datos son de interes para su informacion.

Un saludo.

[msc hotline sat]

Pruebalo arrancando en modo segur0



Y nos informas del resultado, gracias



saludos



ms, 31-03-2008




[quote]NOTA: Y si normalmente estas a 50-55 ºC es muy lógico que sobrepases el tope cuando escaneas, ya que se utilizan todos los recursos de la CPU , y se eleva aun mas la temperatura.



Limpia el ventilador, o cambialo si es antiguo, es lo mas barato del ordenador y comprueba la existencia de silicona termica entre la pastilla de la CPU y el radiador... Es muy importante para transmitir el calor uniformemente. ms.[/quote]

Y donde estas empieza la primavera, por lo que cuando llegue el verano, si no lo arreglas, si ahora ya estás al límite, entonces no podrías usarlo !

[empiezator]

OK, pero que es lo que tengo que probar arrancando en M0D0 SEGUR0?, elCHKDSK /F?.

Mirare el ventilador, a ver...



Un saludo.

[msc hotline sat]

Eso es, mira la refrigeracion...



Y lo del modo seguro era con referencia a lo que indicabas justo antes:



[b][i]Otro dato que me llama la atencion es que no consigo eliminar el programa Quiktime y una carpeta vacia "HELPER" ubicada en archivos de programa[/i][/b]



Pues en modo segur0, mira si las puedes eliminar.



saludos



ms, 31-03-2008

[empiezator]

Hola. Despues de limpiar el ventilador y el disipador, la temperatura bajo unos 7º, pero me sigue reiniciando y siempre que escaneo tanto con el nod32, como el ELISTARA. Cuando le paso el ELISTARA, me salen las siguientes 4 ventanas denegando acceso a las carpetas y enseguida reinicia.

Las carpetas son:



C:\archivos de programa\Helper



C:\archivos de programa\Quick Time\PropertyPanels\PanelHelperBase.Resources



C:\archivos de programa\Quick Time\PropertyPanels\PropPanelHelpers.Resources



C:\archivos de programa\Quick Time\QTSystem\QuickTimeWebHelper.Resources



No se si estas carpetas son decisivas, pero las muestro por si tiene algun interes.

Esperando alguna solucion, un saludo.

[msc hotline sat]

No tienen porque ser maliciosas, pero podrían ser incompatibles con otra aplicacion residente.



Por si acaso, desinstala este Quick Timer, y tras reiniciar mira si persiste el problema



Aparte, mira estos puntos, y aunque dices haber bajado 7º C, dinos a cuanto está ahora, gracias



https://foros.zonavirus.com/viewtopic.php?f=5&t=11159



saludos



ms, 5-4-2008

[empiezator]

Buenas. Se me ocurrio darle a windowsupdate, y resulta que tenia un monton de parches de seguridad por instalar. Despues de instalar dichos parches, nod32 me detecta y elimina dos troyanos. A partir de ahi ya no se reinicia y se pudo actualizar mozilla firefox. Eso fue a causa de vuestra sugerencia de revisar las posibles causas de reinicio. Supongo que ya no hay ningun punto por revisar, no obstante, si falta de algun paso por hacer, ruego me lo indiquen. Y gracias por todo.

Un saludo.

[msc hotline sat]

Solo que revises la temperatura y nos digas a cuanto está la CPU, pero no relativamente sino en términos absolutos, pero en ºC, claro :wink: , gracias



Y con ello espero que ya podamos dar por solucionado el Tema.



saludos



ms, 9-04-2008

[empiezator]

Ahora mismo pego la informacion de la temperatura del procesador y un aviso del antivirus, ya resuelto.

Un saludo.

[msc hotline sat]

45 º C para la CPU está bien, pero es elevado... Vigila no sobrepase los 50 que empezaría a ser sintoma de sobrecalentamiento. Claro, depende de la temperatura ambiente... voy a ver la tuya:



pues no debería estar tan alto. Su temperatura ambiental actual no sobrepasa los 16 ºC y estos dias no se sobrepasan los 23 de maxima:



16 °C

Despejado

Viento: O a 2 km/h

Humedad: 69%



jue [img]http://www.google.es/images/weather/chance_of_rain.gif[/img]



23 °C | 12 °C



vie [img]http://www.google.es/images/weather/mostly_sunny.gif[/img]



20 °C | 9 °C



sáb [img]http://www.google.es/images/weather/mostly_sunny.gif[/img]





20 °C | 10 °C



dom [img]http://www.google.es/images/weather/sunny.gif[/img]





Si con 20 º tienes la CPU a 45ºC, me temo que cuando llegue el verano tendrás problemas... Revise que haya silicona termica entre la pastilla de la CPU y el radiador y que al ventilador no le falte ninguna aspa y que el extractor posterior de la fuente expulse aire sin impedimentos...





y envienos los ficheros que menciona el NOD32:



C:\windows\system32\tdidrv32.sys



c:\windows\system32\MRT.exe



Para ello desactive su antivirus, empaquete con password VIRUS dichos ficheros y luego anexelo a un mail dirigido a zonavirus@satinfo.es indicando como asunto su nick en el foro: "empiezator" :





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 10-04-2008

[empiezator]

Pues no consigo encontrar el fichero requerido, nod32 dice que C:\windows\system32\tdidrv32.sys ha sido renombrado a C:\windows\system32\tdidrv32.Vsys, pues lo he rebuscado y nada. Es posible que lo haya eliminado?.

El otro fichero requerido se le envia.

Un saludo

[msc hotline sat]

Mira que no tengan atributos de oculto o de sistema y que por ello no los veas:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





Y arranca en modo seguro para buscarlos, no sea que haya algun Rootkit que los oculte



saludos



ms, 15-04-2008

[empiezator]

Pues nada, he hecho lo que me has indicado y no hay forma de encontrarlo. ¿Alguna otra opcion?

Un saludo.

[msc hotline sat]

Supongo que ya lo buscas por su nuevo nombre ...



"[b][i]ha sido renombrado a C:\windows\system32\tdidrv32.Vsys[/i][/b]"



Tal como te he dicho hazlo conn un Inicio Buscar en todos los ficheros y carpetas buscando tdidrv32.* y si no lo encuentras, dejalo estar, igual lo ha borrado, aunque no lo indicara...



Pero si te vuelve a aparecer, cuidado que no es nada bueno:



"[b][i]...tdidrv32.sys HKEY LOCAL MACHINESYSTEMCurrentControlSetServices tdidrv32.sys We have provided removal instructions for anybody unfortunate to have been infected by this trojan Removal instructions for Trojan.Zlob[/i][/b]"



Si se da el caso, envienoslo y lo analizaremos para conbtrolarlo en nuestras proximas versiones de utilidades.



saludos



ms, 15-04-2008

[msc hotline sat]

Hemos recibido para analizar el MRT.EXE, en un ZIP de 19 MB que por lo visto es el antimalwares de microsoft, eliminalo si no lo usas.

[empiezator]

Ok, dicho archivo(MRT) ha sido eliminado. El archivo tdidrv32.*, no lo he podido encontrar, es posible que haya sido eliminado aunque nod32 solo especifique que ha sido renombrado a tdidrv32.Vsys. Sin embargo, se me ocurrio buscar en el registro saliendo unos valores mencionando al archivo didrv32.*. No se si son maliciosos, les pongo una captura para que vean:



Un saludo.