PC extremadamente lento

[adrienlor]

Bueno el ordenador de mi padre va muy pero que muy lento, pero antes de poner el resultado de el kaspersky de mi padre pongo el mio, despues de haber pasado el Elistara que me dijiste, me ha encontrado cosas, mira:



MI ANÁLISIS:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

martes, 01 de abril de 2008 15:14:45

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 1/04/2008

Registros en la base antivirus: 675664

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

H:\



Estadísticas:

Número de objeros analizados: 86681

Virus encontrados: 2

Objetos infectados: 3 / 0

Objetos sospechosos: 0

Duración del análisis: 01:46:34



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080401-120201.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg7\Log\emc.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\SupportSoft\telefonica\SYSTEM\state\logs\sprtcmd.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LORENA\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LORENA\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe 7-Zip: infectado - 1 saltado

C:\Documents and Settings\LORENA\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LORENA\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{CE406864-FBD2-4183-BEDE-779DB20D997B}\RP1\A0000025.dll Infectados: not-a-virus:AdWare.Win32.Virtumonde.gen saltado

C:\System Volume Information\_restore{CE406864-FBD2-4183-BEDE-779DB20D997B}\RP1\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.





EL DE MI PADRE:





-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 31 de marzo de 2008 22:34:27

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 31/03/2008

Registros en la base antivirus: 674426

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\



Estadísticas:

Número de objeros analizados: 72211

Virus encontrados: 4

Objetos infectados: 9 / 0

Objetos sospechosos: 0

Duración del análisis: 04:40:04



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\c64f01480360d7046cc9bc6a5866f818PSK_NAMES Object is locked saltado

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\c64f01480360d7046cc9bc6a5866f818PSK_NAMES2 Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\sentinel\2.1\gwhashs.dat Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Historial\History.IE5\MSHist012008033120080401\index.dat Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Temp\Acr4.tmp Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Temp\~DF52B2.tmp Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Temp\~DFC915.tmp Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Temp\~DFD354.tmp Object is locked saltado

C:\Documents and Settings\GARCÍA\Configuración local\Temp\~WRS2916.tmp Object is locked saltado

C:\Documents and Settings\GARCÍA\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\GARCÍA\Datos de programa\Microsoft\Plantillas\Normal.dot Object is locked saltado

C:\Documents and Settings\GARCÍA\Datos de programa\Microsoft\Word\Guardado con Autorrecuperación de supuestos practicos Bomberos.asd Object is locked saltado

C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\12\4ef9724c-1104d548/Installer.class Infectados: Trojan-Downloader.Java.Agent.a saltado

C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\12\4ef9724c-1104d548 ZIP: infectado - 1 saltado

C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-61f46e2d/TakePrivileges.class Infectados: Trojan-Downloader.Java.OpenConnection.ak saltado

C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-61f46e2d/Installer.class Infectados: Trojan-Downloader.Java.OpenConnection.ak saltado

C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-61f46e2d ZIP: infectado - 2 saltado

C:\Documents and Settings\GARCÍA\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\GARCÍA\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\vdownloader\VDownloader.exe Infectados: not-a-virus:Downloader.Win32.VDown.a saltado

C:\Documents and Settings\vdownloader.zip/VDownloader.exe Infectados: not-a-virus:Downloader.Win32.VDown.a saltado

C:\Documents and Settings\vdownloader.zip ZIP: infectado - 1 saltado

C:\ERGAMA\BOMBEROS SINDICATO AYTO\supuestos practicos Bomberos.doc Object is locked saltado

C:\ERGAMA\BOMBEROS SINDICATO AYTO\~WRL2580.tmp Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{CA414011-996B-4D5A-885A-85C247AED8FB}\RP458\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked saltado

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked saltado

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{1EF07EA7-CDA0-40F4-9AD4-F0EB17FFD957}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Object is locked saltado

C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\zinsnqav.exe Infectados: Trojan-Downloader.Win32.Small.dam saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.





Si quieres pongo el log de hijackthis de los 2, saludos!

[lucl]

Pasate el elitriip y peganos el log que tendras en C infosat.txt pero añade tambien el del elistara



http://www.zonavirus.com/descargas/elitriip.asp





y en cuanto al log del online de tu padre ponlo en otro post diferente para no mezclar los pc y pon claro en el titulo que es el de tu padre, a no ser que msc te indique lo contrario, saludos

[msc hotline sat]

Del tuyo aun queda un malware que no está controlado. Por ello envianos muestra de:





C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe







y lo malo es que tenías un VUNDO que cuando lo eliminaste no desactivaste la restauracion de sistema , y ahora lo tienes en el RESTORE:



C:\System Volume Information\_restore{CE406864-FBD2-4183-BEDE-779DB20D997B}\RP1\A0000025.dll





Mira a ver si puedes enviarnoslo para controlarlo, (arrancando en modo seguro y desactivando la restauracion de sistema) y si no, recuerda no utilizar la restauracion a un punto anterior, pues podrías regenerar dicho VUNDO.





Y del de tu padre, envianos estos ficheros para analizar:



C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\12\4ef9724c-1104d548/Installer.class



C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe/Toolbar.exe



C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-61f46e2d/TakePrivileges.class



C:\Documents and Settings\GARCÍA\Datos de programa\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-61f46e2d/Installer.class



C:\Documents and Settings\vdownloader\VDownloader.exe



C:\WINDOWS\system32\zinsnqav.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





NOTA: entiendo que al de tu padre tambien le has pasado el ELISTARA, y sino, hazlo antes de enviarnos las muestras, no sea que alguna ya se controle.



saludos



ms, 1-04-2008

[adrienlor]

Pensé que lo tenía desactivado valla fallo he tenido!ese archivo C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe pesa 200mb me dejará mandarlo gmail?lo voy a intentar. Y este me niega el acceso C:\System Volume Information\_restore{CE406864-FBD2-4183-BEDE-779DB20D997B}\RP1\A0000025.dll



El de mi Padre le pasé el Elistara y no encontró nada y para enviar los ficheros que me pides mañana intentaré ir a su casa para hacerlo. saludos!

[adrienlor]

Ah!este que pones que te envie de mi padre, debe ser de mi ordenador porque pone LORENA , C:\Documents and Settings\LORENA\Escritorio\adri\Nero-8.1.1.4_esp_trial.exe/Toolbar.exe

[adrienlor]

Porcierto he ejecutado el Elitriip 4.56 en mi ordenador y me pregunta si deseo bloquear el intento de intrusion por el TCP445, que le digo?Ah!y en modo normal o modo seguro?lo estoy haciendo en normal.

[lucl]

Hazlo en normal, y a la pregunta del puerto 445 dile que si, te lo bloqueara para esta sesion, en cuanto enciendas de nuevo el pc estara otra vez desbloqueado, y si parece el log tuyo mas que el de tu padre, saludos

[adrienlor]

ya le he pasado a mi ordenador el elitriip.



Tue Apr 01 18:50:08 2008

EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v4.56

a "virus@satinfo.es". Gracias.

C:\SETUP.EXE --> Eliminado



Tue Apr 01 18:51:27 2008

EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\LORENA\Escritorio\adri\avg7_488a1138_av.exe --> Eliminado, Bifrose(dropper)

C:\Documents and Settings\LORENA\Mis documentos\Mis imágenes\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)

C:\download\driver\12738\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 7844

Nº Total de Ficheros: 86481

Nº de Ficheros Analizados: 26154

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Pues enviamos este fichero para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v4.56



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 1-04-2008

[adrienlor]

el setup.exe ya lo he mandado pero el de nero no me deja se queda colgado..voy a intentar con yahoo y hotmail,saludos

[adrienlor]

PC de mi padre:

Le he pasado también el Elitriip y no ha encontrado nada. En cuanto pueda mando los ficheros, saludos.



Tue Apr 01 20:21:04 2008

EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Apr 01 20:21:18 2008

EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4370

Nº Total de Ficheros: 46678

Nº de Ficheros Analizados: 16004

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Nos estamos liando con dos ordenadores simultaneos en un mismo Tema...



Primero acaba uno y luego seguiremos con el otro, elige el que quieras y centrate en él, gracias.



Cuando recibamos las muestras pedidas , las analizaremos e implementaremos su control y eliminacion, si procede en nuestras utilidades, de lo cual informaremos



saludos



ms, 2-04-2008

[adrienlor]

ok, nos centramos primero en el mio y luego en el de mi padre,abro otro tema?o sigo aqui con mi pc y cuando ya este solucionado sigo con el de mi padre en este mismo tema?

[msc hotline sat]

Mejor cerrar este y abrir otro, para no liarnos con los contenidos de uno y otro



De momento hemos recibido un setup.exe, DE NO SE CUAL :| que se pedía en el infosat, y que resulta ser la instalacion de un mouse. Si le interesa tenerlo, cree una carpeta para ello y metalo dentro, pues directamente un SETUP en la carpeta principal es propio de virus.



saludos



ms, 2-04-2008

[adrienlor]

Es setup era mío. ok pues en este tema tratamos lo de mi padre ya que el titulo va en relación a su ordenador, en breve mandaré los archivos que me solicitaste. Cuando mande lo archivos de mi padre lo confirmaré aqui. saludos!

[msc hotline sat]

Espera a terminar uno para empezar otro, iremos mas rapidos.



saludos



ms, 2-04-2008

[adrienlor]

Hola! losiento por haber tardado pero es que no he podido ir antes a la casa de mi padre. Ya he enviado los archivos que me pediste pero este C:\WINDOWS\system32\zinsnqav.exe no me deja enviarlo por que me dice que es un virus (lo he compimido en rar y tampoco) Que hago?Le vuelvo ha pasar el Elistar y Elitriip la otra vez no me salió nada, ya me diréis, un saludo!

[adrienlor]

le he pasado el elistara y el elitriip (las ultimas actualizaciones), ha encontrado 2 pero el ordenador sigue muy lento incluso más, para que os hagáis una idea, abres cualquier pantalla (mi pc o IE) y tarda hasta 3 minutos en abrirse...





Sun Apr 06 16:08:30 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sun Apr 06 16:09:46 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Java\jre1.6.0_01\bin\JLI.DLL --> Eliminado, SpyBurner

C:\WINDOWS\$NtServicePackUninstall$\RUNDLL32.EXE --> Eliminado, Spy.Pophot.AMV



Nº Total de Directorios: 4370

Nº Total de Ficheros: 46747

Nº de Ficheros Analizados: 16823

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Sun Apr 06 16:33:31 2008

EliTriIP v4.57 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Apr 06 16:33:34 2008

EliTriIP v4.57 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4370

Nº Total de Ficheros: 46745

Nº de Ficheros Analizados: 16000

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0











Logfile of HijackThis v1.99.1

Scan saved at 17:10:50, on 06/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\AVENGINE.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\SCANJET\PrecisionScanLT\hppwrsav.exe

C:\WINDOWS\mHotkey.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\WebProxy.exe

C:\WINDOWS\system32\Notepad.exe

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ASGP32.ASGP - {6944D481-DD3D-4252-8992-EBAC37788EB3} - C:\WINDOWS\System32\asgp32.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: ZDWLan Utility.lnk = C:\Archivos de programa\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://adrifire1984.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B38B277B-C84C-44EB-A58F-4F405E6DC613}: NameServer = 62.42.230.24,62.42.63.52

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe

[msc hotline sat]

Mita de enviarnos este fichero para analizar:



C:\WINDOWS\System32\asgp32.dll



Ten presente que debe estar oculto y con atributos de sistema...





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludois



ms, 6-04-2008





NOTA al respecto : http://www.castlecops.com/tk30719-ASGP32_ASGP.html

[adrienlor]

oye perdona es que no te he entendido lo de "Ten presente que debe estar oculto y con atributos de sistema..."

Comprimirlo en rar y en modo seguro?perdona mi ignorancia :oops:

[msc hotline sat]

Sí, lo mas seguro es que esté oculto, con atributos de sistema (S), de octulto (H) ... por ello no los verás facilmente, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 7-04-2008

[adrienlor]

Ok gracias en un ratico llamaré a mi padre y le daré las instrucciones, y te lo mando. Oye por no abrir otro tema tengo una dudilla (si quieres abro el tema, lo que me digas) es para que me recomiendes un antivirus, antispyware y cortafuegos, mi padre tiene el Panda y el avg antispyware, y claro trabaja mucho con el ordenador pero se le ralentiza y cada dos por tres le entran cosas y yo en mi ordenador tengo el AVG el antivirus y el antispyware, dejamos estos?o nos recomiendas otros?ya se que no hay uno perfecto y mágico pero , cuales son los mejores en cuanto a velocidad-efectividad?

[msc hotline sat]

Lo que no debes tener son dos antivirus, si tienes:



"[b][i]tengo el AVG el antivirus y el antispyware"[/i][/b]



desinstala el Panda!!!



y para ver la opinion de nuestros foreros al respecto, mira en:



https://foros.zonavirus.com/viewtopic.php?f=12&t=5051



saludos



ms, 7-4-2008

[adrienlor]

No yo no tengo el panda (el panda lo tiene mi padre) yo solo el AVG antivirus y antispyware.



Volviendo al tema, no encuentro por ningun lado el asgp32.dll, he hecho todo lo de mostrar archivos protegidos del sistema... y nada pero en el log del hijackthis sigue saliendo la entrada O2 - BHO: ASGP32.ASGP - {6944D481-DD3D-4252-8992-EBAC37788EB3} - C:\WINDOWS\System32\asgp32.dll (file missing) supongo que el que ponga missing tendrá algo que ver, no?

Otra cosa el archivo que intenté mandaros (el que no me dejaba enviar porque era un virus)C:\WINDOWS\system32\zinsnqav.exe lo hice como me dijiste lo unico que no hice fue que al comprimirlo no le puse la contraseña VIRUS, podría ser por eso?es que mi padre apenas puede trabajar de lo lento que le va, el dice que ya se ha acostumbrado pero...yo me pongo nervioso de como va ejjeejejejej

[msc hotline sat]

Sí, es verdad, es que voilvemos a mezclar problemas de dos ordenadores, y , POR FAVOR, centrate en uno de los dos, olvida que exista el otro cuando estes en el Tema de uno de los dos, sino perdemos el tiempo !!!



Efectivamente, la muestra debes enviarla empaquetada y con password VIRUS, pues sino pueden interceptarla los antivirus de Internet:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 7-04-2008

[adrienlor]

Vale, ese lo mando con el pasword a ver si me deja pero el agsp32.dll no está, elimino la entrada con el hijackthis?

[msc hotline sat]

sI ESTÁ COMPLETAMENTE SEGURO DE QUE NO ESTÁ... Sí.



saludos



ms, 7-04-2008

[adrienlor]

Ya he conseguido que mi padre mandara este C:\WINDOWS\system32\zinsnqav.exe , lo del asgp32.dll , yo creo que no esta, he seguido todas las indicaciones(se lo voy diciendo por telefono a mi padre) pero claro se puede equivocar, hay mucho riesgo en eliminar la entrada?: O2 - BHO: ASGP32.ASGP - {6944D481-DD3D-4252-8992-EBAC37788EB3} - C:\WINDOWS\System32\asgp32.dll (file missing)

saludos!

[msc hotline sat]

Interesaría analizarlo, pero la clave antes om despues debe ser eliminada, asi que procede con ello...



ver:

http://www.castlecops.com/tk30719-ASGP32_ASGP.html



saludos



ms., 7-04-2008

[adrienlor]

elimino la entrada en modo seguro?Pero te aseguro que hecho todo lo que me diciis par intentar verlo y nada, asique...bueno ya me diréis el siguiente paso a realizar, gracias!