COMPUTADORA LENTA/NO PUEDO USAR MI CAMARA WEB (SOLUCIONADO)

[kaixer78]

MI pc esta demasiado lenta y ya no se ke hacer, me conecto a internet y tarda de 1 a 2 min en abrir una pagina, en ocaciones se congelan las paginas y tengo ke reiniciar la pc.



el otro problema es ke no puedo utilizar mi webcam, ya baje los instaladores de la camara y aun asi no puedo usarla.



utilize el Hijack y esto fue lo ke me arrojo. de antemano agradesco su ayuda



Logfile of HijackThis v1.99.1

Scan saved at 23:10:13, on 08/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\usuario\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

F2 - REG:system.ini: UserInit=userinit.exe,

O1 - Hosts: 89.149.243.46 banamex.com

O1 - Hosts: 89.149.243.46 http://www.boveda.banamex.com.mx

O1 - Hosts: 89.149.243.46 http://www.bancanetempresarial.banamex.com.mx

O1 - Hosts: 89.149.243.46 bancanetempresarial.banamex.com.mx

O1 - Hosts: 89.149.243.46 boveda.banamex.com.mx

O1 - Hosts: 89.149.243.46 http://www.banamex.com.mx

O1 - Hosts: 89.149.243.46 banamex.com.mx

O1 - Hosts: 89.149.243.46 http://www.banamex.com

O1 - Hosts: 89.149.243.46 http://www.jacdeguorld.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\ARCHIV~1\MACROG~1\SWEETI~1\toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [IMC] C:\Archivos de programa\microsoft frontpage\imc.exe

O4 - HKCU\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://srvspvpub.yucatan.gob.mx/CitrixAccess/ICAWEB/es/ica32/wficat.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab

O16 - DPF: {65E8E2DC-186A-4AAC-9E56-FDC683055A9E} (CNetOnlineInstall Control) - http://www.download.com/html/dl/bug211623/CNetOnlineInstall.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203741308401

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.ex

[msc hotline sat]

De entrada tiene que eliminar estas claves, pues en el HOSTS le estan redirigiendo a 89.149.243.46 de ALemania, cuando entra cualquiera de las URL que redirigen a ella:



89.149.243.46 DE Germany 05 Hessen Frankfurt Am Main 50.1167 8.6833 NetDirect netdirekt e.K.





asi pues elimina:





O1 - Hosts: 89.149.243.46 banamex.com



O1 - Hosts: 89.149.243.46 http://www.boveda.banamex.com.mx



O1 - Hosts: 89.149.243.46 http://www.bancanetempresarial.banamex.com.mx



O1 - Hosts: 89.149.243.46 bancanetempresarial.banamex.com.mx



O1 - Hosts: 89.149.243.46 boveda.banamex.com.mx



O1 - Hosts: 89.149.243.46 http://www.banamex.com.mx



O1 - Hosts: 89.149.243.46 banamex.com.mx



O1 - Hosts: 89.149.243.46 http://www.banamex.com



O1 - Hosts: 89.149.243.46 http://www.jacdeguorld.com





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y con ello el log del HJT estará limpio, pero el causante de lo indicado puede estar escondido, fuera de lo visible por el HJT, siendo probablemente un nuevo Banker para robar el dinero a los mexicanos...



Por ello lance este AV ONLINE y posteenos el resultado:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.



A la vista de ello, procederemos en consecuencia



saludos



ms, 9-04-2008

[kaixer78]

Disculpa mi ignorancia pero como le hago para eliminar los host, me podrian decir como hacerle.

[msc hotline sat]

Sí, se indica en el link que te dabamos:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



pero vamos, te lo resumo, arrancar en modo seguro, lanzar el HJT, marcar las casillas de la izquierda de cada una de las claves indicadas y pulsar en FIX CHECKED para eliminarlas



saludos



ms, 9-04-2008





NOTA: Pero hasta que no elimines el virus, este volverá a insertar las claves indicadas (modificando el fichero HOSTS) con lo cual lo primero es controlar el intruso, para lo cual debes lanzar el[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url] y postearnos el resultado, para ver el fichero infectado y proceder a su control y eliminacion. ms.

[kaixer78]

Aqui posteo los resultados del test online:



KASPERSKY ONLINE SCANNER INFORME

miércoles, 09 de abril de 2008 19:46:15

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 9/04/2008

Registros en la base antivirus: 621255





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\



Estadísticas

Número de objeros analizados 92676

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 10:40:27



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\LimeWire\bose\nikki, bose, y otros\Top of Charts - 2005.wma Infectados: Trojan-Downloader.WMA.Wimad.l saltado



C:\cuarentena\dialsys.exe.Vir Object is locked saltado



C:\cuarentena\dialsys.exe.Vir.0 Object is locked saltado



C:\cuarentena\index[1].htm.Vir Object is locked saltado



C:\cuarentena\index[1].htm.Vir.0 Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\Agent_PERSONAL.log Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\PrdMgr_PERSONAL.log Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\usuario\Configuración local\Historial\History.IE5\MSHist012008040920080410\index.dat Object is locked saltado



C:\Documents and Settings\usuario\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\usuario\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\usuario\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{BB6F1E2C-B541-4EF6-9DF6-670CCC575010}\RP264\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\EventCache\{8ABA30B1-0CA8-4A2A-B6A5-1052A6657347}.bin Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edbtmp.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Pues parece que tenemos chico nuevo entre nosotros:



C:\Archivos de programa\LimeWire\bose\nikki, bose, y otros\Top of Charts - 2005.wma Infectados: Trojan-Downloader.WMA.Wimad.l





Mira de enviarnos dicho fichero



C:\Archivos de programa\LimeWire\bose\nikki, bose, y otros\[b][i]Top of Charts - 2005.wma[/i][/b]



y lo analizaremos e informaremos





De todas formas, es un downloader, asi que puede haber bajado el troyano causante de la modificacion del HOSTS ??? . Es importante que nos diga si tras eliminar las claves que indicabamos, y reiniciar, estas vuelven a aparecer (en el registro o en el fichero HOSTS de c:\windows\system32\drivers\etc\ )





saludos



ms, 10-04-2008




[quote]nota sobre *.WMA : Es un tipo de archivo creado por Microsoft y son archivos de sonido con compresión de Windows. El nombre de la extensión wma proviene de Windows Media Audio. Estos archivos se abren (se reproducen) por defecto con el Reproductor de Windows Media.[/quote]

[kaixer78]

Creo ke ya no aparecen los host, de todas formas corri nuevamente el hijack y aki les posteo los resultados:

Logfile of HijackThis v1.99.1

Scan saved at 8:50:58, on 10/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Documents and Settings\usuario\Mis documentos\TRABAJOS DOOGIE\protector anti-virus\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\ARCHIV~1\MACROG~1\SWEETI~1\toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Archivos de programa\Macrogaming\SweetIMBarForIE\toolbar.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [IMC] C:\Archivos de programa\microsoft frontpage\imc.exe

O4 - HKCU\..\Run: [SweetIM] C:\Archivos de programa\Macrogaming\SweetIM\SweetIM.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://srvspvpub.yucatan.gob.mx/CitrixAccess/ICAWEB/es/ica32/wficat.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab

O16 - DPF: {65E8E2DC-186A-4AAC-9E56-FDC683055A9E} (CNetOnlineInstall Control) - http://www.download.com/html/dl/bug211623/CNetOnlineInstall.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203741308401

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe





no se como enviarles el fichero me podrian orientar por favor. de antemano agradesco toda la ayuda ke me estan brindando

[msc hotline sat]

Si claro:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y para su conocimiento, el ultimo log del HJT posteado está limpio.



saludos



ms, 10-04-2008

[mardav3ºA]

:roll: Ola, tengo un problema con mi computadora cuando conecto mi web cam, la computadora se bloquea y en vez de salir el fondo de pantalla que tengo, cambia por figuras geometricas.Se queda la computadora asi 2 minutos y luego se apaga.¿Alguien me puede ayudar por favor? :roll: :?:

[msc hotline sat]

Pues, mardav3ºA , abra un Tema indicando en el Titulo "Presenta figuras geometicas y se apaga en 2 minutos" y estudiaremos su caso, que no parece tener relacion con lo de este Tema.



De entrada lance este AVONLINE y posteenos en dicho Tema el resultado, explicando lo que hace al caso:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.





saludos



ms, 10-04-2008

[kaixer78]

YA LE ENVIE EL CORREO ELECTRONICO CON EL ARCHIVO.



DESDE KE ELIMINE LOS HOST AHORA ME APARECE UNA LEYENDA KE DICE MEMORIA VIRTUAL MUY BAJA CREEN KE SE RELACIONE CON EL MISMO PROBLEMA O ES OTRO PARA SABER SI ABRO OTRO TEMA

[msc hotline sat]

No kaixer78, este es tu Tema, sigue en él hasta el final .



Veamos, lo que has eliminado del HOSTS son claves colocadas popr un BANKER para redirigir los accesos a las URL de banamex, a ciertos sites, seguramente con intenciones de phishing, pero su eliminacion no afecta en nada al comportamiento del PC ni de la memoria, solo que evitamos caer en las garras de los estafadores en cuestion. Piensa que lo normal es que capturen los passwords de las cuentas ONLINE de los clientes de banamex, y con ello hagan transferencia a cuentas rusas (o alemanas por lo que vemos en este caso), pero todo es mal que mata ! :roll:



Lo que indicas de memoria virtual muy baja puede ser por disco duro lleno o por poca memoria RAM . Dinos la memoria RAM instalada y el espacio libre en el disco duro, gracias



saludos



ms, 10-04-2008

[kaixer78]

mi memoria es de 37. gb en disco duro

utilizada: 15.3 gb

libre: 21.6 gb



Les llego el correo ke envie con el archivo en formato ZIP

[Claudia34]

Lo que indicaste es la capacidad del disco y el espacio libre, pero te falta el dato de la memoria ram.



Saludos.

[msc hotline sat]

No podremos saber si se ha recibido la muestra en SATINFO hasta que entremos a trabajar, en unas 4 horas, pero si lo has hecho segun indicado, esperemoslo... :wink:



Y efectivamente, dinos la memoria RAM instalada.



Si no lo sabes, pulsa botón derecho en MIPC, -> propiedades -> Y alli lo veras.



Normalmente la memoria virtual es automaticamente definida entre 1,5 y 3 veces la memoria RAM normal, por lo que si esta última fuera de 1 GB, la virtual aplicada debería ser mas que suficiente, pero si es de solo 256 MB por ejemplo, la virtual es de menos de 1 GB si no se define diferente en:



Inicio -> Panel de Control -> Sistema -> Opciones Avanzadas -> Rendimiento / Configuracion + Personalizar / Opciones Avanzadas / Memoria Virtual -> Cambiar)



Como que tienes espacio en disco suficiente, mientras no aumentas la base, si es baja, define manualmente 1000 MB como mínima y 1500 MB como máxima para la virtual , y despues de cambiar le das a Establecer y Aceptar en todas las pantallas.



y nos cuentas el resultado, aparte de decirnos la RAM instalada arriba indicada, gracias



saludos



ms, 11-04-2008

[kaixer78]

YA HICE LO QUE ME DICEN SOBRE LA MEMORIA VIRTUAL Y SI QUEDO UN POCO MAS RAPIDA. AUN TARDA UN POCO EN ABRIR LAS PAGINAS PERO YA HUBO UNA MEJORA CONCIDERABLE.



ENN CUANTO AL ARCHIVO KE ME PIDIERON QUE LES MANDARA, LES LLEGO, SI NO PARA VOLVER A ENVIARLO.



MUCHAS GRACIAS POR TODA SU AYUDA

[msc hotline sat]

Sí, hemos implementado en el último ELISTARA que hemos subido a esta web para evaluar, el control de este *.WMA, como decimos en:



https://foros.zonavirus.com/viewtopic.php?f=11&t=24362


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 11-04-2008

[kaixer78]

DONDE PUEDO BAJAR LA VERSION MAS RECIENTE DEL ELISTARA, LA KE TENGO YA NO ME DEJAN CORRERLA

[msc hotline sat]

Siempre se ha de probar la ultima version, el link es el mismo siempre (lo tienes en mi anterior post)



saludos



ms, 11-04-2008

[kaixer78]

este es el resultado del elistara. Sige estando lenta mi pc





Fri Oct 20 11:17:43 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\ICPLDRVX.EXE --> Eliminado PWS-Banker

Entrada Eliminada [HKLM\...\Run] "Avg Antivirus"="C:\WINDOWS\system32\icpldrvx.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 20 11:19:41 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Fri Oct 20 11:27:49 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Fri Oct 20 11:53:26 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 20 11:56:01 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Fri Oct 20 12:20:31 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Fri Oct 20 12:20:54 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Mon Oct 23 22:55:06 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 23 22:58:55 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Mon Oct 30 13:20:03 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 30 13:24:47 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\TRABAJOS DOOGIE\LIMEWIREWIN.EXE --> AutoExtraible



Mon Jan 01 18:54:12 2007

EliStartPage v12.99 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\CTHKPCV.DLL --> Eliminado FakeAlert

C:\WINDOWS\MSNLOGM.EXE --> Eliminado MSNContentPlus

C:\WINDOWS\MSNLOGS.EXE --> Eliminado MSNContentPlus

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMMON.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado Puper-Isa

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Acceso Denegado.

Eliminada Class, "{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Eliminada Class, "{B59F3BA4-98DA-4B5F-8A2D-7B56FB11140B}" -> C:\WINDOWS\system32\cthkpcv.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 02 21:29:55 2007

EliStartPage v13.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\Video Activex Object\ISAMONITOR.EXE.VIR --> Eliminado.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado Puper-Isa

C:\Archivos de programa\Video Activex Object\ISAMINI.EXE.VIR --> Eliminado.

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 09 23:07:31 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\LECHUCK.EXE --> Eliminado

C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\All Users\Menú Inicio\Security Troubleshooting.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\usuario\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 09 23:11:15 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\muestras\MSNLOGM.EXE --> Eliminado, MSNContentPlus

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\muestras\MSNLOGS.EXE --> Eliminado, MSNContentPlus

C:\WINDOWS\system32\ARRAYUGRD.DLL --> Eliminado, DownLoader.VF

C:\WINDOWS\system32\ONEWAY.DLL --> Eliminado, KeyLogger.FL



Mon Oct 15 14:07:55 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 15 14:10:50 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Apr 11 14:11:25 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Solo has pasado la accion directa, te falta la exploracion !!!



Selecciona la unidad de disco duro y pulsa en EXPLORAR



Luego postea de nuevo el infosat



saludos



ms, 11-04-2008

[kaixer78]

no entendi, despues de explorar mi disco dura, tengo ke volver a lanzar elistara para ke me arroje un nuevo informe?



o ke tengo ke hacer?



porke ya hice lo ke me indicaron y solo me aparecieron las carpetas existentes en mi disco duro.

[msc hotline sat]

Fijate que con la V14.80 hay dos informes, el de Accion Directa y el de Exploracion:


[quote]Mon Oct 15 14:07:55 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 15 14:10:50 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Apr 11 14:11:25 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE[/quote]

pero con la actual 16.07 solo hay la de Accion Directa



Abre el C:\infosat.txt y si al final no hay la de Exploracion, vuelve a probar el ELISTARA, y cuando llegues al la pantalla con el logo de SATINFO, veras la casilla de EXPLORAR, pues pulsa en ella, y tras ello, reinmicia y nos posteas de nuevo el contenido de c:\infosat.txt, en el que al final ha de haber el Analisis por Exploracion, y en él hemos de ver la eliminacion del malware, *.WMA, ya que, si no lo has hecho, aun puedes tenerlo



saludos



ms, 12-04-2008

[kaixer78]

Este es el nuevo informe de elistara



Fri Oct 20 11:17:43 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\ICPLDRVX.EXE --> Eliminado PWS-Banker

Entrada Eliminada [HKLM\...\Run] "Avg Antivirus"="C:\WINDOWS\system32\icpldrvx.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 20 11:19:41 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Fri Oct 20 11:27:49 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Fri Oct 20 11:53:26 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 20 11:56:01 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Fri Oct 20 12:20:31 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Fri Oct 20 12:20:54 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Mon Oct 23 22:55:06 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 23 22:58:55 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible



Mon Oct 30 13:20:03 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 30 13:24:47 2006

EliStartPage v12.61 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\LIMEWIREWIN.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\usuario\Mis documentos\TRABAJOS DOOGIE\LIMEWIREWIN.EXE --> AutoExtraible



Mon Jan 01 18:54:12 2007

EliStartPage v12.99 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\CTHKPCV.DLL --> Eliminado FakeAlert

C:\WINDOWS\MSNLOGM.EXE --> Eliminado MSNContentPlus

C:\WINDOWS\MSNLOGS.EXE --> Eliminado MSNContentPlus

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMMON.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado Puper-Isa

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.99

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Acceso Denegado.

Eliminada Class, "{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Eliminada Class, "{B59F3BA4-98DA-4B5F-8A2D-7B56FB11140B}" -> C:\WINDOWS\system32\cthkpcv.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 02 21:29:55 2007

EliStartPage v13.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\Video Activex Object\ISAMONITOR.EXE.VIR --> Eliminado.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado Puper-Isa

C:\Archivos de programa\Video Activex Object\ISAMINI.EXE.VIR --> Eliminado.

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 09 23:07:31 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\LECHUCK.EXE --> Eliminado

C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\All Users\Menú Inicio\Security Troubleshooting.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\usuario\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 09 23:11:15 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\muestras\MSNLOGM.EXE --> Eliminado, MSNContentPlus

C:\Documents and Settings\usuario\Mis documentos\COSAS VARIAS\muestras\MSNLOGS.EXE --> Eliminado, MSNContentPlus

C:\WINDOWS\system32\ARRAYUGRD.DLL --> Eliminado, DownLoader.VF

C:\WINDOWS\system32\ONEWAY.DLL --> Eliminado, KeyLogger.FL



Mon Oct 15 14:07:55 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 15 14:10:50 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Apr 11 14:11:25 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 12 12:58:51 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Apr 12 12:59:04 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LimeWire\bose\nikki, bose, y otros\TOP OF CHARTS - 2005.WMA --> Eliminado, DownLoader.Wimad.L(WMA)



Nº Total de Directorios: 6583

Nº Total de Ficheros: 82713

Nº de Ficheros Analizados: 43543

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Ahora sí ! :



EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LimeWire\bose\nikki, bose, y otros\TOP OF CHARTS - 2005.WMA --> Eliminado, DownLoader.Wimad.L(WMA)



Con la exploracion pedida, ya se ha detectado y eliminado el malware, con lo cual damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-04-2008