Una consulta

[Nadja]

Buenas, tenía tiempo sin postear por aquí.



En enero compré un pc portátil (Toshiba, Windows Vista y el Mcafee de prueba). Desde el comienzo no quise usar internet con este pc porque ya tengo uno de escritorio para eso.



Bueno, hace una semana empecé a trabajar en una empresa diferente... y en dicho entorno se usan mucho los pendrives. Inocentemente (y con cierta irresponsabilidad porque no había actualizado el antivirus) inserté varias veces los pendrives de los colegas. Después me entero que todos los pc de la oficina tienen virus y cuando escaneo veo irregularidades con en mi pc.



Así que llegué aquí a este foro otra vez. Arranqué en modo a prueba de fallos y usé algunos componentes como elistar, elitrip, elipen (que lamento no haberlo conocido antes)y el elibagla. Tenía algunos malware. Ya eliminados pero sin sentirme segura, quité el mcafee (que ya no puedo actualizar) e instalé el NOD32 (evaluación). Una cosa que antes no había visto (con el xp)... cuando paso el elistara u otros afines veo varios archivos que no pueden accesarse y me dicen acceso denegado.



Quisiera dejarles el log de acciones y el log del hijackthis para que por favor me digan si hay algo raro.



Muchas gracias, como siempre.



LOG DE ACCIONES

Tue Apr 15 04:53:11 2008

EliStartPage v16.08 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 15 04:53:31 2008

EliStartPage v16.08 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Monkey's Audio\Tools\QUICK RENAMER.EXE --> Eliminado, Malware.WINDOSW

C:\Windows\System32\sysprep\MAKELINK.EXE --> Eliminado, SystemPoser



Nº Total de Directorios: 17675

Nº Total de Ficheros: 122703

Nº de Ficheros Analizados: 22061

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Tue Apr 15 05:01:09 2008

EliStartPage v16.08 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 239

Nº Total de Ficheros: 3059

Nº de Ficheros Analizados: 372

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Tue Apr 15 05:09:16 2008

EliPen v1.4 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Tue Apr 15 05:12:03 2008

EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Apr 15 05:12:08 2008

EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 17676

Nº Total de Ficheros: 122723

Nº de Ficheros Analizados: 16484

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Apr 15 05:52:10 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Apr 15 05:52:11 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WORKSSETUP\OffHST07Trial\autorun.inf --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 17676

Nº Total de Ficheros: 122725

Nº de Ficheros Analizados: 19444

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

---------------------------------------------------------------------------------

---------------------------------------------------------------------------------



Logfile of HijackThis v1.99.1

Scan saved at 05:02:32 a.m., on 15/04/2008

Platform: Unknown Windows (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16643)



Running processes:

C:\Windows\Explorer.EXE

C:\Users\Amilcar\Desktop\Elistar\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe

O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: pinger - Unknown owner - C:\Toshiba\IVP\ISM\pinger.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: Swupdtmr - Unknown owner - c:\Toshiba\IVP\swupdate\swupdtmr.exe

O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

-------------------------------------------------------------

-------------------------------------------------------------

[msc hotline sat]

Pues vemos que ha detectado y eliminado troyanos y que ya en el log no aparecen claves víricas.



Pero vemos que en este equipo usa VISTA. Recuerde que no damos soporte a dicho sistema



De todas formas si cree tener virus, lance este AV ONLINE y saldrá de dudas



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



saludos



ms, 15-04-2008

[Nadja]

Muchas gracias.



No sabía que no trabajaban con el windows vista :cry: Yo quisiera usar el xp, pero no quiero tener problemas con los drivers...



Intenté usar el kapersky pero no me dejan instalar el control active... por más que habilito la opción de 'permitir' en opciones :shock:



Bueno, pasé el nod32 y no informó de ningún virus. Cualquier problema les vuelvo a informar.



¿Qué me aconsejan para los pendrives? ¿Con el elipen puedo estar tranquila?



Hasta luego, gracias por todo.

[msc hotline sat]

Con el ELIPEN se bloquea la propagacion de este tipo de virus, gracias a no poder instalar el AUTORUN.INF en ellos ya que en su lugar instalamos una carpeta con el mismo nombre. En consecuencia ficheros imnfectados que pudiera contener, no son ejecutados automaticamente por el AUTORUN.INF al no "caber" :wink:



Y no el VISTA ni verlo ! es un incordio que vamos desinstanlado de todos nuestros ortdenadores nuevos y les vamos instalando el XP de los sustituidos.



Y por cierto, para probar nuestras utilidades, desactive su antivirus, ya que le puede dar falsos positivos conocidos pero que si asi están hechos dichos antivirus ...



Saludos



ms, 16-04-2008

[Nadja]

Gracias por toda la explicación... quisiera migrar al xp. Una pregunta, ¿para ir del vista al xp simplemente compro el xp y se lo instalo? ¿O se necesita mayor conocimiento sobre el tema?



Saludos

[msc hotline sat]

Asegurese antes de tener los drivers de sus tarjetas de video y demas, pues algunos foreros se han encontrado que al cambiar solo tenian los drivers para el VISTA...



O espere al inminente nuevo sistema que está a punto de sacar microsoft...



Y cuidado, que veo que tiene un portátil Toshiba... No le aconsejo ningun cambio, pues no son como los clónicos . Mejor siga como está, y de querer probar nuestras utilidades, hagalo arrancando en modo seguro... y suerte !



saludos



ms, 16-04-2008

[Nadja]

Gracias nuevamente.



Yo le dije a mi esposo que no comprar el portátil con vista y fue lo primero que hizo :roll: Cuando quisimos instalar el xp vimos que hay muchos problemas con los drivers (recuerdo haber visto quejas de personas con toshiba).



Lo de el "nuevo inminente sistema operativo que sacará windows"... ¿es una ironía o se trata de una buena noticia? :wink:



Saludos

[msc hotline sat]

No le riñas que es lo que hay en todas partes, y ni Chávez puede evitarlo :mrgreen:



Pero lee esto:



https://foros.zonavirus.com/windows-7-milestone-1-lanzado-vt23152.html



y no desesperes :wink:



saludos



ms, 16-04-2008