Problema ElistarA y Svchost

[almapa]

Hola!



Primero agradecerles por esta pagina, muchas veces me han salvado y me han ayudado a quitar virus de mis computadoras y de las computadoras de mis familiares.



Ahora bien, tengo un problema con el SVCHOST, es decir, tengo algo que provoca que el SVCHOST se ponga al 100%. La computadora va perfecto pero cuando la conecto a internet (enciendo el wireless) se j**e todo. Creo que todo empezó con una actualización del JAVA.



Corrí el ElistarA y me limpió todo y encontró unos virus, sin embargo, cuando reinicié la maquina, me di cuenta que el ElistarA había instalado otros troyanos y Spywares como un NTkron o algo así, y también me salió que tenía "archivos listos para copiar en el quemador". Es decir, tenía mas virus y el SVCHOST seguía pòr el 100%



Entonces corrí AVG, Spybots, Ad-awares y Avast y me encontraban los problemas, pero igual sigue el SVCHOST corriendo al 100%



Después de investigar en esta pagina y no encontrar solución, decidí postear esto y quitarles de su preciado tiempo.



Tengo el problema que los spybots y ad-awares no estaban actualziados y ahora no los puedo instalar xq no tengo acceso a la web..so...tampoc oel windows update. Esto lo escribo desde la PC de mi oficina.



Si me pueden ayudar, se los agradecería. Por cierto...sé que tengo que pasar lo que dice el Hijack THis pero no sé como hacerlo.



Saludos y Gracias

[lucl]

Puedes probar a desinstalar la actualizacion del java que crees te da el problema, pero bajate de la oficina elistara , elitriip e hijackthis y peganos el log que te dejaran en C infosat.txt. Sobre el hijackthis te dejo instrucciones , saludos



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[msc hotline sat]

Y muy importante: Siempre despues de probar nuestras utilidades de evaluación ELI..., debe postear el contenido de C:\infosat.txt para ver el resultado del proceso.



Y cambie el chip... Lo que dice de "[b][i]me di cuenta que el ElistarA había instalado otros troyanos y Spywares como un NTkron [/i][/b]" es falso !!! Nunca mas lejos de la verdad.



Y ademas del log del HJT, lance este AV ONLINE y posteenos el resultado, gracias:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, o indicando la utilidad a probar para solucionarlo.





saludos



ms, 9-04-2008

[almapa]

Hola



Gracias en verdad por su ayuda.



Debo decir que el problema es mucho mayor a lo que yo creía. Cuando abrí el Msconfig ayer después de correr el Elitriip y Elistar ahora tengo alrededor de 20 archivos que se inician que nunca habían estado. Se llaman "Copy of..."... rarísimo!



Sin más, adjunto lo que dice el Elistar, Eltrip y Hijackthis. No puedo hacer lo de AV Online xq no me puedo conectar a internet xq el Svchost la pone al 100%.



Gracias por adelnatado! Esta pagina y ustedes son lo máximo!



Tue Apr 08 18:05:22 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 08 18:05:28 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\HP\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.INF --> Infectado, AutoRun.IQ(inf)



Nº Total de Directorios: 6290

Nº Total de Ficheros: 60382

Nº de Ficheros Analizados: 16930

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0





Tue Apr 08 17:52:29 2008

EliTriIP v4.59 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Apr 08 17:52:49 2008

EliTriIP v4.59 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\HP\My Documents\Nero Burning Rom 7 Ultra Edition Incl Keygen & Serial\Nero.Burning.Rom.6.0.Ultra.Edition.incl.keygen.&.serial\AUTORUN.INF --> Infectado, BackDoor.CMQ(inf)

C:\Program Files\Motorola Phone Tools\widcomm\Autorun.inf --> Infectado, BackDoor.CMQ(inf)

C:\Program Files\Online Services\PeoplePC\Autorun.inf --> Infectado, BackDoor.CMQ(inf)

C:\SwSetup\Btooth\Autorun.inf --> Infectado, BackDoor.CMQ(inf)

C:\SwSetup\Btooth\TZ\Autorun.inf --> Infectado, BackDoor.CMQ(inf)

C:\SwSetup\DVD\autorun.inf --> Infectado, BackDoor.CMQ(inf)

C:\SwSetup\SonicDMP\MYDVD_61\AUTORUN.INF --> Infectado, BackDoor.CMQ(inf)



Nº Total de Directorios: 6298

Nº Total de Ficheros: 60432

Nº de Ficheros Analizados: 15214

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 0



Logfile of HijackThis v1.99.1

Scan saved at 06:19:45 p.m., on 08/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\bgsmsnd.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\ntkrnl.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Documents and Settings\HP\Desktop\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\system32\bgsmsnd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [ntoskrnl] C:\ntkrnl.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Program Files\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=EN_US&c=Q305&bd=pavilion&pf=laptop

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188073271640

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188073252546

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Servicio del iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing)

O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)

O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)

[msc hotline sat]

Ahí tienes un sospechoso:



C:\ntkrnl.exe



envianoslo para analizar







Tambien estos otros dos mira si los encuentras, por supuesto escondidos (con atributos de oculto y sistema...)



C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe



C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe



tener en cuenta:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 9-04-2008





NOTA: Aparte recordar la necesidad de tener aplicacdos todos los parches para evitar el 100 % de uso de CPU con el SVCHOST:

[almapa]

Hola.



Gracias por la ayuda



Ya les envié el archivo tal y como lo piden.



El archivo ntuser y el otro no estaban en la carpeta.



Gracias

[msc hotline sat]

Pues ya que no tiene dichos ficheros, pruebe de eliminar estas claves:



O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing)



O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)



O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)



Puede probar para ello el ELISERV:



http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





Y cuando recibamos la muestra enviada, la analizaremos y procederemos a implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 10-04-2008

[almapa]

hola!



Por fin ya pude pasarles el archivo con el virus. El problem era que gmail y yahoo no me dejaban subirlo xq sabian que era virus, so tuve que subirlo por mi webmail del work.



Ya elimine las cuentas de servicio.



Espero sus respuestas. Muchas Gracias por adelantado y por su ayuda.



Otra consulta, si trato de correr el ElistarA en una PC con Windows VIsta y se me queda pegado siempre en "Restaurando Registro de Sistema" y a´hí se queda..que hago? No se si escribir otro post...



Gracias!!!

[msc hotline sat]

Sí, es lógico que los antivirus impidan el envio de muestras víricas, por ello decimos en https://foros.zonavirus.com/viewtopic.php?f=5&t=14253 que se deben enviar empaquetadas y con password VIRUS, asi se encriptan y no son detectadas ni interceptadas.



No sé si nos llegaran si no lo ha hecho así. Si quiere asegurarse, repita el envio, pero empaquetando con ZIP o RAR con password VIRUS, desde opciones avanzadas de las utilidades correspondientes...



Y no damos soporte para el VISTA, es un incordio que dejamos estar esperando que el nuevo sistema operativo de windows que ya está en fase Beta, lo sustituya y con ello los privilegios y exigencias de dicho VISTA. De todas formas, pruebelo en modo seguro.



saludos



ms, 11-04-2008

[msc hotline sat]

Recibido fichero para analizar, resulta estar corrupto, no está bien empaquetado.



Compruebe Vd mismo que no se le desempaqueta, y en cualquier caso, vuelva a empaquetarlo con password VIRUS y nos lo envia de nuevo, gracias



saludos



ms, 11-04-2008

[almapa]

Hola.



Cuando trato de hacer el file ZIP o RAR me sale la siguente leyenda y no se puede comprimir.



Action: Add (and replace) files Include subfolders: yes Save full path: no

Include system and hidden files: yes

Adding ntkrnl.exe

Warning: could not open for reading: E:\ntkrnl.exe

creating Zip file E:\ntkrnl.zip



Que hago?

[msc hotline sat]

Parece que tienes problema de acceso a E:\ntkrnl.exe



Podría que fuera por el mismo virus. Pruebalo arrancando en modo seguro y nos cuentas el resultado, gracias



saludos



ms, 11-04-2008

[almapa]

Ya lo empaqueté en modo a prueba de fallos y con password VIRUS.



Asimismo se los envié al correo.



Gracias!

[msc hotline sat]

Bien, lo verenmos el lunes, pues ahora SATINFO ya está cerrado.



Pero mientras subelo al virustotal, para conformar que sea virus, y en tal caso renombra la extension del NTKRNL.EXE a .VIR y así tras reiniciar ya no se pondrá en marcha



saludos



ms, 11-04-2008

[msc hotline sat]

El fichero que hemos recibido está corrupto.



Repite el envio con el mismo password, pero antes comprueba que lo puedas desempaquetar, pues quizas en la compresion o encriptacion se ha dañado. Hazlo en modo seguro, para que el virus no esté activo.



saludos



ms, 14-04-2008

[almapa]

hola



He tratado todo el dia de empaquetar el virus, desde modo a prueba de fallos y normal e igual no se empaqueta bien.



A lo mejor no lo estoy haciendo bien o el virus no me deja. ¿Que hago?



Tal vez un step by Step para empaquetarlo y chequear si lo estoy haciendo bien sería bueno.



Gracias!

[msc hotline sat]

En modo seguro no debe tener problema de empaquetarlo con password



Si tiene el WinRAR o el WINZIP instalado,



-> pulse boton derecho sobre el fichero a empaquetar,



-> seleccionar Añadir al Archivo,



-> Pulsar en Avanzado,



-> Pulsar en establecer contraseña,



-> escribir para la misma VIRUS,



-> y Aceptar





es lo que acabo de hacer para probar de empaquetar un fichero...



saludos



ms, 15-04-2008

[msc hotline sat]

Nos ha vuelto a enviar un fichero que no podemos desempaquetar, ni con virus ni con VIRUS como password.



Pruebelo Vd antes de enviarnoslo de nuevo, y sobretodo asegures de ponert como password VIRUS



saludos



ms, 16-04-2008

[msc hotline sat]

Por fin hemos podido desempaquetar su fichero !!!



En un analisis previo se ha visto que es vírico, pero ya no hay tiempo de monitorizarlo hoy, mañana seguiremos.,



El servicio tecnico cierra a las 18:30 y ya lo son



saludos



ms, 16-04-2008

[msc hotline sat]

Pues en cuanto nos hemos dedicado a este fichero, hemos visto que el actual ELISTARA ya lo controla como AUTORUN.IQ y elimina , pruebalo:



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 17-04-2008

[almapa]

Amigos,



Corrí el Elistar y Elitriip otra vez y listo todo!



Creo que pueden dar el caso por solucionado.



Muchas gracias por todo!!



Exitos!



Tue Apr 08 18:05:22 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 08 18:05:28 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\HP\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.INF --> Infectado, AutoRun.IQ(inf)



Nº Total de Directorios: 6290

Nº Total de Ficheros: 60382

Nº de Ficheros Analizados: 16930

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Thu Apr 10 18:12:34 2008

EliServicios v1.0 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------------

Servicio Eliminado.

O23 - Service: NTLOAD (NTLOAD) - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe /name:"NTLOAD" /start:"C:\WINDOWS\system\driver\csrss.exe"

Servicio Eliminado.

O23 - Service: NTSVCMGR (NTSVCMGR) - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe /name:"NTSVCMGR" /start:"C:\WINDOWS\system\driver\services.exe C:\WINDOWS\system\driver\ntauth.dll"

Servicio Eliminado.

O23 - Service: NTBOOTMGR (NTBOOT) - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe



Mon Apr 14 15:21:13 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 14 15:21:18 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 821

Nº Total de Ficheros: 1784

Nº de Ficheros Analizados: 63

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Mon Apr 14 21:53:44 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Apr 18 17:50:03 2008

EliTriIP v4.59 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Apr 18 17:50:06 2008

EliTriIP v4.59 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\HP\My Documents\Nero Burning Rom 7 Ultra Edition Incl Keygen & Serial\Nero.Burning.Rom.6.0.Ultra.Edition.incl.keygen.&.serial\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\Online Services\PeoplePC\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SwSetup\Btooth\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SwSetup\Btooth\TZ\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SwSetup\DVD\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SwSetup\SonicDMP\MYDVD_61\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 6419

Nº Total de Ficheros: 61908

Nº de Ficheros Analizados: 15468

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7



Fri Apr 18 18:01:14 2008

EliStartPage v16.12 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Apr 18 18:01:17 2008

EliStartPage v16.12 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\HP\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.INF --> Eliminado, AutoRun.IQ(inf)



Nº Total de Directorios: 6417

Nº Total de Ficheros: 61890

Nº de Ficheros Analizados: 17159

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Apr 18 18:08:31 2008

EliStartPage v16.12 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 231

Nº Total de Ficheros: 681

Nº de Ficheros Analizados: 34

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 20-04-2008