Computador loco e infectado (SOLUCIONADO)

Responder
Avatar de Usuario
nanowason
Mensajes: 4
Registrado: 27 Abr 2008, 06:16
Ubicación: En algun Lugar siniestro en BogoThrash

Computador loco e infectado (SOLUCIONADO)

Mensaje por nanowason » 28 Abr 2008, 22:08

Hola, desde hace unos dias mi computador se comporta de una manera poco usual, es lento, me bota errores y cuando corro algunos programas parece que estubiera en un computador del siglo pasado. Le pase en antivirus residente (nod32) en modo normal y a prueba de fallos y no arrojo nada, luego le pase las herrmanientas spybot y superantispyware y la ultma me elimino un spyware pero siguio igual, esto lo hice en normal y a prueba de fallos con restaurar el sistema desactivado como recomiendan y siguio igual. Por ultimo, le pase varios antivirus en linea y los unicos que me detectaron algo fue el panda online y el kaspersky online. Les pego el reporte de los dos:



;***********************************************************************************************************************************************************************************

ANALYSIS: 2008-04-26 23:45:48

PROTECTIONS: 2

MALWARE: 2

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Kaspersky Internet Security 7.0.0.125 No Yes

ESET NOD32 antivirus system 2.70 2.70 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

01048936 Generic Malware Virus/Trojan No 0 Yes No C:\Archivos de programa\GameSpy Arcade\Services\_common\PortraitLoader.dll

01081310 Generic Trojan Virus/Trojan No 0 Yes No D:\Azureus\Voice Editor - Change Your Voice Online -18in1- (AIO) [h33t][migel]\voice.exe[Program/morphvox.pro.3.0.5.build.39239-patch.exe]

01081310 Generic Trojan Virus/Trojan No 0 Yes No C:\Archivos de programa\Screaming Bee\MorphVOX Pro\morphvox.pro.3.0.5.build.39239-patch.exe

;===================================================================================================================================================================================

SUSPECTS

Sent Location 

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description 

;===================================================================================================================================================================================

;===================================================================================================================================================================================







-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 28 de abril de 2008 21:32:30

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.98.0

Ultima actualización: 28/04/2008

Registros en la base antivirus: 729268

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\



Estadísticas:

Número de objeros analizados: 119725

Virus encontrados: 1

Objetos infectados: 6

Objetos sospechosos: 0

Duración del análisis: 03:22:01



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller\Logs\2008-04-28_15-21_ec.log Object is locked saltado

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\ESET\infected\25UOGCAA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\BK4L5XDA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\CLRDPNCA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\IMJMLNBA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\IYHHR2DA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\WYDXFVDA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Historial\History.IE5\MSHist012008042820080429\index.dat Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Temp\hsperfdata_windows xp\2236 Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Temp\Perflib_Perfdata_860.dat Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Temp\~DF2AFA.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Temp\~DF318E.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Temp\~DF3324.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Configuración local\Temp\~DFFCA4.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\ipfilter.cache Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8244.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8245.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8246.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8247.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8248.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8249.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8250.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\Datos de programa\Azureus\tmp\AZU8251.tmp Object is locked saltado

C:\Documents and Settings\Windows xp\ntuser.dat Object is locked saltado

C:\Documents and Settings\Windows xp\ntuser.dat.LOG Object is locked saltado

C:\Metal_A Headbanger's Journey_by [CL]Shub-Niggurath\VIDEO_TS\VTS_04_0.VOB Object is locked saltado

C:\Metal_A Headbanger's Journey_by [CL]Shub-Niggurath\VIDEO_TS\VTS_04_1.VOB Object is locked saltado

C:\Metal_A Headbanger's Journey_by [CL]Shub-Niggurath\VIDEO_TS\VTS_04_2.VOB Object is locked saltado

C:\Metal_A Headbanger's Journey_by [CL]Shub-Niggurath\VIDEO_TS\VTS_04_3.VOB Object is locked saltado

C:\Metal_A Headbanger's Journey_by [CL]Shub-Niggurath\VIDEO_TS\VTS_04_4.VOB Object is locked saltado

C:\Metal_A Headbanger's Journey_by [CL]Shub-Niggurath\VIDEO_TS\VTS_04_5.VOB Object is locked saltado

C:\Metal_A Headbanger's Journey_by [CL]Shub-Niggurath\VIDEO_TS\VTS_06_1.VOB Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{3F728402-7A23-44F7-B060-C6A4270FA113}\RP4\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SB Insta.evt Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{3F728402-7A23-44F7-B060-C6A4270FA113}\RP4\change.log Object is locked saltado



Análisis completado.







... la vedad no se que hacer, estoy desesperado, tambien les pego el reporte de hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 03:07:37 p.m., on 28/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Archivos de programa\Comodo\Firewall\cmdagent.exe

C:\Archivos de programa\Power Translator 10\LogoMedia TranslateDotNet Server.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\slmdmsr.exe

C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe

C:\Archivos de programa\Comodo\Firewall\CPF.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Archivos de programa\KWorld Multimedia\PVR-TV 7131 Utilities\P3XRCtl.exe

C:\Archivos de programa\Memturbo 4\MemTurbo.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Archivos de programa\Viewpoint\Viewpoint Manager\ViewMgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Windows xp\Mis documentos\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sis.senavirtual.edu.co/ingles

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator 10\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Archivos de programa\Speed Video Splitter\msdxm.ocx

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Archivos de programa\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: MemTurbo.lnk = C:\Archivos de programa\Memturbo 4\MemTurbo.exe

O4 - Global Startup: Remote Control.lnk = C:\Archivos de programa\KWorld Multimedia\PVR-TV 7131 Utilities\P3XRCtl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O15 - Trusted Zone: http://www.msi.com.tw

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} - http://upload.facebook.com/controls/FacebookPhotoUploader2.cab

O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FA3D6909-EFA6-4EB2-9319-825E2A101C0B}: NameServer = 200.21.200.2,200.21.200.79

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Archivos de programa\Comodo\Firewall\cmdagent.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator 10\LogoMedia TranslateDotNet Server.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Archivos de programa\Archivos comunes\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: Viewpoint Service - Viewpoint Corporation - C:\Archivos de programa\Viewpoint\Common\ViewpointService.exe





Le pase el ccleaner tambien.



Gracias de antemano por la ayuda que me puedan prestar.
Hey maniaco cuida tus espaldas, porque estamos aquí para azotarte!!!!
Únete a la MARCHA ARMADA DEL METAL, METAL ARMY MARCH!!!!!
WITCTRAP (COL)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Computador loco e infectado

Mensaje por msc hotline sat » 29 Abr 2008, 06:29

Pues sí:



Virus encontrados: 1

Objetos infectados: 6





Son estos que el NOD32 ha puesto en cuarentena, encriptandolos y que si no los necesita, puede borrar:



C:\Archivos de programa\ESET\infected\25UOGCAA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\BK4L5XDA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\CLRDPNCA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\IMJMLNBA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\IYHHR2DA.NQF Infectados: Virus.Win32.Parite.b saltado

C:\Archivos de programa\ESET\infected\WYDXFVDA.NQF Infectados: Virus.Win32.Parite.b saltado



Pues el Parite es un mal bicho infector que no siempre se puede desinfectar. Si hubiera pasado antes el AV ONLINE, los hubieramos limpiar con el ELIPATEA, pero despues de enviarlos a cuarentena el NOD, los .NQF estan encriptados y no son limpiables salvo que se desencriptaran... Pero como que son nombres atipicos, supongo que puede prescindir de ellos y borrarlos.





Puede enviarnos estos malwares que indica haber detectado:



C:\Archivos de programa\GameSpy Arcade\Services\_common\PortraitLoader.dll



D:\Azureus\Voice Editor - Change Your Voice Online -18in1- (AIO) [h33t][migel]\voice.exe



C:\Archivos de programa\Screaming Bee\MorphVOX Pro\morphvox.pro.3.0.5.build.39239-patch.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y paso a analizar el log de HJT:



log limpio, veamos las muestras solicitadas y procederemos



saludos



ms, 29-04-2008

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Computador loco e infectado

Mensaje por msc hotline sat » 08 May 2008, 15:04

Detectados malwares en los ficheros enviados como muestra, se implementa su control y eliminacion en el ELISTARA de hoy v 16.24



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probarlo, posteenos el contenido de c:\infosat.txt, gracias



saludos



ms, 8-5-2008

Avatar de Usuario
nanowason
Mensajes: 4
Registrado: 27 Abr 2008, 06:16
Ubicación: En algun Lugar siniestro en BogoThrash

Re: Computador loco e infectado

Mensaje por nanowason » 09 May 2008, 05:59

[quote="msc hotline sat"]Detectados malwares en los ficheros enviados como muestra, se implementa su control y eliminacion en el ELISTARA de hoy v 16.24



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probarlo, posteenos el contenido de c:\infosat.txt, gracias



saludos



ms, 8-5-2008[/quote]

Hola, gracias por tu ayuda, el problema es que no se como se utiliza el ELISTARA. otra cosa, tu me pediste tres pruebas pero solo pude enviar dos ya que la que no pude enviar ( voice.exe ) pesa mas de 40000kb y el mail solo me permir enviar de a 20. Gracias.
Hey maniaco cuida tus espaldas, porque estamos aquí para azotarte!!!!
Únete a la MARCHA ARMADA DEL METAL, METAL ARMY MARCH!!!!!
WITCTRAP (COL)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Computador loco e infectado

Mensaje por msc hotline sat » 09 May 2008, 06:09

40 MB es lo que mide el VOICE.EXE ??? pues renombralo a .VIR !!!



y el ELISTARA te lo descargas en cualquier carpeta, lo pruebas, respondes que NO a las preguntas, ya que son opcionales, y cuando aparezca la pantalla principal, con el logo de SATINFO, le das a EXPLORAR



y tras salir nos posteas el resultado, con un copiar y pegar del contenido de c:\infosat.txt



saludos



ms, 9-05-2008

Avatar de Usuario
nanowason
Mensajes: 4
Registrado: 27 Abr 2008, 06:16
Ubicación: En algun Lugar siniestro en BogoThrash

Re: Computador loco e infectado

Mensaje por nanowason » 09 May 2008, 06:52

Cambie la extencion a del VOICE.EXE a .VIR y siguio igual de grande, lo comprimi y quedo en 40Mb y tampoco me lo dejo enviar. Muchas gracias, lo que me boto el ELISARA fue lo siguiente:



Thu May 08 23:06:27 2008

EliStartPage v16.24 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\GameSpy Arcade\Services\_common\PORTRAITLOADER.DLL --> Eliminado, GameSpyArcade

C:\Archivos de programa\Microsoft Office\Office12\MSPJEVTS.DLL --> Eliminado, RemoteAdmin(lmiinit)

C:\Archivos de programa\Mobile Master\MMADMIN.DLL --> Eliminado, DownLoader.VF

C:\Documents and Settings\Windows xp\Escritorio\Setool2lite V1.11\SETOOL2LIB_LT.DLL --> Eliminado, Spy.Delf.CB

C:\GTK\bin\GTK-QUERY-IMMODULES-2.0.EXE --> Eliminado, AutoRun.IQ



Nº Total de Directorios: 9964

Nº Total de Ficheros: 100012

Nº de Ficheros Analizados: 26098

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



Thu May 08 23:20:14 2008

EliStartPage v16.24 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 984

Nº Total de Ficheros: 17296

Nº de Ficheros Analizados: 251

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0
Hey maniaco cuida tus espaldas, porque estamos aquí para azotarte!!!!
Únete a la MARCHA ARMADA DEL METAL, METAL ARMY MARCH!!!!!
WITCTRAP (COL)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Computador loco e infectado

Mensaje por msc hotline sat » 09 May 2008, 06:58

Muy Bien !



Pues si ya has renombrado a .VIR el VOICE y elimnado estos malwares, reinicia y dinos si persiste alguna anomalia o ya se han solucionado, para obrar en consecuencia, gracias



saludos



ms, 9-05-2008

Avatar de Usuario
nanowason
Mensajes: 4
Registrado: 27 Abr 2008, 06:16
Ubicación: En algun Lugar siniestro en BogoThrash

Re: Computador loco e infectado

Mensaje por nanowason » 09 May 2008, 15:13

Muchas gracias por tu ayuda, el computador quedo de nuevo "volando" y al parecer no hay problema. Solo por curiosidad, para que se le cambia la extensión de .exe a .vir?? Gracias.
Hey maniaco cuida tus espaldas, porque estamos aquí para azotarte!!!!
Únete a la MARCHA ARMADA DEL METAL, METAL ARMY MARCH!!!!!
WITCTRAP (COL)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Computador loco e infectado

Mensaje por msc hotline sat » 09 May 2008, 16:13

Para que al no ser extension asignada a ser ejecutable, al reiniciar ya no podrá ser lanzada, y asi evitar procesar el virus si lo fuera.



Y si no lo es, tras analizarla o comprobar que hace falta para algo, se vuelve a renombrar a su extension original y listos, cosa que si se borrara ya se perdería...



Y por otro lado, en nuestras utilidades consideramos la extension .VIR como de ficheros a escanear, por lo que siguen siendo escaneados y en su caso, una vez conocidos, eliminados si procede.



Y ya dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9-05-2008

Responder

Volver a “Foro Virus - Cuentanos tu problema”