Imposibilidad de re-instalar antivirus

[mastervoices]

[color=#000040][b]Estimados amigos, ante todo muchísimas gracias por ofrecer éste servicio.Les comento que mas que por entretenimiento, mi utilización de la PC es por cuestiones laborales, tengo 44 años,soy Locutor de Argentina. Con la Pc todo bien hasta que AVG(gratuito) me indicó la semana pasada renovarme a la nueva versión 8.0. Hecho el procedimiento me ha resultado imposible reinstalarlo.Cuando el instalador avanza ,justo antes de terminar, todo vuelve hacia atrás e indica error 0x80070005. Me tomé el trabajo de ingresar en la web de AVG para solucionar el error y tampoco dió resultado.Les confieso que hace una semana que estoy investigando sobre el tema y caí de ésta forma en vuestro foro viendo un tema de otro usuario muy similar. Seguí los mismos pasos de recomendación hecho por ustedes pero no obtengo solución. Estimo que no ha de tratarse de ningún virus ya que al pasar ELIBAGLA+ELITRIIP+ELISTARA nada fué detectado, usé también el Cleaner y el DC clean varias veces intentando borrar del reg todo vestigio antiguo que pudiera invalidar la reinstalación, pero sin solución.Finalmente restauré el sistema a fecha anterior a todo este conflicto y tampoco puedo instalar ningún antivirus ya que he probado con el nuevo AVG y también con el Avast con resultados negativos. Estoy totalmente desprotegido y sólo me quedó el Ad-Aware SE Professional que no es un antivirus. Me da la impresión de que todo ésto es simplemente alguna cuestión de mala desinstalación de residuos de de antivirus anteriores. Siempre ha sido mi intención esforzarme investigando antes que molestar a otros con mis problemas, pero francamente luego de 5 días de intentar todo lo posible (con mi pobre capacidad informática) decidí quitarles un poco de su valioso tiempo para pedirles ayuda, esperando la misma y aceptando si es que no es factible la misma, dándoles las gracias de antemano y quedando a su entera disposición desde mis posibilidades.

Un fuerte abrazo, y gracias por valorada ayuda.

Mastervoices.[/b][/color]

[lucl]

Pues prueba este online para que veamos que realmente estas limpio de virus y luego iremos viendo, nos pegas el log que te dara de resultado, gracias y saludos



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

[msc hotline sat]

Aparte de lo correctamente indicado por lucl, diganos si está usando VISTA, y si asi fuera, aunque no damos soprte a dicho sistema en este foro, mire que no le falten privilegios, pulse boton derecho sobre el fichero ejecutable y otorgue derechos de Administrador para su ejecución...



En cualquier caso, tras lanzar el AV ONLINE indicado en el post anterior, posteenos el informe resultante, gracias



saludos



ms, 19-05-2008

[mastervoices]

Amigos: muchas gracias aquí les dejo el informe Kaspersky en el cual aparece un virus y 3 infecciones ya los había detectado en otra oportunidad con Bitdefender y los creía eliminados: bajo los siguientes nombres:

Java.Trojan.Exploit.Bytverify1

Trojan.Exploit.Byteverify.AF1

Trojan.Bravesentry.U 1

-----------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME :

lunes, 19 de mayo de 2008 23:04:35

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 19/05/2008

Registros en la base antivirus: 701560



Configuración del análisis:

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Carpetas : C:\



Estadísticas:

Número de objeros analizados 71125

Virus encontrados 1

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 02:39:45



Bombre del objeto infectado Nombre del virus Última acción



C:\Archivos de programa\Windows Live\installer\Dashboard.cat Object is locked saltado

C:\Archivos de programa\Windows Live\installer\Dashboard.exe Object is locked saltado

C:\Archivos de programa\Windows Live\installer\DashboardLoc.dll Object is locked saltado

C:\Archivos de programa\Windows Live\installer\DashboardRes.dll Object is locked saltado

C:\Archivos de programa\Windows Live\installer\hc.thm Object is locked saltado

C:\Archivos de programa\Windows Live\installer\Microsoft.VC80.CRT.manifest Object is locked saltado

C:\Archivos de programa\Windows Live\installer\msvcr80.dll Object is locked saltado

C:\Archivos de programa\Windows Live\installer\SqmApi.dll Object is locked saltado

C:\Archivos de programa\Windows Live\installer\UXCore.dll Object is locked saltado

C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\G82GGEHO\0000000001_000000000000000559753[1].swf Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\G82GGEHO\eb5356fba3b4dbfb[1].swf Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\MSHist012008051920080520\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Cookies\index.dat Object is locked saltado

[color=#FF4000]C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7/Baaaaa.class Infectados: Trojan.Java.ClassLoader.ap saltado

C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7/VaaaaaaaBaa.class Infectados: Trojan.Java.ClassLoader.ap saltado

C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7 ZIP: infectado - 2 saltado [/color]

C:\Documents and Settings\Usuario\ntuser.dat Object is locked saltado

C:\Documents and Settings\Usuario\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{025AD808-BD89-45CA-BBF7-95A1A9338FEF}\RP241\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\X4b2Wfo+Z+BpTKQY9j42Ng== Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\CnxDslWz.log Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\ntuser.dat Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.



Bueno amigos nuevamente mil gracias por su atención y espero puedan encontrar la solución que yo no poseo.

Un fuerte abrazo:

Mastervoices.

[msc hotline sat]

Pues al parecer tiene dos ficheros y una class infectados por el mismo troyano: Trojan.Java.ClassLoader.ap



C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7/Baaaaa.class



C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7/VaaaaaaaBaa.class



C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7



Envienos para analizar estos dos ficheros :



C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7/Baaaaa.class



C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\6c120d5-4290f2a7/VaaaaaaaBaa.class



y tras analizarlos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-05-2008

[mastervoices]

[b]Estimado ms: Mi ignorancia en estos temas me lleva a hacer una pregunta idiota antes que una acción idiota: cuando Ud. me pide que le envíe los ficheros ¿ se refiere a que los envía a vuestro mail por adjunto? ya que no comprendo otra forma de enviar un archivo por este sistema de foro. En la carpeta citada ( [color=#FF0000]C:\Documents and Settings\Usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\21\[/color]) existen dos archivos con el mismo nombre uno es: [color=#FF0000]6c120d5-4290f2a7 (14 kb)[/color] y el otro: [color=#FF0000]6c120d5-4290f2a7.idx (1kb), [/color]ninguno de los dos indican [color=#FF0000]/Baaaaa.class ni /VaaaaaaaBaa.class[/color], estimo que dicha denominación ha de ser ocultada por el virus pero que sin duda deben ser esos dos. Por favor si es posible le agradecería que me indicara como es el asunto de enviarle estos dos ficheros. Disculpe Ud la supina ignorancia de ésta consulta que obedece a la intención de hacer las cosas correctamente como Ud me indica. Muchas gracias amigo.

Mastervoices [/b]

[msc hotline sat]

Sí, para enviarnos los ficheros sin que sean interceptados, siga las instrucciones indicadas en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 20-05-2008

[mastervoices]

[b]Estimado mc: He seguido todas las instrucciones para el envío de los archivos pero Googlemail me anula dicho envío con el siguiente informe:



[color=#FF0000] ----- Original message -----



Received: by 10.66.249.8 with SMTP id w8mr5588365ugh.75.1211292809817;

Tue, 20 May 2008 07:13:29 -0700 (PDT)

Received: by 10.66.224.3 with HTTP; Tue, 20 May 2008 07:13:29 -0700 (PDT)

Message-ID: <6ceb31260805200713p452950bfi7cb79881ec5c659@mail.gmail.com>

Date: Tue, 20 May 2008 11:13:29 -0300

From: Alberto <audioyvoces@gmail.com>

To: zonavirus@satinfo.es

Subject: Mastervoices

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_Part_18251_15328157.1211292809808"



------=_Part_18251_15328157.1211292809808

Content-Type: multipart/alternative;

boundary="----=_Part_18252_2581843.1211292809808"



------=_Part_18252_2581843.1211292809808

Content-Type: text/plain; charset=ISO-8859-1

Content-Transfer-Encoding: quoted-printable

Content-Disposition: inline



Las contrase=F1as de los zip est=E1n en min=FAscula.



----- Message truncated -----[/b][/color]

[msc hotline sat]

Sí, el Gmail tiene limitaciones en cuanto a envio de ficheros:



http://labnol.blogspot.com/2005/12/cheat-gmail-antivirus-scanner-attach.html



Los EXE que tengas que enviar, renombralos primero a .VIR, y luego los empaquetas como te indicamos en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y si no lo haces en RAR, renombra el fichero resultante a .RAR , porque los ZIP tampoco los deja enviar.



saludos



ms, 20-05-2008

[flacoroo]

asi es mi estimado locutor...el gmail te bloquea ese tipo de envio pero el yahoo no....asi que si tienes una cuenta en yahoo enviala por ahi y si debe crearse una.....esperamos las muestras....

[mastervoices]

[b][u]Amigo flacoroo[/u]: Usé mis dos cuentas de yahoo una [color=#FF0000].com.ar[/color] y la otra [color=#FF0000].es[/color] pero ninguna acepta el envío, Mcafee está muy alerta.. ¿y ahora? jeje.."de tanto aprender a levantarse un día muchos comprueban que es mas fácil vivir en el suelo".

Fuerte abrazo.[/b]

[msc hotline sat]

Desactive el antivirus para empaquetarlas con password VIRUS, como se le indica en https://foros.zonavirus.com/viewtopic.php?f=5&t=14253 y asi ni el McAfee ni ningun otro lo podrán detectar !!!



Ya hace 15 años que enviamos continuamente a McAfee cientos de muestras empaquetadas con password a tal fin.



Recuerde que para empaquetar con password se hace desde opciones avanzadas, y si tiene problema para desactivar el antivirus, arranque en modo seguro para empaquetar como le indicamos, asi no estará el antivirus residente, y luego arrancando normal, nos envia el ZIP o RAR cifrado para analizar



saludos



ms, 20-05-2008

[mastervoices]

[b]Entro en modo seguro a pesar de que NO TENGO ANTIVIRUS, hasta el firewall de windows desactivado.Abro una nueva carpeta zip, en ella meto el maldito archivo, dentro de la carpeta zip voy a archivo-agregar contraseña. Hecho.Pruebo abrir o extraer el archivo y me pide la contraseña. FUNCIONA, sin embargo el mail de yahoo sigue diciendo ésto:[/b]

Hi.

[color=#FF0000]This is the qmail-send program at yahoo.com.

I'm afraid I wasn't able to deliver your message to the following

addresses.

This is a permanent error; I've given up. Sorry it didn't work out.



<zonavirus@satinfo.es>:

80.81.107.142 failed after I sent the message.

Remote host said: 550 Denied by policy.



--- Below this line is a copy of the message.



Return-Path: <manuargentino2000@yahoo.com.ar>

Received: (qmail 66693 invoked by uid 60001); 20 May 2008 18:02:35

-0000

DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;

s=s1024; d=yahoo.com.ar;



h=X-YMail-OSG:Received:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding:Message-ID;



b=pU/B18qgEZrPiFzIaWf2KaP5/I3oUoMBPavPSpzm7fiIk2Wi3NkT9vqkwVLhnwhSIU2AZ/PnoRMcPEAL6ntAkbujZL5oXrqjBSDKAOwO0QqkBLgy5iMTOoTHiBgkROJSPXt3a6kapJ+7pg4MJgI/DE7WvjBtjFNee57JihOzLYo=;

X-YMail-OSG:

1qy0bqIVM1kk9dySxmoUpcT5PvXvA7joq3hBLrsA.zMEoRHEu3DryzBUfis_U1TUMnd66YT3FNnYffLHxdJxsmgC6Fs1Zd297yBZYmKkmkHci6LaiuPHPusm18I-

Received: from [190.138.154.134] by web65412.mail.ac4.yahoo.com via

HTTP; Tue, 20 May 2008 15:02:34 ART

Date: Tue, 20 May 2008 15:02:34 -0300 (ART)

From: manu <manuargentino2000@yahoo.com.ar>

Subject: Mastervoices

To: zonavirus@satinfo.es

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="0-1488012744-1211306554=:65279"

Content-Transfer-Encoding: 8bit

Message-ID: <293320.65279.qm@web65412.mail.ac4.yahoo.com>



--0-1488012744-1211306554=:65279

Content-Type: multipart/alternative;

boundary="0-1870655694-1211306554=:65279"



--0-1870655694-1211306554=:65279

Content-Type: text/plain; charset=iso-8859-1

Content-Transfer-Encoding: 8bit[/color]





Evidentemente hay algo que no funciona además de mi ignorancia.

Fuerte abrazo.

Mastervoices

[flacoroo]

entonces create una cuenta entrando al yahoo de México para que sea com.mx y desde ahi la puedas enviar, pero raro yo comprimo las muestras con winzip y le pongo la contraseña virus y la envio y nunca son rechazadas....ahora como dice Msc a los archivos copialos a una carpeta cambiale la extension por vir y listo ya no son ejecutables los archivospero aun asi las comprime y le pone la contraseña virus......ejemplo: prueba.dll cambia prueba.vir(esto se hace con solo renombrar el archivo)

[mastervoices]

[b]Amigos...estoy desconcertado, hice todo lo indicado, he creado una cuenta en yahoomex, y sigue denegando el envío al detectar virus, le cambié la extensión a los archivos y los volví a meter en zip con password y nada...tampoco los acepta para enviar en adjunto, finalmente los guardé como block de notas (.txt) dentro de un zip con contraseña y...nada.

Creo que este envío por mail ha fracasado, pienso que quizás por más que cambie el mail podría ser que el server de ip que uds utilizan sea vulnerable pero no el que tenemos aquí en Arg y la empresa Telefónica (que siempre es la misma que lanza mis cuentas de correo por mas que utilice cuentas de otros paises, detecta todo.) No sé quizás esté afirmando una huevada...lo cierto es que algo está fracasando.

Ojalá puedan darme alguna otra opción que no sea enviarles los virus por mail.

¿no se pueden eliminar manualmente?, de ser así, eso me permitiría volver a instalar un antivirus?.

fuerte abrazo.

Mastervoices[/b]

[flacoroo]

el problema no es borrar las claves o archivos con virus, si no analizarlos para que de esa manera puedo ver uno de donde viene el problema, que afecta y como eliminarlo de tal manera que no te afecte a ti...como limpiando todo bien sin dejar rastros y sobreescribiendo los registros que daño....



ya que dices que comprimistes y le pusistes la contraseña a los archivos que te pedimos por que no lo guardas en una pendrives (usb) y lo mandas por otra computadora como un ciber-cafe....