No funciona el controlador EPSON R270 (SOLUCIONADO)

[chur]

El controlador de la impresora no funciona correctamente, cosas que he probado sin exito:

- Desinstalar la impresora y los drivers y volver a instalarla.
- Actualizar con los ultimos drivers del fabricante.
- Reparar Windows XP.

En otro ordenador la impresora funciona correctamente. Descarto que sea un problema de la impresora.
¿Alguna sugerencia?

Muchas Gracias
Chur

[msc hotline sat]

Supongo que debe ser a traves de USB, seguro que es USB2 ???



Si ya es asi, mira de cambiar el cable y cambiar de port...



y nos cuentas el resultado, gracias



saludos



ms, 23-05-2008

[chur]

La conexión es USB, cambié el cable pero la mpresora sigue sin funcionar correctamente.

Cuando la impresora dejo de funcionar bien, curiosamente algunos archivos del pc cambiaron el color de su titulo a azul.

Alguna sugerencia??
Gracias
Chur

[msc hotline sat]

Por supuesto que es USB, pero te pedíamos que confirmaras que el ordenador tuviera USB 2.0 , pues si solo es USB 1.0 no te va a funcionar bien...

y por si en lugar de hardware fuera algun malware que incordiara, lanza este AV ONLINE y posteanos el resultado:

Kaspersky Security Scan

NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.


saludos

ms, 26-05-2008

[chur]

Ah, no sé como verificiar si es USB 1 o 2 ... :cry:



Bueno aqui dejo el análisis del antivirus que me recomendaste.

Gracias



KASPERSKY ONLINE SCANNER INFORME

lunes, 26 de mayo de 2008 18:15:09

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 26/05/2008

Registros en la base antivirus: 714082





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\



Estadísticas

Número de objeros analizados 86887

Virus encontrados 8

Objetos infectados 19 / 0

Objetos sospechosos 0

Duración del análisis 01:26:40



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDALRT.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDCON.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDDBG.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDFW.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDIDS.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSYS.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPPolicy.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPStart.log Object is locked saltado



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPStop.log Object is locked saltado



C:\Archivos de programa\Elis\ELISTARA.AI%D8EB%D8%D8H.EXE Infectados: Trojan-Downloader.Win32.IstBar.sy saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Historial\History.IE5\MSHist012008052620080527\index.dat Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Temp\hpodvd09.log Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Temp\~DF32E6.tmp Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Temp\~DF9199.tmp Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Temp\~DFC8BD.tmp Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Temp\~DFC8E3.tmp Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Temp\~WRD0905.doc Object is locked saltado



C:\Documents and Settings\Jorge\Configuración local\Temp\~WRS0000.tmp Object is locked saltado



C:\Documents and Settings\Jorge\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Jorge\Datos de programa\Microsoft\Plantillas\Normal.dot Object is locked saltado



C:\Documents and Settings\Jorge\Mis documentos\Jorge\Marketing\AA - Consultora de Marketing\Clientes\Tienda de Mascotas\Proyecto Franquicias\Manuales\TDM - Manual Operativo v03.doc Object is locked saltado



C:\Documents and Settings\Jorge\Mis documentos\Jorge\Marketing\AA - Consultora de Marketing\Clientes\Tienda de Mascotas\Proyecto Franquicias\Manuales\~WRL0534.tmp Object is locked saltado



C:\Documents and Settings\Jorge\Mis documentos\Jorge\Marketing\AA - Consultora de Marketing\Clientes\Tienda de Mascotas\Proyecto Franquicias\Manuales\~WRL2585.tmp Object is locked saltado



C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 2\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado



C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 3555\ARGENMU 2\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado



C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 3555\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado



C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\Instaladores _ MU\ARGENMU2.exe/ARGENMU 2/wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado



C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\Instaladores _ MU\ARGENMU2.exe RAR: infectado - 1 saltado



C:\Documents and Settings\Jorge\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Jorge\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\BUANC12R\r[1].exe Infectados: Trojan.Win32.Pakes.bqt saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\D3JUFUD3\ircbot[1].htm Infectados: Backdoor.Win32.IRCBot.agg saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{2DB6D299-46E4-4E64-B697-B7D4CEA06A26}\RP4\A0000032.rbf Infectados: Trojan.Win32.Patched.af saltado



C:\System Volume Information\_restore{2DB6D299-46E4-4E64-B697-B7D4CEA06A26}\RP48\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\retadpu2000352.exe Infectados: Trojan-Downloader.Win32.Agent.koo saltado



C:\WINDOWS\S8262A8A1.tmp Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\clnpcvie.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\sam Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\security Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado



C:\WINDOWS\system32\frwardxk.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado



C:\WINDOWS\system32\ggsdvnda.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado



C:\WINDOWS\system32\gxkpyxym.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\ksys.sys Infectados: Rootkit.Win32.Agent.eb saltado



C:\WINDOWS\system32\NeroCheck.exe Infectados: Trojan.Win32.Patched.af saltado



C:\WINDOWS\system32\qbbgsqcm.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado



C:\WINDOWS\system32\tbuqfbwn.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\system32\xwwlsxfs.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

A la vista de que tienes muchos malwares, empieza probando el ELISTARA y el ELITRIIP, por si ya controlaran alguno de estos:

C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 2\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 3555\ARGENMU 2\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 3555\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\Instaladores _ MU\ARGENMU2.exe/ARGENMU 2/wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\Instaladores _ MU\ARGENMU2.exe RAR: infectado - 1 saltado
C:\WINDOWS\retadpu2000352.exe Infectados: Trojan-Downloader.Win32.Agent.koo saltado
C:\WINDOWS\system32\clnpcvie.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\frwardxk.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\ggsdvnda.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\gxkpyxym.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\ksys.sys Infectados: Rootkit.Win32.Agent.eb saltado
C:\WINDOWS\system32\NeroCheck.exe Infectados: Trojan.Win32.Patched.af saltado
C:\WINDOWS\system32\qbbgsqcm.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\tbuqfbwn.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\xwwlsxfs.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y estos que estan en el CONTENT.IE5 (carpeta temporal de internet), ya los borrará el ELISTARA (acepta cuando pregunte si quieres eliminar temporales de internet)

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\BUANC12R\r[1].exe Infectados: Trojan.Win32.Pakes.bqt saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\D3JUFUD3\ircbot[1].htm Infectados: Backdoor.Win32.IRCBot.agg saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

aparte este del RESTORE, que no afectaría salvo que restauraras a un punto anterior, lo dejamos a ver si con lo que haremos para los otros, se elimina con nuestras utilidades:

C:\System Volume Information\_restore{2DB6D299-46E4-4E64-B697-B7D4CEA06A26}\RP4\A0000032.rbf Infectados: Trojan.Win32.Patched.af saltado



Tras ello vuelve a pasar el AV ONLINE que ya pasaste, y veremos los que necesitamos nos envies muestra para analizar por no estar aun conrolados en dichas utilidades

saludos

ms, 27-05-2008

[chur]

Bien, siguiendo las instrucciones les dejo el log de Elistara y Elitriip, tambien el segundo analisis del AVOnline posterior alos elitripp y elistara.
Gracias
Chur


Mon May 12 14:25:14 2008
EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Mon May 12 14:26:53 2008
EliStartPage v16.25 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5445
Nº Total de Ficheros: 77534
Nº de Ficheros Analizados: 14795
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon May 12 14:51:14 2008
EliTriIP v4.69 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

Mon May 12 14:51:15 2008
EliTriIP v4.69 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5445
Nº Total de Ficheros: 77537
Nº de Ficheros Analizados: 13526
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue May 27 10:27:23 2008
EliStartPage v16.35 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 26 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue May 27 10:29:38 2008
EliStartPage v16.35 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 26 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5804
Nº Total de Ficheros: 78343
Nº de Ficheros Analizados: 15811
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue May 27 10:48:40 2008
EliTriIP v4.73 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Tue May 27 10:48:43 2008
EliTriIP v4.73 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5808
Nº Total de Ficheros: 78410
Nº de Ficheros Analizados: 14549
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


AVONLINE:

martes, 27 de mayo de 2008 14:43:56
Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 27/05/2008
Registros en la base antivirus: 714558


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\

Estadísticas
Número de objeros analizados 94731
Virus encontrados 8
Objetos infectados 19 / 0
Objetos sospechosos 0
Duración del análisis 01:49:53

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDALRT.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDCON.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDDBG.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDFW.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDIDS.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSYS.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPPolicy.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPStart.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPStop.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked saltado
C:\Documents and Settings\Jorge\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Jorge\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Jorge\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Jorge\Configuración local\Datos de programa\Microsoft\Windows Media\11.0\WMSDKNSD.XML Object is locked saltado
C:\Documents and Settings\Jorge\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Jorge\Configuración local\Historial\History.IE5\MSHist012008052720080528\index.dat Object is locked saltado
C:\Documents and Settings\Jorge\Configuración local\Temp\hpodvd09.log Object is locked saltado
C:\Documents and Settings\Jorge\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Jorge\Mis documentos\Jorge\Proyecto Bentur\Plan de negocios\Precios.xls Object is locked saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 2\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 3555\ARGENMU 2\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 3555\wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\Instaladores _ MU\ARGENMU2.exe/ARGENMU 2/wsock32.dll Infectados: Trojan-PSW.Win32.OnLineGames.dzw saltado
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\Instaladores _ MU\ARGENMU2.exe RAR: infectado - 1 saltado
C:\Documents and Settings\Jorge\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Jorge\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\BUANC12R\r[1].exe Infectados: Trojan.Win32.Pakes.bqt saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\D3JUFUD3\ircbot[1].htm Infectados: Backdoor.Win32.IRCBot.agg saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\RECYCLER\S-1-5-21-436374069-1637723038-725345543-1003\Dc1.EXE Infectados: Trojan-Downloader.Win32.IstBar.sy saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{2DB6D299-46E4-4E64-B697-B7D4CEA06A26}\RP4\A0000032.rbf Infectados: Trojan.Win32.Patched.af saltado
C:\System Volume Information\_restore{2DB6D299-46E4-4E64-B697-B7D4CEA06A26}\RP50\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\retadpu2000352.exe Infectados: Trojan-Downloader.Win32.Agent.koo saltado
C:\WINDOWS\S8262A8A1.tmp Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{296C4AD2-0EDC-4BAF-A89F-43C796AC2B9E}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\clnpcvie.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\sam Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\security Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado
C:\WINDOWS\system32\frwardxk.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\ggsdvnda.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\gxkpyxym.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\ksys.sys Infectados: Rootkit.Win32.Agent.eb saltado
C:\WINDOWS\system32\NeroCheck.exe Infectados: Trojan.Win32.Patched.af saltado
C:\WINDOWS\system32\qbbgsqcm.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\tbuqfbwn.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\system32\xwwlsxfs.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

[msc hotline sat]

Pues primero lanza el ELITEMPO para eliminar los del CONTENT.IE5:
http://www.zonavirus.com/descargas/elitempo.asp
y luego vacia la papelera.


A continuacion envianos los siguientes ficheros para analizar:

C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\ARGENMU 2\wsock32.dll
C:\Documents and Settings\Jorge\Mis documentos\Mis carpetas\Nahuel el Drago\ARGENMU 2\Instaladores _ MU\ARGENMU2.exe
C:\WINDOWS\retadpu2000352.exe
C:\WINDOWS\system32\clnpcvie.exe
C:\WINDOWS\system32\ksys.sys
C:\WINDOWS\system32\NeroCheck.exe

ya que todos estos otros parecen ser igualmente Trojan-Dropper.Win32.Agent.bmk, como el clnpcvie.exe, y contyrolando aquel ya los controlaremos:

C:\WINDOWS\system32\frwardxk.exe
C:\WINDOWS\system32\ggsdvnda.exe
C:\WINDOWS\system32\gxkpyxym.exe
C:\WINDOWS\system32\qbbgsqcm.exe
C:\WINDOWS\system32\tbuqfbwn.exe
C:\WINDOWS\system32\xwwlsxfs.exe

Para ello:
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 28-05-2008

[chur]

Los 2 primeros archivos corresponden a un juego de mi hijo, uno de ellos es el instalador que pesa 131MB y el otro desapareció.



Ya fueron enviadas las otras 4 muestras por mail.



Muchas gracias

Chur

[msc hotline sat]

Pues el lunes, cuando volvamos al trabajo en SATINFO, analizaremos las muestras que nos lleguen e implementaremos su control y eliminacion, si procede, en nuevas versiones de nuestras utiulidaes, de lo cual informaremos



saludos



ms, 31-05-2008

[msc hotline sat]

Al haber hoy gran cantidad de muestras para analizar, y las suyas ser variadas en cuanto a familias de virus, hemos empezado por la que entendemos es mas compleja: el ROOTKIT contenido en el KSYS.SYS, cuyo control y eliminacion ya hemos implementado en el ELISTARA 16.41 de hoy:

http://www.zonavirus.com/descargas/elistara.asp

Mañana seguiremos monitorizando las demas.

saludos

ms, 2-06-2008

[msc hotline sat]

Pues acabamos de monitorizar todas las muestras enviadas, detectando en dos de ellas un dropper y un downloader que hemos añadido al ELISTARA de hoy 16.42, que podrás descargar a partir de las 19 h GMT y tras ello comentarnos el resultado, posteando el c:\infosat.txt
Pero el NEROCHECK.EXE no es un gusano ni troyano, sino un fichero del propio NERO modificado por un virus, el cual debe limpiarse con un antivirus que lo detecte, (casi todos), o bien sustituirse por el de otro ordenador con un Nero de igual version, o desinstalando y reinstalando dicho Nero.

Ver el analisis de Virus Total que ofrece sobre este fichero para ver los antivirus que lo controlan:

File NeroCheck.exe.RESOURCER received on 06.03.2008 11:21:17 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Result: 28/32 (87.5%)


Antivirus Version Last Update Result
AhnLab-V3 2008.5.30.1 2008.06.03 Win32/Duel.B
AntiVir 7.8.0.26 2008.06.03 W32/Patched.AF
Authentium 5.1.0.4 2008.06.02 W32/Resourcer.A
Avast 4.8.1195.0 2008.06.03 Win32:Patched-FK
AVG 7.5.0.516 2008.06.03 Win32/PEPatch
BitDefender 7.2 2008.06.03 Win32.Cuter.A
CAT-QuickHeal 9.50 2008.06.02 W32.Luder.C
ClamAV 0.92.1 2008.06.02 W32.Cuter
DrWeb 4.44.0.09170 2008.06.03 Trojan.Inject.351
eSafe 7.0.15.0 2008.06.02 -
eTrust-Vet 31.4.5844 2008.06.03 Win32/Resourcer.A
Ewido 4.0 2008.06.02 -
F-Prot 4.4.4.56 2008.06.02 W32/Resourcer.A
F-Secure 6.70.13260.0 2008.06.03 Trojan.Win32.Patched.af
Fortinet 3.14.0.0 2008.06.03 W32/Patched.AF
GData 2.0.7306.1023 2008.06.03 Trojan.Win32.Patched.af
Ikarus T3.1.1.26.0 2008.06.03 Trojan.Win32.Patched.af
Kaspersky 7.0.0.125 2008.06.03 Trojan.Win32.Patched.af
McAfee 5308 2008.06.02 W32/Resourcer
Microsoft 1.3604 2008.06.03 Virus:Win32/Resourcer.A
NOD32v2 3153 2008.06.03 Win32/Pecutex.A
Norman 5.80.02 2008.06.02 W32/Starter.BY
Panda 9.0.0.4 2008.06.02 W32/ZlFake.A
Prevx1 V2 2008.06.03 Malicious Software
Rising 20.47.11.00 2008.06.03 Virus.Win32.Agent.b
Sophos 4.29.0 2008.06.03 Troj/RunPatch-A
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 Trojan.Patchep!inf
TheHacker 6.2.92.332 2008.06.03 W32/Patched.af
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.02 Win32.Duel.H
Webwasher-Gateway 6.6.2 2008.06.03 Win32.Patched.AF
Additional information
File size: 163840 bytes
MD5...: b1b8f754a95a4925ac68b04de07a381d
SHA1..: 856ffcad5d6363a330bb2450a20cb394a4f66155
SHA256: 34b853a355f26d5df75bf1fc5ff0a0ba277fbc4233e96dc0b6aa284b6a260651
SHA512: 41749cac00e7b78f629ad52b733dcafb079a7384a983c8b2220ab25d4c599bb4
6b8159995037bf11fbdaa3b2cc664c6f99b75fbeafa347d3484b2012ca3dbde8
PEiD..: -
PEInfo: PE Structure information

saludos

ms, 3-06-2008


NOTA: Y otra vez que tenga que enviar muestras, hagalo segun indicamos en
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

pues estas las recibimos sin indicar el nick en el ASUNTO, y esta vez el fichero KSYS ha servido para buscarle, pero de lo contrario no se habría podido informar al respecto. (No se informa por e-mail sino sen el foro, para aprovechamiento de todos). ms.

[chur]

Estimados, les adjunto el log:



Tue Jun 03 22:08:37 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Jun 03 22:08:39 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5712

Nº Total de Ficheros: 97602

Nº de Ficheros Analizados: 18836

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jun 03 22:47:03 2008

EliStartPage v16.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 03 22:47:24 2008

EliStartPage v16.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\RETADPU2000352.EXE --> Eliminado, DownLoader.Homles.BQ

C:\WINDOWS\system32\CLNPCVIE.EXE --> Eliminado, FotoMoto(dropper)

C:\WINDOWS\system32\FRWARDXK.EXE --> Eliminado, FotoMoto(dropper)

C:\WINDOWS\system32\GGSDVNDA.EXE --> Eliminado, FotoMoto(dropper)

C:\WINDOWS\system32\GXKPYXYM.EXE --> Eliminado, FotoMoto(dropper)

C:\WINDOWS\system32\QBBGSQCM.EXE --> Eliminado, FotoMoto(dropper)

C:\WINDOWS\system32\TBUQFBWN.EXE --> Eliminado, FotoMoto(dropper)

C:\WINDOWS\system32\XWWLSXFS.EXE --> Eliminado, FotoMoto(dropper)



Nº Total de Directorios: 5708

Nº Total de Ficheros: 94229

Nº de Ficheros Analizados: 19950

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 8



Tema Nero: Desisntalé el programa y volví a instalarlo.



Espero sus comentarios y como siempre, muchas gracias!!



PD: Me sorprende que no hayan recibido mi mai con el nick como asunto porque lo he enviado como se indica en el instructivo. Quizás sea un problema de hotmail.

[msc hotline sat]

Bien, pues debió ser problema del correo, por suerte esta vez buscando Temas conteniendo KSYS , al ser singular (no hay mas) , pude contestarte.



He visto que del FOTOMOTO se han detectado y eliminado otros "compañeros" aparte de la muestra que enviaste, y que el DOwnloader tambien se ha eliminado.



Sobre el NEROCHECK.EXE, comprueba que el que ahora tengas instalado no contenga malware, subelo al VirusTotal y saldrás de dudas:



https://www.virustotal.com/es/



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 4-06-2008