Pc no enciende con cable de red conectado (solucionado)

[cmc]

Hola chicos aquí estoy de nuevo con un gran problema que paso a comentar, So XP sp2, Tipo de procesador AMD Athlon-PECM, 1100 MHz , Tarjeta de Red VIA VT6105 Rhine III Fast Ethernet Adapter, Placa madre M810LMR, la situacion es que cuando enciendo el pc con el cable de red conectado el pc no enciende, intenta el arranque por 2 segundos y se apaga, si desconecto del pc el cable de red arranca sin problemas, y luego que esta funcionando conecto la toma de red y todo sigue normal. Cambié el cable de red y nada, tengo un router con otro pc conectado y sin problemas, tambien cambié el cable a otra toma y el problema persiste. ¿ será algún virus o malware?. Lo unico que he hecho antes de que apreciera esta falla fué cambiar el monitor TRC por un plasma Flatron de 19 pulg, también antes pasé antivirus (avg free) encontrando dos amenazas las que eliminé. También hace un tiempo encuentro que el pc va muy lento, a pesar de que mi memoria ram es poca, 256 mega. este problema me tiene bastante preocupado e intrigado. De todos modos por si sirve a quí les pego mi log, tengo dudas con 011, 021,023 (installdriver)(remotepacket), bueno en realidad ustedes son los expertos y diran a que debo hacerle fix.







Logfile of HijackThis v1.99.1

Scan saved at 14:26:46, on 01-07-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\AVG\AVG8\avgrsx.exe

C:\ARCHIV~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\ARCHIV~1\AVG\AVG8\avgtray.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Privado\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Archivos de programa\Yahoo!\Common\yiesrvce1.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - D:\Save Flash\SaveFlash.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll (HKCU)

O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll (HKCU)

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

[msc hotline sat]

Pues nos sorprende el nombre de este fichero:



C:\ARCHIV~1\AVG\AVG8\avgemc.exe



Voy a ver si es lícito con el Google...



Pues parece que es de la nueva gama de la serie 8 del AVG...:



http://www.castlecops.com/s324-AVGEMC_exe.html



Pues aparte de llo no se ve nada anormal



Lance este AV ONLINE y nos postea el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.



saludos



ms, 1 de Julio de 2008

[flacoroo]

solo elimina esta entrada con fix de HijackThis



O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)



excepto por esto que tengo duda: que no apunta a un archivo o biblioteca....

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\



nos dices como te fue......

[msc hotline sat]

La primera, al ser un servicio igual no puede, pero por probar...



y la otra está cortada, no define ninguna DLL, podrá borrarla, aunque no parece que sirva para nada tal como está...



saludos



ms, 1 de Julio de 2008

[cmc]

Hola chicos buenos, gracias por la ayuda, bueno ya efectué todo lo que me recomiendan, le di fix a: O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" , también a :O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\. Luego me fuí a "SOLO TESTEO AV ONLINE" y kaspersky me arrojó el siguiente log:



KASPERSKY ONLINE SCANNER INFORME

martes, 01 de julio de 2008 21:05:36

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 1/07/2008

Registros en la base antivirus: 804264

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\



Estadísticas:

Número de objeros analizados: 83084

Virus encontrados: 2

Objetos infectados: 12 / 0

Objetos sospechosos: 0

Duración del análisis: 04:27:25



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Documents and Settings\All Users\Datos de programa\avg8\emc\Log\emc.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgsched.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Privado\Configuración local\Archivos temporales de Internet\Content.IE5\8L2R45UV\oooo[1].jpg Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\Documents and Settings\Privado\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Privado\Configuración local\Archivos temporales de Internet\Content.IE5\ZU69106L\oooo[1].jpg Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\Documents and Settings\Privado\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked saltado

C:\Documents and Settings\Privado\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked saltado

C:\Documents and Settings\Privado\Configuración local\Datos de programa\Microsoft\Messenger\demo19842001@hotmail.com\ObjectStore\CustomEmoticons\hCaGe1cX54HdNUQxogR5BQOu2FRQ=.dt2 Infectados: Trojan-Clicker.HTML.IFrame.rp saltado

C:\Documents and Settings\Privado\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Privado\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Privado\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Privado\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Privado\ntuser.dat Object is locked saltado

C:\Documents and Settings\Privado\ntuser.dat.LOG Object is locked saltado

C:\ds.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011158.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011175.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011210.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011226.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011239.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011249.com Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011284.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0013357.exe Object is locked saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\WINDOWS\wksvcsc.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP45\A0009978.exe Object is locked saltado



Análisis completado.



Fué un poco lento el scaner ya que seguí utilizando el pc. Espero que esto arroje algunas luces sobre mi problema y de no ser así, al menos sé que tengo 2 virus y 12 archivos infectados. Mientras se efectuaba el scaner on line, el spyboat residente me avisó que había detectado un virus dos veces, asi que le di healt a uno y valut al otro, los virus estaban en C:\system volume information\restore ( es el ultimo en el log de kaspersky), uno en C y el otro en D pero con el mismo nombre.



Ahora apagaré el pc y mañana veré que sucede cuando la arranque de nuevo. A ver que pasó con los dos fix que le di al Hitjack.



Gracias de antemano, estaré atento a vuestras instrucciones..

[msc hotline sat]

Muy bien !



Pues ya vemos de entrada:



Virus encontrados: 2

Objetos infectados: 12 / 0



uno es este Backdoor.Win32.IRCBOT.dsf y el otro es el Trojan-Clicker.HTML.IFrame.rp



del primero hay 11, 8 en el Restore y 3 activos en:



C:\Documents and Settings\Privado\Configuración local\Archivos temporales de Internet\Content.IE5\8L2R45UV\oooo[1].jpg



C:\WINDOWS\wksvcsc.exe



C:\ds.exe



y del otro hay este:



C:\Documents and Settings\Privado\Configuración local\Datos de programa\Microsoft\Messenger\demo19842001@hotmail.com\ObjectStore\CustomEmoticons\hCaGe1cX54HdNUQxogR5BQOu2FRQ=.dt2



Envienos muestras para analizar de estos 4 ficheros e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



y estos otros en system volume information_restore, solo afectarían cuando se restaurase a un punto anterior, peroahpra no afectan, aunque una vez lo controlemos, tambien lo eliminaremos de allí:



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011158.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011175.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011210.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011226.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011239.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011249.com Infectados: Backdoor.Win32.IRCBot.dsf saltado

C:\System Volume Information\_restore{222C90F0-C5E3-4B88-8911-AB98E085843D}\RP46\A0011284.exe Infectados: Backdoor.Win32.IRCBot.dsf saltado





De todas formas puede que este IRCBOT.dsf ya lo estemos controlando como SDBOT con el ELITRIIP, segun he visto en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=25283&hilit=Win32.IRCBOT.dsf



Descarga el ELITRIIP y pruebalo:


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 2 de Julio de 2008

[cmc]

hola amigos, hoy al arrancar el pc con el cable de red conectado no se apagó el pc, hip hip hurra, felicitaciones a todo el equipo de zona virus y sus colaboradores. Le envié las muestras solicitadas, el antivirus de yahoo no ne dejó enviarlas así que las envié por hotmail, luego descargué ElitriIp y detectó varios virus los cuales eliminó. No detectó el archivo hCaGe1....tampoco el oooo[1].jpg. Aqui les dejo el log que me dejó. Los que dice que estaban en el escritorio yo los tenía alli para comprimirlos y encriptarlos para su envío. También antes de iniciar la exploaracion el EliTriIp me mostró una ventana diciendo "Eliminado gusano, Radex, SDbot.



Wed Jul 02 13:07:53 2008

EliTriIP v4.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\ds.exe --> Eliminado, SdBot.ERK

C:\Archivos de programa\Grisoft\AVG 7.5 Build 510\avg75avwt_516a1225.exe --> Eliminado, Bifrose(dropper)

C:\Documents and Settings\Privado\Escritorio\ds.exe --> Eliminado, SdBot.ERK

C:\Documents and Settings\Privado\Escritorio\wksvcsc.exe --> Eliminado, SdBot.ERK



Nº Total de Directorios: 4150

Nº Total de Ficheros: 50160

Nº de Ficheros Analizados: 14245

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Wed Jul 02 13:34:03 2008

EliTriIP v4.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 1157

Nº Total de Ficheros: 26853

Nº de Ficheros Analizados: 5333

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





gracias chicos esoty atento a sus instrucciones, saludos

[flacoroo]

pues el primer problema ya esta resuelto......y ahora con el envio de muestras, se actualizaran las herramientas y ya se te dira para que las descargue y limpies tu compu......

[msc hotline sat]

Efectivamente, mañana, en cuanto los recibamos en SATINFO, los analizaremos y procederemos



saludos



ms, 2 de Julio de 2008

[msc hotline sat]

Ya controlado el DS.EXE y wksvcsc con el actual ELITRIIP



Descargalo y compruebalo, y posteanos el contenido de c:\infosat.txt, gracias



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



saludos



ms, 3 de Julio de 2008

[cmc]

Ok, descargué ElitriIp 9.2 y este es el resultado:



Thu Jul 03 10:54:10 2008

EliTriIP v4.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4151

Nº Total de Ficheros: 50141

Nº de Ficheros Analizados: 15092

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 03 11:17:37 2008

EliTriIP v4.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 1157

Nº Total de Ficheros: 26853

Nº de Ficheros Analizados: 5499

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Parece que es EliTriIp anterior eliminó todas las infecciones.

saludos

[msc hotline sat]

Efectivamente:



EliTriIP v4.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\ds.exe --> Eliminado, SdBot.ERK

C:\Archivos de programa\Grisoft\AVG 7.5 Build 510\avg75avwt_516a1225.exe --> Eliminado, Bifrose(dropper)

C:\Documents and Settings\Privado\Escritorio\ds.exe --> Eliminado, SdBot.ERK

C:\Documents and Settings\Privado\Escritorio\wksvcsc.exe --> Eliminado, SdBot.ERK





pues ya eliminados los malwares, dinos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 3 de Julio de 2008

[cmc]

Ok chicos buenos, ya no hay problemas de malware ni de conexion del cable de red, demos por cerrado el tema y muchas gracias por vuestra valiosa ayuda.



saludos