Virus W32LeChuck No lo puedo sacar... (SOLUCIONADO)

[chiru]

Hola amigos de zona virus, aqui estoy otra vez con otro problema, :oops:

Alguien acepto en mi pc por via msn creo al famoso pirata idiota ese W32LeChuck, reinstale el windows pero sigue alli, ya que intente formatear mi disco duro, pero no pude, espero me ayuden por favor a eliminar a ese maldito :twisted: .

Desde ya muchas Gracias. Saludos, Chiru

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt



[url=http://www.zonavirus.com/datos/descargas/92/elirestr.asp]Descargar Elirestr[/url]

[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[msc hotline sat]

Con el buscador del foro hubieras visto otros Temas en los que se solucionaba con el ELISTARA:


[quote]Tue Oct 09 23:07:31 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\LECHUCK.EXE --> Eliminado [/quote]

A ver si lo usamos...



[img]http://www.satinfo.es/zonavirus/buscarforo.jpg[/img]





saludos



ms, 15-07-2008

[chiru]

aqui va el informe, aunque el elitriip no me dejo ejecutarlo, me sale que no es una aplicacion valida para win32, o algo asi. aqui va lo del eslistara:

Tue Jul 15 12:22:17 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Tue Jul 15 12:25:27 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch



Nº Total de Directorios: 2983

Nº Total de Ficheros: 28102

Nº de Ficheros Analizados: 10974

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Este es otro ! :wink:



Voy a ver si baja bien el ELITRIIP y si es asi te lo digo y lo descargas de nuevo y lo pruebas



Y sino, lo subiré de nuevo por si se ha dañado.



Te informo a continuacion:



SE DESCARGA la 4.97 y funciona perfectamente. Descargalo de nuevo y pruebalo.



saludos



ms, 15-07-2008

[flacoroo]

cuando dice que un programa no es una aplicacion valida para win32 es que posiblemente tengas residuos de un bagle.....



asi que pasa este programita:



[url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url]



y si sigues teniendo problemas...bajate este programa



[url=http://www.zonavirus.com/descargas/sproces.asp]SPROCES (herramienta de investigación)[/url]

y posteanos el C:SPROCLOG.TXT que te generará el SPROCES

[msc hotline sat]

Sí, pero dice que con el ELISTARA no le pasa, por ello pienso que puede haberse corrompido por algo la otra aplicacion, pero de todas fromas, buen apunte flacoroo, si no funcionara el que descarga de nuevo, muy probable que pudiera haberlo.



Ya nos contarás



saludos



ms, 15-07-2008

[chiru]

descargue el elitriip y esto arrojo_:



Tue Jul 15 13:47:08 2008

EliTriIP v4.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Jul 15 13:47:16 2008

EliTriIP v4.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2938

Nº Total de Ficheros: 29786

Nº de Ficheros Analizados: 10841

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



de antemano gracias

[chiru]

descargue el elitriip y esto arrojo_:



Tue Jul 15 13:47:08 2008

EliTriIP v4.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Jul 15 13:47:16 2008

EliTriIP v4.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2938

Nº Total de Ficheros: 29786

Nº de Ficheros Analizados: 10841

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



de antemano gracias

[flacoroo]

no nos has dicho si sugues teniendo problemas....si es asi bajate este programa:

[url=http://www.zonavirus.com/descargas/sproces.asp]SPROCES (herramienta de investigación)[/url] y posteanos el C:SPROCLOG.TXT que te generará el SPROCES

[chiru]

aqui esta:



Tue Jul 15 14:17:31 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\PAVSRV51.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\AVENGINE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\PSIMSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\PCTSPK.EXE

C:\ARCHIVOS DE PROGRAMA\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\APVXDWIN.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\WEBPROXY.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARES DESTINY\ARESDESTINY.EXE

C:\DOCUMENTS AND SETTINGS\CHIRU\ESCRITORIO\ELISTARA\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares destiny] "C:\Archivos de programa\Ares Destiny\AresDestiny.exe" -h

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [Disk Monitor] C:\Archivos de programa\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

O4 - HKLM\..\Run: [iKeyWorks] C:\ARCHIV~1\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: AVLDR - AVLDR.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ANIO Service (ANIO) - Alpha Networks Inc. - C:\WINDOWS\system32\ANIO.SYS

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: pavdrv (PAVDRV) - Panda Software International - C:\WINDOWS\SYSTEM32\DRIVERS\pavdrv51.sys

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus 2007\PsImSvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: NTSIM - VIA Networking Technologies, Inc. - C:\WINDOWS\system32\ntsim.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: W2K Conexant Serial Device Driver (Ptserial) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptserial.sys

O23 - Service: D-Link Wireless Driver (RT61) - Ralink Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\RT61.sys

O23 - Service: S3Psddr - S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\s3gnbm.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: W2K Vmodem (Vmodem) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vmodem.sys

O23 - Service: W2K Vpctcom (Vpctcom) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vpctcom.sys

O23 - Service: W2K Vvoice (Vvoice) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vvoice.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



24 Servicios.

7 de Carga Automatica.

14 de Carga Manual.

3 Deshabilitados.



graciasss

[msc hotline sat]

Pues no vemos el LECHCK por ninguna parte...



pero eso sí, te falta instalar el SP3, asi que lanza un windowsupdate y actualiza los parches de microsoft !!!



Si ves aparecer el pirata de nuevo, avisanos, pero en los logs no aparece.



saludos



ms, 15-07-2008

[chiru]

ok gracias, eso si el pirata aun esta en el msn.

[msc hotline sat]

Entonces lanza este AV ONLINE y posteanos el informe resultante



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.





Cuando veamos el fichero que lo contiene, te pediremos que nos lo envies para analizarlo y pasarlo a controlar. Debe tratarse de una nueva variante no controlada.



saludos



ms, 15-07-2008

[chiru]

Bueno aqui les dejo el analisis:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

martes, 15 de julio de 2008 17:14:05

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 15/07/2008

Registros en la base antivirus: 853287

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\



Estadísticas:

Número de objeros analizados: 22789

Virus encontrados: 3

Objetos infectados: 30 / 0

Objetos sospechosos: 0

Duración del análisis: 01:19:43



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\PSK_NAMES2_3 Object is locked saltado

C:\Archivos de programa\Panda Software\Panda Antivirus 2007\PSK_NAMES_3 Object is locked saltado

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\chiru\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\chiru\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\chiru\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\chiru\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\chiru\Configuración local\Historial\History.IE5\MSHist012008071520080716\index.dat Object is locked saltado

C:\Documents and Settings\chiru\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\chiru\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\chiru\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService.NT AUTHORITY\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService.NT AUTHORITY\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService.NT AUTHORITY\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService.NT AUTHORITY\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService.NT AUTHORITY\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService.NT AUTHORITY\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService.NT AUTHORITY\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService.NT AUTHORITY\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService.NT AUTHORITY\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService.NT AUTHORITY\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService.NT AUTHORITY\ntuser.dat.LOG Object is locked saltado

C:\RECYCLER\S-1-5-21-2052111302-1417001333-839522115-500\Dc4.exe Infectados: Backdoor.Win32.Hupigon.aoyr saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0003931.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0003932.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0003934.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0003940.exe Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004660.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004664.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004665.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004676.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004677.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004694.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004695.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0004696.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0005694.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0005700.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0005701.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0005702.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP10\A0005715.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0005719.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0005720.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006716.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006717.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006740.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006761.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006762.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006763.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006773.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006777.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006778.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006801.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006802.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006813.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006819.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006823.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006824.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006853.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006854.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006855.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006866.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006867.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006874.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006878.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006879.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006888.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006889.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006904.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006916.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006918.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006928.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006930.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0006932.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0007928.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0007929.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0007930.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0007949.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0007957.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0008956.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0008957.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0008958.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0008965.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0008967.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0008980.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0009978.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0009979.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0009980.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0010978.dll Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0010979.com Object is locked saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0010980.inf Infectados: Worm.Win32.AutoRun.dkm saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP11\A0011055.EXE Infectados: Trojan-Spy.Win32.Banker.nao saltado

C:\System Volume Information\_restore{A53EC804-1F65-44C8-8EAF-DECB4551E2B7}\RP12\A0015885.exe Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{C86D41FF-2430-4E0E-8A00-844C657A7C6B}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Pues ya ves que no !



Solo tienes restos en la papelera y en el RESTORE



Vacia la papelera y comprueba que haya desaparecido este:



C:\RECYCLER\S-1-5-21-2052111302-1417001333-839522115-500\Dc4.exe Infectados: Backdoor.Win32.Hupigon.aoyr saltado



no sea que este DC4.EXE no esté realmente en la papelera sino solo en la carpeta c:\recycler...



y los del RESTORE, si quieres eliminarlos, desactiva la restauracion de sistema, arranca en modo segur0 y lanza tu antivirus, que de este modo podrás eliminarlos



Pero vamos, ya no están activos !



Sobre el HUPIGON, confirmanos que se elimine de alli vaciando la papelera, que podría ser un truco y no estar realmente allí... Y si se resiste, para él tenemos el ELITRIIP



saludos



ms, 16-07-2008

[chiru]

Segui todas las indicaciones, vacie papelera y revice el recycler y no habia nada, eche andar el antivirus en modo seguro y estaba todo bien, hasta que reinicie mi pc abri mi msn y ahi estaba el maldito.

Que hago? de antemano gracias.

[msc hotline sat]

Y no será que te lo está enviando uno de tus contactos ???



Dinos el fichero donde lo encuentras. y envianoslo para ver si ya lo controlamos, en cuyo caso al no haberse detectado hasta que abres el MSN , puede ser que no lo tengas sino que lo recibas al abrirlo.



saludos



ms, 16-07-2008

[chiru]

Bueno busque por todos lados el fichero y no lo encontre, lo que si encuentro un poco mas lento mi internet. Pero comprobe q no esta. saludos, gracias.

[msc hotline sat]

Bueno, pues parece que el pirata se fue... :wink:



Ahora ya solo te queda actualizar parches con el SP3, como ya indicabamos en post anteriores, y mejorará la velocidad, aparte de navegar con mas seguridad



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 18-07-2008