Problema internet y explorer bloqueados (SOLUCIONADO)

[jseg]

Hola.
Necesito ayuda para solucionar lo siguiente:
Entro a windows en modo a prueba de fallos con funciones de red y todo funciona, pero al entrar en modo normal el ie7 se queda como "colgado" y la conexion a internet no funciona. Ya le he pasado el spybot, ccleaner, elistara y elitriip y todos han encontrado muchos objetos, ahora pasare el kaspersky online a ver que pasa.
Cuelgo el log hijackthis por si ven algo extraño. GRACIAS.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:16, on 23/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM303_STI.EXE
C:\windows\system\hpsysdrv.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\WLAN\USB_WLAN_Utilidad\Wlan.exe
C:\Archivos de programa\WLAN\USB_WLAN_Utility\Wlan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ARCHIV~1\AVG\AVG8\aAvgApi.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Archivos de programa\Windows Live\Protección infantil\fssbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Cliente inalambrico USB.lnk = C:\Archivos de programa\WLAN\USB_WLAN_Utilidad\Wlan.exe
O4 - Global Startup: USB Wireless Client Manager.lnk = C:\Archivos de programa\WLAN\USB_WLAN_Utility\Wlan.exe
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by115fd.bay115.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7999 bytes

[msc hotline sat]

Pues empieza por instalar el SP3 lanzando un windowsupdate !!!

y si tras ello persiste el problema, lanza esteAV ONLINE (aunque sea en modo seguro con funciones de red) y posteanos el informe resultante:

SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

saludos

ms, 23-07-2008

[jseg]

A ver, de momento no lo he pasado el completo (por el tema de lo que tarda), pero ahora lo haré. Windows update no funciona (Número de error: 0x8007043C) y aqui esta lo que ha encontrado de momento:
KASPERSKY ONLINE SCANNER INFORME
miércoles, 23 de julio de 2008 20:27:07
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 23/07/2008
Registros en la base antivirus: 887682


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Áreas críticas
C:\WINDOWS
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

Estadísticas
Número de objeros analizados 25618
Virus encontrados 1
Objetos infectados 12 / 0
Objetos sospechosos 0
Duración del análisis 00:17:11

Bombre del objeto infectado Nombre del virus Última acción

Código: Seleccionar todo

C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  saltado  
C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\1117e.msi  Embedded: infectado - 3  saltado  
C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\1120a.msi  Embedded: infectado - 3  saltado  
C:\WINDOWS\Installer\11297.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\11297.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\11297.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA  Infectados: Trojan-Downloader.Win32.CWS.fp  saltado  
C:\WINDOWS\Installer\11297.msi  Embedded: infectado - 3  saltado  
C:\WINDOWS\system32\CatRoot2\edb.log  Object is locked  saltado  
C:\WINDOWS\system32\CatRoot2\tmp.edb  Object is locked  saltado  
C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  saltado  
C:\WINDOWS\system32\config\default  Object is locked  saltado  
C:\WINDOWS\system32\config\default.LOG  Object is locked  saltado  
C:\WINDOWS\system32\config\Internet.evt  Object is locked  saltado  
C:\WINDOWS\system32\config\SAM  Object is locked  saltado  
C:\WINDOWS\system32\config\SAM.LOG  Object is locked  saltado  
C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  saltado  
C:\WINDOWS\system32\config\SECURITY  Object is locked  saltado  
C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  saltado  
C:\WINDOWS\system32\config\software  Object is locked  saltado  
C:\WINDOWS\system32\config\software.LOG  Object is locked  saltado  
C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  saltado  
C:\WINDOWS\system32\config\system  Object is locked  saltado  
C:\WINDOWS\system32\config\system.LOG  Object is locked  saltado  
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  saltado  
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Object is locked  saltado  
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Object is locked  saltado  
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Object is locked  saltado  
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Object is locked  saltado  
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  saltado  
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Object is locked  saltado  

Análisis completado.

[msc hotline sat]

Pues mira si el ELISTARA lo detecta y si no envianos este fichero para analizar:

C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe

Despues de ello, podrías arrancar en modo seguro y eliminar todos estos ficheros que te ha detectado este AV ONLINE

De todas formas, tras recibirlo, lo analizaremos e informaremos:

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 23-07-2008

[jseg]

Bueno, terminó el análisis completo. Estos archivos se pueden eliminar sin más, o sea, sin que pase nada luego con el SO?

La muestra no me deja enviarla, no se por que, a ver si puedo conseguir que funcione en modo normal, igual es por eso.

[jseg]

Se me olvido el informe:

KASPERSKY ONLINE SCANNER INFORME

miércoles, 23 de julio de 2008 22:43:41

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 23/07/2008

Registros en la base antivirus: 887887





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\



Estadísticas

Número de objeros analizados 127085

Virus encontrados 1

Objetos infectados 24 / 0

Objetos sospechosos 0

Duración del análisis 01:42:28



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\HP_Propietario\Configuración local\Temp\hsperfdata_HP_Propietario\2136 Object is locked saltado



C:\Documents and Settings\Invitado\Configuración local\Temp\hsperfdata_Invitado\3972 Object is locked saltado



C:\Documents and Settings\jordan\Configuración local\Temp\hsperfdata_jordan\1064 Object is locked saltado



C:\Documents and Settings\jordan2\Configuración local\Temp\hsperfdata_jordan2\4052 Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{72135246-D116-4BE8-92FC-1AFE1F338C80}\RP163\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\1117e.msi Embedded: infectado - 3 saltado



C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\1120a.msi Embedded: infectado - 3 saltado



C:\WINDOWS\Installer\11297.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\11297.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\11297.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA Infectados: Trojan-Downloader.Win32.CWS.fp saltado



C:\WINDOWS\Installer\11297.msi Embedded: infectado - 3 saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



D:\I386\Apps\APP12430\src\SC_AUDIO_202\AUDIO.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_AUDIO_202\AUDIO.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_AUDIO_202\AUDIO.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_AUDIO_202\AUDIO.msi Embedded: infectado - 3 saltado



D:\I386\Apps\APP12430\src\SC_COPY_202\COPY.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_COPY_202\COPY.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_COPY_202\COPY.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_COPY_202\COPY.msi Embedded: infectado - 3 saltado



D:\I386\Apps\APP12430\src\SC_DATA_202\BMPLE.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_DATA_202\BMPLE.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_DATA_202\BMPLE.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA Infectados: Trojan-Downloader.Win32.CWS.fp saltado



D:\I386\Apps\APP12430\src\SC_DATA_202\BMPLE.msi Embedded: infectado - 3 saltado



Análisis completado.

[msc hotline sat]

Para enviar el fichero solicitado, debes empaquetarlo con password, como ya indicamos en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





fijate especialmente como lo explica flacoroo:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24875





y tras recibirlo, lo analizaremos y podremos contestar a tu pregunta ... :wink:



saludos



ms, 24-07-2008

[jseg]

Ya he conseguido enviar la muestra. He estado probando si es un problema de config y no lo es, ya que al configuar con el cd del router (que en el otro pc no me dio ningun problema), dice error de conexion, pero la conexion con el router funciona. Es como si "algo" estuvira bloqueando internet. Probando con firefox dice que se reinicio mientras se cargaba la pagina.

[msc hotline sat]

Es que si tienes bicho... primero eliminemoslo, luego ya veremos si falla algo !

Mañana, a la vuelta al trabajo en SATINFO, lo analizaremos, pero no he visto informe del ELISTARA, que te pediamos probaras, lo hiciste??? pues posteanos el contenido de c:\infosat.txt, gracias

saludos
ms, 24-07-2008

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[jseg]

Bueno, aqui esta lo de ayer y lo de ahora:
[attachment=0]InfoSat1.txt[/attachment]

[msc hotline sat]

Pues a la vista está que tenías todas estas entradas en el HOSTS, resolviendo estas URL a la IP 127.0.0.1, esto es, impidiendo su acceso... es típico del SPYBOT.



Y lo importante, te falta instalar el SP3, lanza un windowsupdate y actualiza parches !



Y está claro que es una variante aun no controlada del Downloader.Win32.CWS, asi que mañana la analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual infiormaremos



saludos



ms, 24-07-2008

[msc hotline sat]

El fichero que has enviado no es ejecutable y no se puede monitorizar...



Envianos el:



C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe



ya sabes como :wink:



saludos



ms, 25-07-2008

[jseg]

Estoy intentando enviar el fichero pero no me deja:

Valida (fichero,pym_msj_fichero)

[jseg]

Bueno, despues de decir eso de valida...ha dicho que se ha enviado correctamente, supongo que habrá llegado bien. He puesto los 2 archivos por si el del otro dia se comprimio mal o algo asi.

[msc hotline sat]

Si se resistía al envio, buena señal, puede que los servidores de internet lo interceptaran al detectar rutinas viricas...

Recuerda que se ha de enviar empaquetado con un ZIP o RAR con password VIRUS, como explica flacoroo en este Tema:

viewtopic.php?f=5&t=24875

y el lunes, cuando volvamos al trabajo en SATINFO, veremos si lo hemos recibido y procederemos en consecuencia

saludos
ms, 25-07-2008

[msc hotline sat]

Pediamos el fichero



C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe



o sea un UPDATE.EXE



Recibimos 2 .MSI que no son monitorizables...



Por favor, envienos el que se pide. !!!



saludos



ms,. 28-07-2008

[jseg]

Perdon, esque me hago un lio con lo de la ruta con una /. Supongo que es dentro del archivo .msi, lo he descomprimido y he buscado en eso. Supongo que es este que esta dentro de una carpeta common, pero no hay ningun /cab.. ahi.

[msc hotline sat]

Mas bien no es el que te pediamos, pues en él Kaspersky detectaba un troyano:



C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado



y en el que nos has enviado, ni kaspersky ni nadie:



http://www.virustotal.com/analisis/50de447eb71231d83f20c00698b91aa1



revisa bien la ruta indicada, este no es !!!



saludos



ms, 28-07-2008

[jseg]

A ver, ire paso a paso porque algo hago mal:

Voy a c:\windows\installer y alli encuentro un 1120a.msi.

Lo descomprimo y me queda una carpeta con varios archivos pequeños y uno que se llama Binary.q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA.

Descomprimiendo otra vez sale otra carpeta con 3 subcarpetas mas:

Common, sp1 y sp2 ademas de un xpsp1hfm.exe.

No veo ningun "CAB-file.cab" y dentro de common hay el update.exe entre otros archivos (que es el que he enviado antes).

[msc hotline sat]

Todo esto es la ruta:



C:\WINDOWS\Installer\1117e.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/



y dentro de dicha carpeta debe haber el UPDATE.EXE , o al menos eso dice el Kaspersky :wink: !



Pero puede que esté con atributo de oculto o de sistema, o en carpetas con dicho atributo:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 28-07-2008

[jseg]

Bueno, esto ya es mas raro aun. Le paso el kaspersky en C/windows/installer y...oh!!no hay infecciones. Todo eso de los archivos ocultos ya lo tengo para que se vean, y ademas el otro dia instale el adaware (que solo detecto tracking cookies) y se actualizo perfectamente en modo normal, y el ie y firefox siguen sin poder conectar. :S

Me parece que un formateo le iria mejor y mas rapido.

[msc hotline sat]

Recuerde que los ficheros con atributo de sistema tampoco se ven si no tiene desmarcada la casilla de OCULTAR FICHEROS DE SISTEMA...



En cualquier caso me remito al ultimo informe que posteó del Kaspersky:



C:\WINDOWS\Installer\1120a.msi/q329112WXP.exe.1EE2E474_D9B7_4034_99F6_E94B368FF7BA/CAB-file.cab/common/update.exe Infectados: Trojan-Downloader.Win32.CWS.fp saltado





Si ahora dice que no lo detecta, pues sin muestra del fichero en cuestion nada podemos decir.



Y sobre lo del formateo, está en su derecho, claro, informenos si lo hace para dar por terminado el Tema.



Por nuestra parte, cabria sugerirle que registrara las DLL al respecto, como decimos en muchos Temas que podra encontrar con el buscador del foro, entre a buscar REGSVR32 y los encontrará:



https://foros.zonavirus.com/search.php?keywords=regsvr32&terms=all&author=&sc=1&sf=all&sk=t&sd=d&sr=posts&st=0&ch=300&t=0&submit=Buscar



En cualquier caso, informenos del resultado, gracias



saludos



ms, 28-07-2008

[jseg]

POR FIIIN!!!!

Bueno, al final ya funciona. Al hacer lo que me has dicho, al registrar la ultima dll ha saltado un error diciendo que no encontraba sensapi.dll, la he descargado de http://www.nodevice.es/dll/SENSAPI_DLL/item15232.html y luego he vuelto a registrar. He reiniciado en modo normal y...YA FUNCIONA TODO :D

Muchisimas gracias por vuestra ayuda y paciencia. GRACIAS!!!!

[msc hotline sat]

Pues faltaba esta y registrarla, claro !



Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerralo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 28-07-2008







y recuerda :wink: :



[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] [b]NOTA IMPORTANTE :[/b]



Con el buscador del foro se pueden encontrar inmediatas respuestas ONLINE a Temas similares ya solucionados. Se recomienda usarlo



https://foros.zonavirus.com/search.php



Asi que, aplicarse el cuento:



[img]http://www.satinfo.es/zonavirus/buscarforo.jpg[/img]