ieantivyrus no me deja navegar tranquilo

[Aeolas]

Hola amigo soy yo otra vez



creo q tengo un vyrus q no me deja de aparecer cuando abro carpetas o entro al explorer y me dice q es un antivyrus y me mi maqunia tiene muchos problemas pero yo no tengo instalado ningun antivyrus tenia karpesky pero se me vencio ya lo desintale ya no tengo nada



ademas esete vyrus me manda siempre a esta pagina : http://free-viruscan.com/id/4912933/4/1/



pidiendo q guarde un programa



lo peor esq mi hermana uso ahroa mi compu y vio el mensaje del vyrus ese y le dio scan creo q eso empeora las cosas



Uso de nuevo Elistara ??



Alguien me podria ayudar







PD : me costo mucho ingresar a esta pagina ese vyrus siempre me redirecciona a la direccion de arriva

[msc hotline sat]

Si ya probaste el ELISTARA 16.84, es posible que se trate de nuevas variantes aun no conocidas.



En tal caso prueba el SPROCES y nos posteas el informe resultante:


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 3 de Agosto de 2008

[Aeolas]

GRACIAS POR EL DATO



USE ELISTARA Y ELIMINO EL VYRUS IEANTIVYRUS CREO Q ESE ERA EL NOMBRE



EJECUTE TAMBIEN SPROCES YA ENVIE LAS MUESTRAS DE AMBOS



BUENO GRACIAS PRO EL TIEMPO ESPERO RECIBIR MAS RESPUESTAS

[msc hotline sat]

Los informes deben postearse en el foro, como respuesta de este Tema en tu caso, como ya se indica en:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



A SATINFO solo se deben enviar muestras para analizar, lo demas en el foro !!!



Postea los dos informes indicados como respuesta de este Tema, con un copiar y pegar del contenido de los mismos, gracias



saludos



ms, 4 de Agosto de 2008

[Aeolas]

Pido disculpaas de nuevo esq me olvido de las reglas





Wed Jul 16 11:16:14 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\BDE\BDEIMAGE.DLL --> Eliminado BrilliantDig

Por favor, envienos una muestra del fichero

C:\Muestras\P2P NETWORKING.EXE.Muestra EliStartPage v16.72

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\P2P NETWORKING\P2P NETWORKING.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\P2P NETWORKING\MARSHAL.DLL --> Eliminado P2PNet

C:\WINDOWS\SYSTEM32\P2P NETWORKING V123.CPL --> Eliminado P2PNet(cpl)

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado PWS-OnLineGames.AMVO

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> PWS-OnLineGames.AMVO Renombrado a .VIR

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Entrada Eliminada [HKLM\...\Run] "Barsaka"="explorer.exe"

Entrada Eliminada [HKLM\...\Run] "P2P Networking"="C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART"

Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}" -> C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

Eliminada Class, "{0494D0D1-F8E0-41AD-92A3-14154ECE70AC}" ->

Eliminada Class, "{0494D0D2-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

Eliminada Class, "{0494D0D3-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

Eliminada Class, "{0494D0D5-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

Eliminada Class, "{0494D0D7-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

Eliminada Class, "{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}" ->

Eliminada Class, "{0494D0DB-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

Eliminada Class, "{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}" ->

Eliminada Class, "{51958169-D5E3-11D1-AA42-0000E842E40A}" -> C:\WINDOWS\BDE\BDEwrapper3.dll

Eliminada Class, "{94118C19-B178-4E43-BBE8-0EFDBB391BDB}" -> C:\WINDOWS\System32\SYSWEB~1.DLL

Eliminada Class, "{C91E8926-D4BE-4685-99F4-0D996B96BAC0}" -> C:\WINDOWS\System32\P2P Networking\MARSHAL.DLL

Eliminada Class, "{CC7A6223-3759-4075-8CEA-971F5CFC0ED2}" -> NULL1

Eliminada Class, "{E813099D-5529-47F4-9B37-4AFAFCB00A43}" -> C:\Program Files\Altnet\Download Manager\asmps.dll

Eliminada Carpeta "%Archivos de Programa%\AltNet"

Eliminada Carpeta "%Archivos de Programa%\DownloadWare"

Eliminada Carpeta "%Archivos de Programa%\NewDotNet"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Wed Jul 16 12:12:23 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

OPEN=FPPG1.EXE

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Detectado D:\Autorun.inf

OPEN=FPPG1.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Wed Jul 16 12:58:32 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\FPPG1.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\Documents and Settings\usuario\Local Settings\Temp\9V.DLL --> Eliminado, PWS-OnLineGames.AMVO

C:\WIN32APP\ustation\MDLSYS\ASNEEDED\ARCH.DLL --> Eliminado, Malware.ASPI

C:\WINDOWS\system32\AMVO0.DLL.VIR --> Acceso Denegado, PWS-OnLineGames.AMVO (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\AMVO1.DLL --> Eliminado, PWS-OnLineGames.AMVO

C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTF32.DLL --> Eliminado, Spy-CmdLineExt

C:\WINDOWS\system32\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 4892

Nº Total de Ficheros: 58530

Nº de Ficheros Analizados: 18118

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 7



Wed Jul 16 13:43:22 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\FPPG1.EXE --> Eliminado, PWS-OnLineGames.AMVO

D:\Diego Archivos\RCSETUP.EXE --> Eliminado, P2PAdware.A



Nº Total de Directorios: 815

Nº Total de Ficheros: 19637

Nº de Ficheros Analizados: 1566

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Wed Jul 16 14:08:40 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\BDE"

Eliminada Carpeta "%WinSys%\P2P Networking"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 16 14:09:00 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\AMVO0.DLL.VIR.VIR --> Eliminado, PWS-OnLineGames.AMVO



Nº Total de Directorios: 4881

Nº Total de Ficheros: 58363

Nº de Ficheros Analizados: 18104

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Jul 17 15:16:46 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 17 15:20:27 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4892

Nº Total de Ficheros: 58224

Nº de Ficheros Analizados: 18121

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Jul 19 13:04:29 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jul 19 13:04:49 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4902

Nº Total de Ficheros: 58440

Nº de Ficheros Analizados: 18130

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jul 21 21:26:49 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 21 21:28:51 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 850

Nº Total de Ficheros: 19930

Nº de Ficheros Analizados: 1622

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jul 21 21:32:30 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4920

Nº Total de Ficheros: 58145

Nº de Ficheros Analizados: 18130

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jul 24 12:01:51 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado PWS-OnLineGames.AMVO

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> PWS-OnLineGames.AMVO Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Jul 24 12:03:21 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\FPPG1.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\WINDOWS\system32\AMVO0.DLL.VIR --> Acceso Denegado, PWS-OnLineGames.AMVO (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 4931

Nº Total de Ficheros: 58078

Nº de Ficheros Analizados: 18138

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1



Thu Jul 24 12:27:39 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\FPPG1.EXE --> Eliminado, PWS-OnLineGames.AMVO



Nº Total de Directorios: 850

Nº Total de Ficheros: 19945

Nº de Ficheros Analizados: 1623

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Jul 24 14:14:15 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 24 14:14:29 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\AMVO0.DLL.VIR.VIR --> Eliminado, PWS-OnLineGames.AMVO



Nº Total de Directorios: 4933

Nº Total de Ficheros: 58029

Nº de Ficheros Analizados: 18138

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Aug 01 00:04:05 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DLLCACHE\BEEP.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\DRIVERS\BEEP.SYS --> Eliminado

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Aug 01 00:09:10 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4862

Nº Total de Ficheros: 57913

Nº de Ficheros Analizados: 17828

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Aug 01 00:18:27 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 805

Nº Total de Ficheros: 18980

Nº de Ficheros Analizados: 1628

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Aug 03 14:31:29 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\ANTIVIR.EXE.Muestra EliStartPage v16.83

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\IEANTIVIRUS\ANTIVIR.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "antispy"="C:\Program Files\IEAntiVirus\ANTIVIR.exe"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Aug 03 14:32:13 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Aug 03 14:32:37 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Aug 03 14:37:18 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 806

Nº Total de Ficheros: 19118

Nº de Ficheros Analizados: 1629

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 4879

Nº Total de Ficheros: 58142

Nº de Ficheros Analizados: 17828

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Aug 03 14:44:28 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Aug 03 14:44:34 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4879

Nº Total de Ficheros: 58145

Nº de Ficheros Analizados: 17829

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Aug 03 14:57:33 2008

EliStartPage v16.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4882

Nº Total de Ficheros: 58280

Nº de Ficheros Analizados: 17843

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Aug 03 15:05:08 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad D:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Sun Aug 03 19:34:36 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE

C:\PROGRAM FILES\QUICKTIME\QTTASK.EXE

C:\PROGRAM FILES\IRIVER\PMPSERIES\PMPDETECT.EXE

C:\PROGRAM FILES\WINAMP\WINAMPA.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\PROGRA~1\YAHOO!\MESSEN~1\YMSGR_TRAY.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\PCTSPK.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\PROGRAM FILES\WINAMP\WINAMP.EXE

C:\PROGRAM FILES\ARES\ARES.EXE

D:\DIEGO ARCHIVOS\MOZILLA FIREFOX\FIREFOX.EXE

D:\DIEGO ARCHIVOS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O2 - BHO: AOL Toolbar - {FB0E529A-3D2C-473E-83FE-9E56AC6CC0EB} - C:\WINDOWS\system32\aoltbl.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [Tok-Cirrhatus]

O4 - HKCU\..\Run: [Tok-Cirrhatus-2322] "C:\Documents and Settings\usuario\Local Settings\Application Data\smss.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PMP-100] C:\Program Files\iRiver\PMPSeries\PMPDetect.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - Startup: desktop.ini

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: iSex-41 - {056B9CCD-1238-A87D-4274-32EFAD4DA360} - C:\intsexo41\intsexo41.exe (file missing)

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E3051A6-201C-4782-A9F7-E85DC18BD238}: NameServer = 200.58.160.25,200.58.161.25

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Intel(r) 82801 Audio Driver Install Service (WDM) (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: i81x - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\i81xnt5.sys

O23 - Service: iAimFP0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV01nt.sys

O23 - Service: iAimFP1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV02NT.sys

O23 - Service: iAimFP2 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wADV05NT.sys

O23 - Service: iAimFP3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wSiINTxx.sys

O23 - Service: iAimFP4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wVchNTxx.sys

O23 - Service: iAimTV0 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV01nt.sys

O23 - Service: iAimTV1 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV02NT.sys

O23 - Service: iAimTV2 - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\wATV03nt.sys (file missing)

O23 - Service: iAimTV3 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wATV04nt.sys

O23 - Service: iAimTV4 - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\wCh7xxNT.sys

O23 - Service: IntelC51 - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntelC51.sys

O23 - Service: Intel(R) 537 Data Fax V.90 Modem (IntelC52) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntelC52.sys

O23 - Service: IntelC53 - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntelC53.sys

O23 - Service: jfltr - B&Bh - C:\WINDOWS\SYSTEM32\DRIVERS\jfltr.sys

O23 - Service: nv4 - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: PCTEL Serial Device Driver for PCI (Ptserlp) - PCTEL, INC. - C:\WINDOWS\SYSTEM32\DRIVERS\ptserlp.sys

O23 - Service: Rainbow USB SuperPro (Sntnlusb) - Rainbow Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SNTNLUSB.SYS

O23 - Service: Sony USB Filter Driver (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: AliIde - Acer Laboratories Inc. - C:\WINDOWS\System32\DRIVERS\aliide.sys

O23 - Service: AMD AGP Bus Filter Driver (amdagp) - Advanced Micro Devices, Inc. - C:\WINDOWS\System32\DRIVERS\amdagp.sys

O23 - Service: asc - Advanced System Products, Inc. - C:\WINDOWS\System32\DRIVERS\asc.sys

O23 - Service: asc3550 - Advanced System Products, Inc. - C:\WINDOWS\System32\DRIVERS\asc3550.sys

O23 - Service: CmdIde - CMD Technology, Inc. - C:\WINDOWS\System32\DRIVERS\cmdide.sys

O23 - Service: dac2w2k - Mylex Corporation - C:\WINDOWS\System32\DRIVERS\dac2w2k.sys

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: hpt3xx - HighPoint Technologies, Inc. - C:\WINDOWS\System32\DRIVERS\hpt3xx.sys

O23 - Service: mraid35x - American Megatrends Inc. - C:\WINDOWS\System32\DRIVERS\mraid35x.sys

O23 - Service: ql1080 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1080.sys

O23 - Service: ql12160 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql12160.sys

O23 - Service: ql1280 - QLogic Corporation - C:\WINDOWS\System32\DRIVERS\ql1280.sys

O23 - Service: SIS AGP Bus Filter (sisagp) - Silicon Integrated Systems Corporation - C:\WINDOWS\System32\DRIVERS\sisagp.sys

O23 - Service: Sparrow - Adaptec, Inc. - C:\WINDOWS\System32\DRIVERS\sparrow.sys

O23 - Service: symc810 - Symbios Logic Inc. - C:\WINDOWS\System32\DRIVERS\symc810.sys

O23 - Service: symc8xx - LSI Logic - C:\WINDOWS\System32\DRIVERS\symc8xx.sys

O23 - Service: sym_hi - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_hi.sys

O23 - Service: sym_u3 - LSI Logic - C:\WINDOWS\System32\DRIVERS\sym_u3.sys

O23 - Service: ultra - Promise Technology, Inc. - C:\WINDOWS\System32\DRIVERS\ultra.sys



55 Servicios.

7 de Carga Automatica.

27 de Carga Manual.

21 Deshabilitados.





cuando me redirecciona simpre me sale descargar este archivo : IE-AV.exe



y lo busque en mi maquina y encontre 3 archivos :



C:\WINDOWS\Prefetch\IE-AV(3).EXE-1586D2B2.pf

C:\WINDOWS\Prefetch\IE-AV.EXE-0E5D5A23.pf

C:\WINDOWS\Prefetch\IE-AV[3].EXE-23D427A9.pf





dijiste con un copiar y pegar del contenido de los mismos verdad



espero q sea esto

[msc hotline sat]

Pues te falta instalar el SP3 (lanza un windowsupdate)



Y te sobra este troyano, del que te pedimos muestra para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\ANTIVIR.EXE.Muestra EliStartPage v16.83





recuerda:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y sobre estos ficheros:



C:\WINDOWS\Prefetch\IE-AV(3).EXE-1586D2B2.pf

C:\WINDOWS\Prefetch\IE-AV.EXE-0E5D5A23.pf

C:\WINDOWS\Prefetch\IE-AV[3].EXE-23D427A9.pf





todos son .pf, no sirven para monitorizar, pues solo son un resumen para que el lanzamiento del EXE sea mas rapido, pero sin el EXE real no hacemos nada.



Y sin el EXE, estos puedes borrarlos, no sirven para nada.



y paso a analizar el log, te informo luego



saludos



ms, 4 de Agosto de 2008

[msc hotline sat]

Pues analizado el log resulta:



Tienes dos troyanos, renombra estos dos ficheros a .VIR:



C:\Documents and Settings\usuario\Local Settings\Application Data\smss.exe



C:\Program Files\DelFin\PromulGate\PgMonitr.exe





y tras reinciar envianoslos para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







y dinos si con ello ya se ha solucionado el problema, gracias



saludos



ms, 4 de Agosto de 2008

[Aeolas]

No pude encontrar el archivo : C:\Documents and Settings\usuario\Local Settings\Application Data\smss.exe



al menos no es esa carpeta , lo busque y aparece en estas otras :



C:\WINDOWS\ServicePackFiles\i386

C:\WINDOWS\system32



los cambio en esas?

[msc hotline sat]

No, no, estos son del sistema, dejelos estar !!!



El que interesa es justamente el que no está ahí, por lo cual es posiblemente un malware ...



Es posible que no lo vea por estar oculto o con atributos de sistema, por ello:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 5 de Agosto de 2008





NOTA: Es importante que renombres su extension a .VIR, a los sospechosos, pero no lo hagas en los ficheros de sistema !!! :wink:

[Aeolas]

el archivo : C:\Program Files\DelFin\PromulGate\PgMonitr.exe lo encontre y lo renombre a .vir ya lo envie a las muestras



pero este archivo : C:\Documents and Settings\usuario\Local Settings\Application Data\smss.exe a pesar de que segui las



instrucciones para ver archivos ocultos y extensiones de fichero no pude encontrarlo en esa carpeta



algo mas que pudiera hacer?

[msc hotline sat]

Sí, ve a esta carpeta:

C:\Documents and Settings\usuario\Local Settings\Application Data\



y una vez en ella crea una Nueva Carpeta con el nombre de SMSS:EXE , asi, si está, lo verás por que no lo podrás crear, y será señal de que algo de la oculta (podría haber un RootKit por ahí), y si por el contrario la puedes crear, con ella se impedirá que en el proximo reinicio se genere de nuevo este malware.



Si no la puedes crear, arranca en modo seguro y mira si asi lo puedes ver, y en tal caso le renombras la extension a .VIR y nos lo envias



Y nos comentas el resultado, gracias



ms, 5 de Agosto de 2008

[Aeolas]

entre a la direccion C:\Documents and Settings\usuario\Local Settings\Application Data\ y pude crear la parte smss.exe , reinicie pero me sigue saliendo el mismo problema :



Cada que entro a alguna unidad y quiero abrir cualquier carpeta me aparece este mensaje : " Critical Error! Attention; usuario some dangerous vyruses detected in your system. Microsoft Windows XP files corrupted. This may leave to the destruction of important files in C\WINDOWS. Download protection software now!

Click OK to download the antispyware. (Recommended) "



Este mismo mensaje tambien me aparece cuando le doy " Atras " en las carpetas y automaticamente se abre el explorardor en esta direccion : http://free-viruscan.com/id/4912933/4/1/



El internet explorer no funciona algo le paso asi que no puedo lanzar un update y estoy usando mozzilla

[msc hotline sat]

Se trata sin duda de variantes de FAKE ALERT que te están queriendo "vender la moto" :wink:



Como que dices que no puedes usar normalmente el I.E., arranca en modo seguro con funciones de red, y con el I.E. (que espero que en dicho modo si podrás) lanza este AV ONLINE y nos posteas el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms, 5 de Agosto de 2008

[Aeolas]

KASPERSKY ONLINE SCANNER INFORME

miércoles, 06 de agosto de 2008 1:41:07

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 6/08/2008

Registros en la base antivirus: 940942

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

Estadísticas

Número de objeros analizados 83161

Virus encontrados 9

Objetos infectados 36 / 0

Objetos sospechosos 2

Duración del análisis 01:49:17



Bombre del objeto infectado Nombre del virus Última acción

C:\Autorun.inf.old Infectados: Trojan-PSW.Win32.OnLineGames.skg saltado

C:\Documents and Settings\Administrator.HEWLETT-667DC32\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrator.HEWLETT-667DC32\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrator.HEWLETT-667DC32\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrator.HEWLETT-667DC32\Local Settings\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrator.HEWLETT-667DC32\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrator.HEWLETT-667DC32\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrator.HEWLETT-667DC32\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\cert8.db Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\formhistory.dat Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\history.dat Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\key3.db Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\parent.lock Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\search.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\urlclassifier2.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\AB6612CEd01 Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\AF615544d01 Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\ntuser.dat Object is locked saltado

C:\Documents and Settings\usuario\ntuser.dat.LOG Object is locked saltado

C:\Program Files\DelFin\PromulGate\PgMonitr.vir.zip/PgMonitr.vir.exe Sospechosos: Password-protected-EXE saltado

C:\Program Files\DelFin\PromulGate\PgMonitr.vir.zip ZIP: sospechoso - 1 saltado

C:\Program Files\Internet Explorer\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

C:\Program Files\Internet Explorer\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395635.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395637.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395664.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395666.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395680.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395682.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0396680.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0396682.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396693.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396697.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396698.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP121\A0405090.exe Infectados: Trojan.Win32.BHO.flc saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP121\A0405091.exe Infectados: Trojan.Win32.BHO.flc saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP128\change.log Object is locked saltado

C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\upnp.dll Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\aoltbl.dll Infectados: Trojan.Win32.BHO.fby saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

D:\AutoCAD 2006\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\AutoCAD 2006\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Autorun.inf.old Infectados: Trojan-PSW.Win32.OnLineGames.skg saltado

D:\Juegos\Blizzard inc\WARCRAFT\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Juegos\Blizzard inc\WARCRAFT\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Juegos\DAVE2\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.aui saltado

D:\New Folder\OFFICE11\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\New Folder\OFFICE11\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Program Files\AtomixMP3\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Program Files\AtomixMP3\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395638.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395667.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395683.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0396683.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396694.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396748.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.aui saltado

D:\Xara\Xara3D5\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

Análisis completado.



no sabia como ponerlo asi que solo copie y pegue esto era lo que tenia que postear cierto??

[msc hotline sat]

Muy bien hecho !



Pues tiene un troyano WOW.PSK en varios ficheros de C: y de D:, renombre su extension a todos ellos y pongale .VIR para que en el proximo reinicio no se puedan autoejecutar. Aparte envienos este primero [b][i]wsock32.dll[/i][/b] para analizar y poder implementar su control y eliminacion en nuestras proximas utilidades:





C:\Program Files\Internet Explorer\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado



C:\Program Files\Internet Explorer\wsock32.dlltmp





y en D: mas de lo mismo:



D:\Juegos\Blizzard inc\WARCRAFT\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Juegos\Blizzard inc\WARCRAFT\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Juegos\DAVE2\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.aui saltado

D:\New Folder\OFFICE11\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\New Folder\OFFICE11\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Program Files\AtomixMP3\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Program Files\AtomixMP3\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado



D:\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.aui saltado





D:\Xara\Xara3D5\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado







y todos estos otros estan aparcados en el RESTORE, desactive la restauracion de sistema, arranque en modo seguro y lance su antivirus para eliminarlos de allí, tanto en C: como en D: , aunque no esten activos:



C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395635.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395637.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395664.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395666.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395680.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395682.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0396680.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0396682.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396693.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396697.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396698.dll Infectados: Trojan-PSW.Win32.OnLineGames.scw saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP121\A0405090.exe Infectados: Trojan.Win32.BHO.flc saltado

C:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP121\A0405091.exe Infectados: Trojan.Win32.BHO.flc saltado





D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395638.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395667.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0395683.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP118\A0396683.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396694.exe Infectados: Trojan-PSW.Win32.OnLineGames.scx saltado

D:\System Volume Information\_restore{4C6F2D58-D44A-4DDD-8044-438A27E0CCC5}\RP119\A0396748.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado





y estos dos ficheros ya están OUT y los puede eliminar, fue gracias al ELIPEN que se renombraran impidiendo mas propagacion del ONLINE GAMES:



C:\Autorun.inf.old Infectados: Trojan-PSW.Win32.OnLineGames.skg saltado

D:\Autorun.inf.old Infectados: Trojan-PSW.Win32.OnLineGames.skg saltado





y tras renombrar todos los indicados a extension .VIR, reiniciar y contarnos el resultado, gracias



saludos



ms, 6 de Agosto de 2008

[Aeolas]

Estos archivos :



C:\Program Files\Internet Explorer\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

C:\Program Files\Internet Explorer\wsock32.dlltmp



sin cambiar su extension los los envie a muestras, luego los renombre a .vir junto con estos :



D:\Juegos\Blizzard inc\WARCRAFT\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Juegos\Blizzard inc\WARCRAFT\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Juegos\DAVE2\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.aui saltado

D:\New Folder\OFFICE11\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\New Folder\OFFICE11\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Program Files\AtomixMP3\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Program Files\AtomixMP3\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.aui saltado

D:\Xara\Xara3D5\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado



los que estan en el restore no los renombre tenia que hacerlo??

y tambien no se como desactivar la restauracion del sistema

En este momento mi antivyrus (NOD32) esta revisando mis unidades supongo que cuando encuentre

algun troyano lo eliminara automatico.



Gracias por tomarte el tiempo de explicarme ya que soy ingnorante en el tema xD



PD: solo renombre los ".dll" a ".vir" porque los ".dlltmp" estan en las mismas carpetas y dos archivos

no pueden tener el mismo nombre.

[msc hotline sat]

Pues a los *.dlltmp les cambias el nombre, por ejemplo, les añades "sospechoso" de manera que ya no se llamen igual y no los encuentren si quiere lanzarlos cualquier malware



y para desactivar la restauracion de sistema:


[quote="msc"]Para desactivar la restauracion del sistema y asi poder llegar a la carpeta del RESTORE:



Botón derecho sobre MIPC -> Propiedades -> RESTAURAR SISTEMA -> Marcar la casilla de Desactivar la restauracion de sistema ...



NO OLVIDARSE VOLVER A ACTIVARLA TRAS TERMINAR LA ACCION DESEADA, PARA DISPONER DE PUNTOS DE RESTAURACION EN CADA ACTUALIZACION DE PARCHES...[/quote]

saludos



ms, 7 de Agosto de 2008

[Aeolas]

Hola

no puedo ingresar a esta direccion : C:\System Volume Information\ ,me sale : "informacion no accesible; acceso esta denegado" , por tanto no pude renombrar los " *.dlltmp "

Ejecute mi anrivyrus (NOD32) y no encontro nada, pruebo con en antivyrus en linea del foro??



Ya desactive la restauraion del sistema, tambien para ver si el problema seguia quite el "modo aprueba de fallos" y reinicie, me di cuenta que cada que reinicio o prendo mi computadora aparece esta carpeta abierta abierta :



C:\Documents and Settings\usuario\Local Settings\Application Data\smss.exe



Es la carpeta que me dijeron que creara.



El problema sigue igual, no puedo dar la opcion atras que me abre el explorer y me manda a la misma pagina y tb el internet explorer no puede navegar que cada vez lo redirecciona al misma pagina, por eso sigo usando mozzila al parecer no lo afecta tanto solo abre una pestaña y nada mas



podria postear el log de mi antivyrus?



Gracias porl a molestia

algo mas que pudiera hacer?

[lucl]

Pegalo a ver, y si acaso pasa de nuevo el online a ver que te sale ahora, saludos

[Aeolas]

es es el log de mi antivyrus :



Scanning Log

NOD32 version 1916 (20061212) NT

The virus signature database is out of date. It is highly recommended that you update NOD32 immediately to ensure maximum protection against new threats.

Checking CRC of NOD32.EXE: Status OK

Scanning memory: Not performed (option disabled)



Date: 7.8.2008 Time: 11:29:24

Anti-Stealth initialization could not be fully completed. The Anti-Stealth technology is working in limited mode.

Scanned disks, folders and files: C:; D:; D:\

C:\pagefile.sys - error opening (File locked) [4]

C:\Documents and Settings\LocalService\NTUSER.DAT - error opening (File locked) [4]

C:\Documents and Settings\LocalService\ntuser.dat.LOG - error opening (File locked) [4]

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening (File locked) [4]

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening (File locked) [4]

C:\Documents and Settings\NetworkService\NTUSER.DAT - error opening (File locked) [4]

C:\Documents and Settings\NetworkService\ntuser.dat.LOG - error opening (File locked) [4]

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening (File locked) [4]

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening (File locked) [4]

C:\Documents and Settings\usuario\ntuser.dat - error opening (File locked) [4]

C:\Documents and Settings\usuario\ntuser.dat.LOG - error opening (File locked) [4]

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\parent.lock - error opening (File locked) [4]

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening (File locked) [4]

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening (File locked) [4]

C:\Muestras\ANTIVIR.EXE.Muestra EliStartPage v16.zip »ZIP »ANTIVIR.EXE.Muestra EliStartPage v16.83 - error - password-protected file

C:\Muestras\P2P NETWORKING.EXE.Muestra EliStartPage v16.zip »ZIP »P2P NETWORKING.EXE.Muestra EliStartPage v16.72 - error - password-protected file

C:\Program Files\DelFin\PromulGate\PgMonitr.vir.zip »ZIP »PgMonitr.vir.exe - error - password-protected file

C:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]

C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll - error opening (Access denied) [4]

C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll - error opening (Access denied) [4]

C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll - error opening (Access denied) [4]

C:\WINDOWS\$NtUninstallQ315000$\upnp.dll - error opening (Access denied) [4]

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf - error opening (Access denied) [4]

C:\WINDOWS\system32\config\default - error opening (File locked) [4]

C:\WINDOWS\system32\config\default.LOG - error opening (File locked) [4]

C:\WINDOWS\system32\config\SAM - error opening (File locked) [4]

C:\WINDOWS\system32\config\SAM.LOG - error opening (File locked) [4]

C:\WINDOWS\system32\config\SECURITY - error opening (File locked) [4]

C:\WINDOWS\system32\config\SECURITY.LOG - error opening (File locked) [4]

C:\WINDOWS\system32\config\software - error opening (File locked) [4]

C:\WINDOWS\system32\config\software.LOG - error opening (File locked) [4]

C:\WINDOWS\system32\config\system - error opening (File locked) [4]

C:\WINDOWS\system32\config\system.LOG - error opening (File locked) [4]

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\V87SYR5B\iuctl[1].cab »CAB »iuctl.dll - archive damaged - the file could not be extracted.

D:\pagefile.sys - error opening (File locked) [4]

D:\Diego Archivos\winamp554_full_emusic-7plus_es-us.exe »NSIS »file.bin - error - unknown compression method

D:\Diego Archivos\Imperio\resource\etc\LOAD_TYPE10_800.bmp.zip »ZIP »LOAD_TYPE10_800.bmp - archive damaged

D:\Diego Archivos\Imperio\resource\etc\LOAD_TYPE3_800.bmp.zip »ZIP »LOAD_TYPE3_800.bmp - archive damaged

D:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]

D:\WinZip\WINZIP70.EXE »ZIP »SETUP.WZ »ZIP »WINZIP32.EX_ - error - password-protected file

D:\pagefile.sys - error opening (File locked) [4]

D:\Diego Archivos\winamp554_full_emusic-7plus_es-us.exe »NSIS »file.bin - error - unknown compression method

D:\Diego Archivos\Imperio\resource\etc\LOAD_TYPE10_800.bmp.zip »ZIP »LOAD_TYPE10_800.bmp - archive damaged

D:\Diego Archivos\Imperio\resource\etc\LOAD_TYPE3_800.bmp.zip »ZIP »LOAD_TYPE3_800.bmp - archive damaged

D:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]

D:\WinZip\WINZIP70.EXE »ZIP »SETUP.WZ »ZIP »WINZIP32.EX_ - error - password-protected file

Number of scanned files: 396223

Number of threats found: 0

Time of completion: 12:27:38 Total scanning time: 3494 sec (00:58:14)



Notes:

[4] File cannot be opened. It may be in use by another application or operating system.

[msc hotline sat]

No, mejor pasa este AV ONLINE :





[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



saludos



ms, 7 de Agosto de 2008









NOTA y los .DLLTMP no estan en C:\System Volume Information\ ! sino en carpetas accesibles normales,. miralo en C: y D: !!! Y al RESTORE solo se puede acceder con propiedades de Administrador y desactivando la restauracion de sistema, pero ahora no es el caso:



C:\Program Files\Internet Explorer\wsock32.dlltmp



D:\Juegos\Blizzard inc\WARCRAFT\wsock32.dlltmp

D:\New Folder\OFFICE11\wsock32.dlltmp

D:\Program Files\AtomixMP3\wsock32.dlltmp

D:\wsock32.dlltmp

[Aeolas]

Este es el resultado del testeo AV



sábado, 09 de agosto de 2008 1:20:09

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 9/08/2008

Registros en la base antivirus: 952302

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

Estadísticas

Número de objeros analizados 78936

Virus encontrados 6

Objetos infectados 16 / 0

Objetos sospechosos 2

Duración del análisis 01:26:58



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\cert8.db Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\formhistory.dat Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\history.dat Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\key3.db Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\parent.lock Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\search.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\urlclassifier2.sqlite Object is locked saltado

C:\Documents and Settings\usuario\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Application Data\Mozilla\Firefox\Profiles\4pryuz57.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\History\History.IE5\MSHist012008080820080809\index.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\usuario\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\usuario\ntuser.dat Object is locked saltado

C:\Documents and Settings\usuario\ntuser.dat.LOG Object is locked saltado

C:\Program Files\DelFin\PromulGate\PgMonitr.vir.zip/PgMonitr.vir.exe Sospechosos: Password-protected-EXE saltado

C:\Program Files\DelFin\PromulGate\PgMonitr.vir.zip ZIP: sospechoso - 1 saltado

C:\Program Files\Internet Explorer\wsock32.sospechoso Infectados: Trojan-PSW.Win32.WOW.bbd saltado

C:\Program Files\Internet Explorer\wsock32.VIR Infectados: Trojan-PSW.Win32.WOW.ask saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll Object is locked saltado

C:\WINDOWS\$NtUninstallQ315000$\upnp.dll Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\aoltbl.dll Infectados: Trojan.Win32.BHO.fby saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

D:\AutoCAD 2006\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\AutoCAD 2006\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Diego Archivos\ELISTARA.ØAØIBØØH.EXE Infectados: Trojan-Downloader.Win32.IstBar.vv saltado

D:\Juegos\Blizzard inc\WARCRAFT\wsock32.sospechoso Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Juegos\Blizzard inc\WARCRAFT\wsock32.VIR Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Juegos\DAVE2\wsock32.VIR Infectados: Trojan-PSW.Win32.WOW.aui saltado

D:\New Folder\OFFICE11\wsock32.sospechoso Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\New Folder\OFFICE11\wsock32.VIR Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Program Files\AtomixMP3\wsock32.sospechoso Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Program Files\AtomixMP3\wsock32.VIR Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\wsock32.sospechoso Infectados: Trojan-PSW.Win32.WOW.aui saltado

D:\wsock32.VIR Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\Xara\Xara3D5\wsock32.VIR Infectados: Trojan-PSW.Win32.WOW.ask saltado

Análisis completado.



eso es todo saludos

[lucl]

Veamos busca estos archivos y los subes uno a uno a



www.virustotal.com/es





D:\AutoCAD 2006\wsock32.dll Infectados:

D:\AutoCAD 2006\wsock32.dlltmp Infectados:



Ojo que estos del autocad pueden ser falsos positivos por eso mejor analizalos en virustotal







D:\Juegos\Blizzard inc\WARCRAFT\wsock32.sospechoso Infectados:

D:\Juegos\Blizzard inc\WARCRAFT\wsock32.VIR Infectados:

D:\Juegos\DAVE2\wsock32.VIR Infectados:

D:\New Folder\OFFICE11\wsock32.sospechoso Infectados:

D:\New Folder\OFFICE11\wsock32.VIR Infectados:

D:\Program Files\AtomixMP3\wsock32.sospechoso Infectados:

D:\Program Files\AtomixMP3\wsock32.VIR Infectados:



D:\wsock32.sospechoso Infectados:

D:\wsock32.VIR Infectados:

D:\Xara\Xara3D5\wsock32.VIR Infectados:

C:\Program Files\DelFin\PromulGate\PgMonitr.vir.zip/PgMonitr.vir.exe

C:\Program Files\DelFin\PromulGate\PgMonitr.vir.zip ZIP:

C:\Program Files\Internet Explorer\wsock32.sospechoso Infectados:

C:\Program Files\Internet Explorer\wsock32.VIR Infectados:



y los que te den infectados por virustotal nos pegas el log resultante y te seguimos indicando, saludos

[msc hotline sat]

Especialmente renombre la extension de los siguientes ficheros a .VIR:





C:\WINDOWS\system32\aoltbl.dll Infectados: Trojan.Win32.BHO.fby saltado



D:\AutoCAD 2006\wsock32.dll Infectados: Trojan-PSW.Win32.WOW.ask saltado

D:\AutoCAD 2006\wsock32.dlltmp Infectados: Trojan-PSW.Win32.WOW.bbd saltado

Trojan-PSW.Win32.WOW.bbd saltado

D:\New Folder\OFFICE11\wsock32.sospechoso Infectados: Trojan-PSW.Win32.WOW.bbd saltado

D:\Program Files\AtomixMP3\wsock32.sospechoso Infectados: Trojan-PSW.Win32.WOW.bbd saltado



Tras ello, al reiniciar ya no se podrán poner en uso, y nos cuenta si persiste alguna anomalia



saludos



ms, 17 de Agosto de 2008







NOTA: Si no hubieras enviado muestra de alguno de ellos, hazlo, para poder analizarlos y conbtrolarlos en proxima version de nuestras utilidades. ms.