Posible virus (SOLUCIONADO)

gorky · Mensaje por **gorky** » 10 Sep 2008, 13:46

Buenas, despues de notar diferentes anomalías en mi ordenador (interrupción de la conexión a internet, aparición de páginas de publicidad, ralentización del sistema...) he llegado a la conclusión de que puedo estar infectado por algún virus.

Tengo instalado el antivirus nod32 pero cuando chequeo el ordenador no me detecta ningún virus.

¿Me podríais indicar los pasos a seguir para desinfectarlo en caso de que tenga algún virus?

Gracias de antemano.

Mensaje por **msc hotline sat** » 10 Sep 2008, 15:02

Pues de entrada prueba el ELISTARA y posteanos el resultado:

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos

ms, 10-09-2008

infouvm · Mensaje por **infouvm** » 11 Sep 2008, 21:21

¿quisiera saber si al formatear una computadora, es 100% seguro que todos los virus que tenia se eliminan, tambien me gustaria saber cual es el mejor antivirus para los troyanos?

Mensaje por **lucl** » 11 Sep 2008, 23:13

Cien por cien seguro tampoco... En cuanto al mejor antitrojanos desde luego la precaucion y va a gustos. Un buen firewall un buen antivirus y mucho cuidado es la mejor combinacion, saludos

gorky · Mensaje por **gorky** » 12 Sep 2008, 19:25

Gracias por responder.

Aquí os pongo el informe de Elistara.

Fri Sep 12 18:14:06 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\REGEDIT.COM --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Sep 12 18:14:35 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4915

Nº Total de Ficheros: 75371

Nº de Ficheros Analizados: 33033

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Fri Sep 12 18:31:20 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\programas_instalar\WindowsSuperLegal-100\KEYFINDER.EXE --> Eliminado, FindKeyXp(dropper)

Nº Total de Directorios: 854

Nº Total de Ficheros: 13577

Nº de Ficheros Analizados: 749

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Os mando tambien el informe del scaner online de Kaspersky por si sirve para algo:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

miércoles, 10 de septiembre de 2008 18:08:28

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 10/09/2008

Registros en la base antivirus: 1206972

-------------------------------------------------------------------------------

Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

Estadísticas:

Número de objeros analizados: 97221

Virus encontrados: 8

Objetos infectados: 26 / 0

Objetos sospechosos: 0

Duración del análisis: 03:15:54

Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080910-124218.log Object is locked saltado

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\BIU1.txt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Datos de programa\Acronis\TrueImageHome\Logs\F8AA9D7D-20FB-45BC-A3A0-3F2AC7AED0A4.log Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Historial\History.IE5\MSHist012008091020080911\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-9-10-2008( 12-42-41 ).SDB Object is locked saltado

C:\Documents and Settings\OSKAR\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\OSKAR\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked saltado

C:\System Volume Information\catalog.wci\00010003.ci Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.fid Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.hsh Object is locked saltado

C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\INDEX.000 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP141\A0039829.exe Infectados: not-a-virus:AdWare.Win32.Agent.emd saltado

C:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP145\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{0C35667D-ACE6-4E5F-B484-9C83FAFDD49C}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\programas_instalar\CodecPackElisoft140.exe/divx511\fsg_4104.exe Infectados: not-a-virus:AdWare.Win32.Gator.4104 saltado

D:\programas_instalar\CodecPackElisoft140.exe Gentee: infectado - 1 saltado

D:\programas_instalar\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso/Nero PhotoShow Express/nero_photoshow_express_5_setup.exe/data0017 Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\programas_instalar\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso/Nero PhotoShow Express/nero_photoshow_express_5_setup.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\programas_instalar\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\programas_instalar\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso ISOimage: infectado - 3 saltado

D:\programas_instalar\WindowsSuperLegal-100\keyfinder.exe/data.rar/xpkey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado

D:\programas_instalar\WindowsSuperLegal-100\keyfinder.exe/data.rar/officekey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado

D:\programas_instalar\WindowsSuperLegal-100\keyfinder.exe/data.rar Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado

D:\programas_instalar\WindowsSuperLegal-100\keyfinder.exe RarSFX: infectado - 3 saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab/KEYGEN~1.EXE Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe 7-Zip: infectado - 1 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe 7-Zip: infectado - 1 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP56\A0022421.exe/data0000 Infectados: Backdoor.Win32.Poison.ggb saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP56\A0022421.exe EmbeddedEXE: infectado - 1 saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039785.exe/data0000.cab/Thank you.exe Infectados: Trojan-Downloader.MSIL.Agent.ah saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039785.exe/data0000.cab Infectados: Trojan-Downloader.MSIL.Agent.ah saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039785.exe Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039787.exe/data0000.cab/IKATKW~1.EXE Infectados: Trojan-Downloader.MSIL.Agent.ao saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039787.exe/data0000.cab Infectados: Trojan-Downloader.MSIL.Agent.ao saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039787.exe Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP145\change.log Object is locked saltado

Análisis completado.

Comentaros que es posible que no siga esta conversación de manera regular ya que estoy pasando problemas de salud.

Un saludo y gracias por todo.

Mensaje por **msc hotline sat** » 12 Sep 2008, 20:29

Bien, pues tenemos 16 en el RESTORE, que no afectan actualmente salvo que se restaurase a una fecha anterior, y 10 activos que son los que cuentan:

Los 10 activos son:

D:\programas_instalar\CodecPackElisoft140.exe/divx511\~~[b]~~[i]fsg_4104.exe[/i][/b] D:\programas_instalar\~~[b]~~[i]CodecPackElisoft140.exe[/i][/b]

2 en D:\programas_instalar\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso/Nero PhotoShow Express/~~[b]~~[i]nero_photoshow_express_5_setup.exe[/i][/b]

3 en D:\programas_instalar\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\~~[b]~~Nero 8.3.0.iso/[/b]

3 en D:\programas_instalar\WindowsSuperLegal-100\~~[b]~~[i]keyfinder.exe[/i][/b]

Pues a estos activos ~~[b]~~[i]que te señalo así[/i][/b], renombrales la extensiuon a .VIR y envianoslos para analizar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Y 16 EN EL RESTORE que estan aparcados y que no molestan de momento:

C:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP141\A0039829.exe Infectados: not-a-virus:AdWare.Win32.Agent.emd saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab/KEYGEN~1.EXE Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE Rsrc-Package: infectado - 2 saltado

D:\System Volume-13 -Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe 7-Zip: infectado - 1 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe 7-Zip: infectado - 1 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP56\A0022421.exe/data0000 Infectados: Backdoor.Win32.Poison.ggb saltado

D:\System Volume- Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039785.exe/data0000.cab/Thank you.exe Infectados: Trojan-Downloader.MSIL.Agent.ah saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039785.exe/data0000.cab Infectados: Trojan-Downloader.MSIL.Agent.ah saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039785.exe Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039787.exe/data0000.cab/IKATKW~1.EXE Infectados: Trojan-Downloader.MSIL.Agent.ao saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039787.exe/data0000.cab Infectados: Trojan-Downloader.MSIL.Agent.ao saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP140\A0039787.exe Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{5148BB38-B665-405E-AE9B-92D486A0BA7A}\RP145\change.log Object is locked saltado

De momento estará aparcado el problema, y una vez implementado el control y eliminacion de las muestras, ya se pulirán los restos.

saludos

ms, 12-09-2008

Y los del RESTORE, desactivando la restauracion de sistema y arrancando en modo seguro, ya se eliminará posteriormente.

ms.

Mensaje por **msc hotline sat** » 13 Sep 2008, 08:04

y para infouvm, que ha dejado un post en este Tema, dado que forma parte de los 14 de la misma IP:

Ante el registro de 14 nicks desde la misma IP y el posteo atipico de los mismos, se bloquean pasando a dejar solo uno, el de melody rivera, por si sois de una aula o colectivo al respecto, pero usad un solo nick y postead en un solo Tema, y solo cuando se haya cerrado el mismo, podeis abrir otro, de lo contrario se baneará dicha IP

gorky · Mensaje por **gorky** » 13 Sep 2008, 12:25

Antes de enviar lo que me pides, tengo una pregunta.

¿Como puedo acceder a las carpetas y archivos que están dentro de un .exe o .iso?

Cuando lo sepa os lo mando.

Otra cuestión: la contraseña del zip que debo poner es "virus", ¿no?

Un saludo

Mensaje por **msc hotline sat** » 13 Sep 2008, 12:31

Sí, la contraseña debe ser "virus"

Y los ficheros EXE que son autoextraibles, contienen otros ficheros, como los ISO, que son imagenes de CD, pero fijate que no te pedimos los ficheros que contienen, sino los contenedores, o sea los empaquetados que contienen los malwares

Por lo que simplemente envianos los que ya indicamos y marcamos en ~~[b]~~[i]negrita y cursiva[/i][/b]

saludos

ms, 13-09-2008

gorky · Mensaje por **gorky** » 13 Sep 2008, 12:54

Siento insistir pero para llegar al archivo "fsg_4104.exe" debo entrar antes en el ejecutable "CodecPackElisoft140.exe", ¿como lo hago?.

Lo mismo pasa con "nero_photoshow_express_5_setup.exe", que está dentro de la imagen "Nero 8.3.0.iso".

Gracias.

Mensaje por **msc hotline sat** » 13 Sep 2008, 13:04

Cierto, cierto, no me fije que había una barra en lugar de contrabarra, por ahí en medio:

CodecPackElisoft140.e~~[b]~~[i]xe/di[/i][/b]vx511\fsg_4104.exe

Pues envianos el contenedor, o lo extraes y lo desempaquetas, pero no te compliques, ya lo haremos nosotros, e igual con el otro.

saludos

ms, 13-09-2008

gorky · Mensaje por **gorky** » 13 Sep 2008, 15:05

He estado revisando los archivos que debo mandar y voy a comentaros un par de cosas:

El archivo "Nero 8.3.0.iso" tiene más de 1Gb por lo que no puedo mandarlo. ¿Que hago con él?¿Borrándolo elimino el problema?

El archivo "D:\programas_instalar\WindowsSuperLegal-100\keyfinder.exe" ha desaparecido, quizas el antivirus se lo ha cargado.

Os intentaré enviar los dos siguientes:

1.-"D:\programas_instalar\CodecPackElisoft140.exe", dentro del cual está "fsg_4104.exe"

2.-"D:\programas_instalar\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso/Nero PhotoShow Express/nero_photoshow_express_5_setup.exe"

El comprimido de los dos ocupa 27Mb.

Lo intentaré mandar por correo electronico. ¿Me podríais decir la dirección exacta?

Mensaje por **msc hotline sat** » 13 Sep 2008, 18:22

Si estos ficheros de mas de 10 Mb no los envies, eliminalos directamente

Y tras ello reinicia y dinos si persiste alguna anomalia, gracias

saludos

ms, 13-09-2008

gorky · Mensaje por **gorky** » 14 Sep 2008, 13:46

He eliminado los archivos pero continuo con los problemas.

¿Qué me recomendais hacer para desinfectar mi equipo?

Mensaje por **msc hotline sat** » 14 Sep 2008, 14:02

Vuelve a pasar el mismo AV ONLINE a ver si aun detecta algo, nos posteas el informe y lo estudiaremos

saludos

ms, 14-09-2008

gorky · Mensaje por **gorky** » 15 Sep 2008, 17:55

Os envio el informe del AV.

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 15 de septiembre de 2008 15:19:12

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 15/09/2008

Registros en la base antivirus: 1235094

-------------------------------------------------------------------------------

Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

Estadísticas:

Número de objeros analizados: 89290

Virus encontrados: 2

Objetos infectados: 7 / 0

Objetos sospechosos: 0

Duración del análisis: 03:18:02

Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080915-113055.log Object is locked saltado

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\BIU1.txt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Datos de programa\Acronis\TrueImageHome\Logs\99D8B7BA-77F8-402C-BA0F-C9AACA14DFD8.log Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Last.fm\Client\Last.fm.log Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\OSKAR\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked saltado

C:\System Volume Information\catalog.wci\00010001.ci Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.fid Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.hsh Object is locked saltado

C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\INDEX.000 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\HTT12BC.tmp Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab/KEYGEN~1.EXE Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe 7-Zip: infectado - 1 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe 7-Zip: infectado - 1 saltado

Análisis completado.

¿Os serviria de algo el que os envíe el log del Hijackthis para estudiar los procesos?

Mensaje por **msc hotline sat** » 15 Sep 2008, 18:02

El AV ONLINE ya solo detecta ficheros en el RESTORE, aparcados y que salvo que lanzaras una restauración a un punto anterior, ya no están activos.

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab/KEYGEN~1.EXE Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe 7-Zip: infectado - 1 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe 7-Zip: infectado - 1 saltado

Estos pueden ser eliminados arrancando en modo seguro y desactivando la restauración de sistema.

Y si quieres que analicemos el log de HJT, mejor envíanos el del SPROCES que es mas exhaustivo y llega mas a fondo:

~~[b]~~SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar

saludos

ms, 15-09-2008

gorky · Mensaje por **gorky** » 15 Sep 2008, 18:10

Os mando el informe delñ AV online:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 15 de septiembre de 2008 15:19:12

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 15/09/2008

Registros en la base antivirus: 1235094

-------------------------------------------------------------------------------

Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

Estadísticas:

Número de objeros analizados: 89290

Virus encontrados: 2

Objetos infectados: 7 / 0

Objetos sospechosos: 0

Duración del análisis: 03:18:02

Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080915-113055.log Object is locked saltado

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\BIU1.txt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Datos de programa\Acronis\TrueImageHome\Logs\99D8B7BA-77F8-402C-BA0F-C9AACA14DFD8.log Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Last.fm\Client\Last.fm.log Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\OSKAR\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\OSKAR\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\OSKAR\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked saltado

C:\System Volume Information\catalog.wci\00010001.ci Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.fid Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.hsh Object is locked saltado

C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\INDEX.000 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\HTT12BC.tmp Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab/KEYGEN~1.EXE Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE/data0000.cab Infectados: Trojan.Win32.Monder.gen saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP49\A0021034.EXE Rsrc-Package: infectado - 2 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022055.exe 7-Zip: infectado - 1 saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\System Volume Information\_restore{087090A7-0820-42E7-91C1-B2E0EFFD9290}\RP52\A0022060.exe 7-Zip: infectado - 1 saltado

Análisis completado.

¿Os serviria de algo que os mandase el log del Hijackthis?

Gracias y un saludo.

gorky · Mensaje por **gorky** » 15 Sep 2008, 18:28

He mandado dos veces el log, lo siento.

Mensaje por **msc hotline sat** » 15 Sep 2008, 18:30

Tranquilo, pasamos de él, pero el que falta es el otro... el SPROCLOG.TXT, gracias

saludos

ms, 15-09-2008

gorky · Mensaje por **gorky** » 15 Sep 2008, 18:31

Aquí teneis el log del SPROCES:

Mon Sep 15 18:29:22 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\ACRONIS\TRUEIMAGEHOME\TRUEIMAGEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ACRONIS\TRUEIMAGEHOME\TIMOUNTERMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDHLP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\CISVC.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROWORLD\AGENT\MWASER.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROWORLD\AGENT\MWAGENT.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\FOMATIK\TRUEIMAGETRYSTARTSERVICE.EXE

C:\WINDOWS\SYSTEM32\TASKMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\OSKAR\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Archivos de programa\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Archivos de programa\Acronis\TrueImageHome\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - (no file)

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Archivos de programa\Archivos comunes\MicroWorld\Agent\MWASER.EXE

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Eset Nod32 Boot (NOD32FiXTemDono) - Unknown owner - C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Acronis True Image FS Filter (tifsfilter) - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\tifsfilt.sys

O23 - Service: tmcomm - Trend Micro Inc. - C:\WINDOWS\system32\drivers\tmcomm.sys

O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Acronis\Fomatik\TrueImageTryStartService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: grmnusb - GARMIN Corp. - C:\WINDOWS\SYSTEM32\drivers\grmnusb.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: VIA AC'97 Enhanced Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudio.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

32 Servicios.

16 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 15 Sep 2008, 18:44

Pues sí que vemos donde puedes tener un conflicto:

Supongo que usas el NOD32, ya que lo vemos entre los ficheros en uso, pero tienes servicios de TREND, que debe ser el que usabas antes pero no has desinstalado bien:

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE <---- NOD32

O23 - Service: tmcomm - Trend Micro Inc. - C:\WINDOWS\system32\drivers\tmcomm.sys <--- TREND

y supongo que como esta clave tendrás otras de dicho antivirus en el registro.

No deben coexistir instalados dos antivirus en un ordenador, por las colisiones y ralentizacion que pueden provocar.

Decide cual te quedas y desinstala totalmente el otro.

saludos

ms, 15-09-2008

NOTA: Aparte, la existencia de este otro antispyware puede añadir lentitud e los procesos:

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

ms.

gorky · Mensaje por **gorky** » 15 Sep 2008, 19:00

No se si los tiros van por ahí, ya que lo que se aprecia del Trend debe de ser alguna aplicación que instala el scaner online de TrendMicro, que lo hice ayer para ver si me localizaba algo que se le escapaba al Kaspersky. Los problemas vienen de antes.

De todas formas he intentado desinstalarlo y no me aparece en la lista de programas instalados. ¿cómo lo puedo eliminar?

Mensaje por **msc hotline sat** » 15 Sep 2008, 19:05

Los AV ONLINE no instalan servicios...

Primero renombra el fichero que lanza, C:\WINDOWS\system32\drivers\tmcomm.sys a .VIR y tras reiniciar, con el ELISERV le entras el servicio tmcomm , y tras ello mira de nuevo con el SPROCES a ver si ya no está...

El resto de claves, con el BUSCAREG mira si encuentras TREND en el registro y elimina las que encuentres:

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

No recuerdo si este antivirus tiene un desinstalador, (apenas se usa en el foro) sería otra manera.

saludos

ms, 15-09-2008

gorky · Mensaje por **gorky** » 15 Sep 2008, 19:34

Ya he hecho lo que ne habeis dicho y aquí teneis el nuevo log del SPROCES:

Mon Sep 15 19:31:49 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\ACRONIS\TRUEIMAGEHOME\TRUEIMAGEMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ACRONIS\TRUEIMAGEHOME\TIMOUNTERMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDHLP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\CISVC.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROWORLD\AGENT\MWASER.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROWORLD\AGENT\MWAGENT.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\FOMATIK\TRUEIMAGETRYSTARTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\TASKMGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\OSKAR\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Archivos de programa\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Archivos de programa\Acronis\TrueImageHome\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} -

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - (no file)

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Archivos de programa\Archivos comunes\MicroWorld\Agent\MWASER.EXE

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Eset Nod32 Boot (NOD32FiXTemDono) - Unknown owner - C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Acronis True Image FS Filter (tifsfilter) - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\tifsfilt.sys

O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Acronis\Fomatik\TrueImageTryStartService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: grmnusb - GARMIN Corp. - C:\WINDOWS\SYSTEM32\drivers\grmnusb.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: VIA AC'97 Enhanced Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudio.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

31 Servicios.

15 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 15 Sep 2008, 20:48

Bien, la clave de Trend ha sido eliminada, pero del resto del registro tu sabrás...

Dinos si tras reiniciar persiste alguna anomalia, gracias

saludos

ms, 15-09-2008

gorky · Mensaje por **gorky** » 16 Sep 2008, 19:59

Parece que va mejor.

De todas formas ¿como se eliminarían los virus inactivos que están en el restore?

Mensaje por **msc hotline sat** » 16 Sep 2008, 21:39

Para acceder al RESTORE debe desactivarse la restauracion de sistema, arrancar en modo seguro y lanzar el antivirus que controle dichos virus

saludos

ms, 16-09-2008

gorky · Mensaje por **gorky** » 20 Sep 2008, 22:20

De acuerdo.

Por mi doy por terminado el tema.

Gracias y hasta otra.

Mensaje por **lucl** » 20 Sep 2008, 23:39

Pues nos alegramos y cerramos el tema dandolo por solucionado , vuelve cuando quieras

saludos

Posible virus (SOLUCIONADO)

Posible virus (SOLUCIONADO)

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus

Re: Posible virus