No se realmente que es lo que sucede!!! (SOLUCIONADO)

[gomp21]

Hola. Mi problema es el siguiente. Yo tengo el sistema operativo de windows XP, y esta dividido en varios usuarios. Cuando enciendo la computadora, antes de que salga la pantalla para seleccionar usuario, me sale un cuadro que tiene las siguientes características: La zona del titulo es azul y siempre dice algo distinto, en ocaciones aparecen cosas asi ║|| o con cuadros en blancos algunas veces, u otras veces salen con textos como c/windows/system32/..... despues de lo de system32 aparecen siempre cosas diferentes. Luego debajo del título aparece el resto del cuadro de color blanco con borde gris, como si fuera de escribir, y aparecen textos pero de unos 4 o 5 caracteres como el que aparece en el título, que no son letras, sino signos. Al final tiene un boton de aceptar. Lo unico q se puede hacer es darle aceptar para que aparezca la pantalla de seleccion de usuario. Esto mismo sucede igual cuando cierro sesión.

Otra cosa que he notado es que no me aparece el botón de apagar el equipo, cuando estoy en la seleccion de usuario, que suele aparecer en la esquina inferior izquierda de la pantalla. Y cuando presiono Ctrl+Alt+Supr, en el cuadro tambien aparece blqueado ese botón.

Una ultima cosa mi compu esta muy lenta, que podria hacer para volverla mas rápida, ya que por sus características no debería serlo tanto, ya he hecho analisis con el Nod32 y el Superantispyware. Las características de mi computadora son:

Disco duro de 200Gb, Procesador Pentium 4 de 2.93Ghz y 512Mb de RAM.

[msc hotline sat]

Puedes hacer dos cosas: REPARAR el sistema y lanzar el AV ONLINE para ver que si hay virus:





REPARAR


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]





AV ONLINE



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.



(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





SALUDOS



ms, 18-10-2008

[gomp21]

Hola. Este es el resultado del análisis. Aclaro que tengo NOD32 y ese progama no detecta esos virus, pero no tengo dinero para comprar kaspersky. Pero igual me gustaria arreglar el problema que aun persiste. Adjunto el archivo.[attachment=0]informe.txt[/attachment]

[msc hotline sat]

Buenooooo !




[quote]
Número de objeros analizados: 115427

Virus encontrados: 17

[b][i] Objetos infectados: 2935 / 0[/i][/b] Objetos sospechosos: 0

Duración del análisis: 01:49:52[/quote]

mirando a qué se debe vemos:



Los hay ya aparcados en carpeta de cuarentena del NOD32, estos ya no estan activos, y puedes eliminarlos, están en C:\Archivos de programa\ESET\infected\ y puedes eliminar todo su contenido, como:



C:\Archivos de programa\ESET\infected\3C1PRFBA.NQF





Y otros causados por la utilizacion de cracks y programas descargados por P2P:



Elimina todos los .RAR que los contienen, detectados como infectados en C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Ares\My Shared Folder\



como:



C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Ares\My Shared Folder\.SEO Elite 4.0.rar



C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Ares\My Shared Folder\Adobe Photoshop CS3 + Crack.rar



C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Ares\My Shared Folder\Adobe Photoshop CS3 Extended Version Full Cracked.rar



C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Ares\My Shared Folder\Adobe Photoshop Lightroom 1.5.rar



C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Ares\My Shared Folder\Adobe Premiere Pro CS3 Multi-language with Crack.rar



etc.





Despues de eliminar los NQF arriba indicados y todos estos .RAR, vuelve a lanzar el AV ONLINE a ver que queda, y posteanoslo de nuevo, para proceder en consecuencia



saludos



ms, 25-10-2008

[gomp21]

Hola de nuevo. Ya termine de pasar de nuevo es kaspersky. Adjunto el informe.[attachment=0]informe2.txt[/attachment]

[Claudia34]

Debes de seleccionar, copiar y luego pegar el informe aqui, no se debe de adjuntar.



Saludos.

[gomp21]

Ahí va el informe.



KASPERSKY ONLINE SCANNER INFORME

sábado, 25 de octubre de 2008 14:30:55

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 25/10/2008

Registros en la base antivirus: 1205833

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

L:\

M:\



Estadísticas:

Número de objeros analizados: 113127

Virus encontrados: 7

Objetos infectados: 10 / 0

Objetos sospechosos: 0

Duración del análisis: 01:44:38



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\Mozilla Firefox\components\nsBrowserCmp.dll Infectados: Trojan.Win32.Vapsup.lsp saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Crypto\DSS\MachineKeys\03a3242a4aa9fc704132eabbc9aff82c_b805341c-b9f5-498f-8625-24902cce1366 Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Crypto\DSS\MachineKeys\9e8f0d9e3d7c095c6b68dfb964bfb225_b805341c-b9f5-498f-8625-24902cce1366 Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Documentos\Config\desktop2.idf Object is locked saltado

C:\Documents and Settings\All Users\Documentos\Fonts\SwUniNew.tff Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\ApplicationHistory\hpqimzone.exe.c754ddcc.ini.inuse Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\albumTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\albumTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\EXIFTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\EXIFTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.fpt Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\pathnameTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\pathnameTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\propertiesTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\propertiesTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFTable.cdx Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFTable.dbf Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Historial\History.IE5\MSHist012008102520081026\index.dat Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Temp\hpodvd09.log Object is locked saltado

C:\Documents and Settings\Chalito\Configuración local\Temp\~DFEDC6.tmp Object is locked saltado

C:\Documents and Settings\Chalito\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Chalito\Datos de programa\Search Settings\kb125\temp\ws-14177.log Object is locked saltado

C:\Documents and Settings\Chalito\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-10-25-2008( 12-1-39 ).SDB Object is locked saltado

C:\Documents and Settings\Chalito\Escritorio\Nueva carpeta\AutoPlay\Docs\ESET NOD32 AV SE 3.0.645 x86\Medicina\setup.exe/script.au3 Infectados: Trojan.Win32.KillAV.rx saltado

C:\Documents and Settings\Chalito\Escritorio\Nueva carpeta\AutoPlay\Docs\ESET NOD32 AV SE 3.0.645 x86\Medicina\setup.exe Embedded: infectado - 1 saltado

C:\Documents and Settings\Chalito\Escritorio\Nueva carpeta\AutoPlay\Docs\ESET NOD32 AV SE 3.0.645 x86\Medicina\setup.exe UPX: infectado - 1 saltado

C:\Documents and Settings\Chalito\Escritorio\Nueva carpeta\AutoPlay\Docs\ESET NOD32 AV SE 3.0.645 x86\Medicina\setup.exe PE_Patch.UPX: infectado - 1 saltado

C:\Documents and Settings\Chalito\ntuser.dat Object is locked saltado

C:\Documents and Settings\Chalito\NtUser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{4DE08A69-9A85-439B-A587-54CAED2D71EF}\RP270\A0064625.exe Infectados: Hoax.Win32.Renos.vber saltado

C:\System Volume Information\_restore{4DE08A69-9A85-439B-A587-54CAED2D71EF}\RP291\A0074129.exe Infectados: P2P-Worm.Win32.Delf.bx saltado

C:\System Volume Information\_restore{4DE08A69-9A85-439B-A587-54CAED2D71EF}\RP333\A0085724.exe Infectados: Trojan.Win32.Buzus.zge saltado

C:\System Volume Information\_restore{4DE08A69-9A85-439B-A587-54CAED2D71EF}\RP345\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\doskeys.exe Infectados: Trojan-Dropper.Win32.Agent.ykh saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\mswinsck.ocx Infectados: Backdoor.Win32.VB.fnl saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

[msc hotline sat]

Esto ya está mejor !



Virus encontrados: 7

Objetos infectados: 10 / 0





De estos ficheros infectados, renombra a .VIR la extension de estos (para que no se pongan en marcha a partir del proximo reinicio) y nos los envias para analizar:





C:\Archivos de programa\Mozilla Firefox\components\nsBrowserCmp.dll



C:\Documents and Settings\Chalito\Escritorio\Nueva carpeta\AutoPlay\Docs\ESET NOD32 AV SE 3.0.645 x86\Medicina\setup.exe



C:\WINDOWS\system32\doskeys.exe



C:\WINDOWS\system32\mswinsck.ocx



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







y en el RESTORE quedan estos recuerdos (inactivos pero vivos) que conviene elimines desactivando la restauracion de sistema y arrancando en modo seguro, lanzar tu antivirus, que asi podrá eliminarlos:





C:\System Volume Information\_restore{4DE08A69-9A85-439B-A587-54CAED2D71EF}\RP270\A0064625.exe Infectados: Hoax.Win32.Renos.vber saltado



C:\System Volume Information\_restore{4DE08A69-9A85-439B-A587-54CAED2D71EF}\RP291\A0074129.exe Infectados: P2P-Worm.Win32.Delf.bx saltado



C:\System Volume Information\_restore{4DE08A69-9A85-439B-A587-54CAED2D71EF}\RP333\A0085724.exe Infectados: Trojan.Win32.Buzus.zge saltado





saludos



ms, 26-10-2008

[gomp21]

Ya envié los archivos que me dijeron, pero los que tenia que analizar con el antivirus, esos mi antivirus NOD32 A PESAR DE ESTAR CON ACTUALIZACIONES AL DÍA, NO LOS DETECTA.

[lucl]

Tu tranquilo que ahora los analizaremos nosotros y te daremos las herramientas necesarias, no te olvides ademas que los virus por desgracia se renuevan cada dia y muchos antivirus no los detectan y otra de las picarescas es que no los detecten por lo que eso es normal, estate atento al post mañana que te diran algo sobre los envios. Saludos

[msc hotline sat]

Ten presente que cada día salen mas de 100 nuevas variantes desconocidas, que los antivirus no detectan hasta que se les entrega las muestras de los malwares, lo cual hacemos nosotros cuando vemos ficheros sospechosos que resultan ser malwares, y que los antivirus aun no detectan.



Mañana analizaremos tus muestras, si se han recibido, e informaremos



saludos



ms, 26-10-2008

[gomp21]

Hola, hace algún tiempo les mande las muestras pero no me han respondido. Seguramente no las mande bien. Pero en todo caso tengo información nueva. Como antecedente al problema por el cual inicie esta consulta, al principio no salía ese cuadro, sino que más bien me salía cuando iniciaba la sesión, un mensaje de error que decía principalmente: "Windows no puede encontrar el archivo csrcs.exe". Yo había investigado un poco sobre ello y decía que era un troyano. Mi antivirus lo había detectado cuando lo puse a analizar, pero no lo eliminó. Por eso es que había investigado y había encontrado una manera que supuestamente me iba a ayudar, usando el malware bytes, hijackthis; lo hice y creí haberlo eliminado, ya que no me volvió a salir, pero inmediatamente cuando reinicie, fue cuando empezaron a salir esos cuadros que describí al inicio del foro. No supe que era, por lo que acudí a ustedes. Hoy inicie la computadora y no me salió el cuadro al inicio, eso me puso feliz, pero cuando inicié la sesión me salió el cuadro de csrcs.exe. Por lo visto creo que hay alguna relación entre este troyano y ese cuadro, porque si sale el cuadro no sale el mensaje y viceversa. Tal vez esto les de una pista para que me puedan ayudar.

[gomp21]

Se me olvide mencionar que ese archivo csrcs.exe, estoy casi seguro que es un impostor del archivo csrss.exe que es el archivo correcto del system32

[lucl]

Eso esta claro, puedes localizarlo? Si es asi renombralo bien y envianoslo para analizarlo espera que miro lo de tus muestras porque es raro que no te hayan dicho nada aun. Pues si, el lunes ya se implemento el control de tus envios, descarga elistara y pasalo y nos pegas el infosat. Lo mas probable es que no pudiera avisarte por algo pero ya esta controlado, saludos

[gomp21]

Hola. Ese troyano no lo he podido localizar, por el momento adjunto el infosat, voy a pasar el kaspersky a ver si lo localiza. Despues les pegare el reporte.



Fri Oct 31 16:19:22 2008

EliStartPage v17.31 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\SEARCH SETTINGS\SEARCHSETTINGS.EXE --> Malware.SearchSet Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DOSKEYS.EXE --> Eliminado Buzus.ZGE(dropper)

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\SYSTEM32\GH14RS.TXT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SEARCHSETTINGS"="C:\Archivos de programa\Search Settings\SearchSettings.exe"

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Oct 31 16:20:54 2008

EliStartPage v17.31 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Motorola Phone Tools\CCM.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Mozilla Firefox\components\NSBROWSERCMP.VIR --> Eliminado, Vapsup.LSP

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Search Settings\SEARCHSETTINGS.EXE.VIR --> Eliminado, Malware.SearchSet

C:\Documents and Settings\Beto §•§\Configuración local\Temp\SINTF32.DLL --> Eliminado, Spy-CmdLineExt

C:\Documents and Settings\Beto §•§\Configuración local\Temp\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt

C:\Documents and Settings\Beto §•§\Mis documentos\Unzipped\pc game insaniquarium deluxe game - popcap - full+crack\INSANIQUARIUM DELUXE GAME - POPCAP - FULL.EXE --> Eliminado, P2PAdware.A

C:\Documents and Settings\Chalito\Mis documentos\Archivos\GMP\Otros\Win zip-rar\Winrar 3.71 Ed Corporativa\WINRAR 3 71 EDICION CORPORATIVA.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\Chalito\Mis documentos\Archivos\GMP\Otros\Win zip-rar\Winzip 11.2\WINZIP 11 1 PRO + SERIAL KEY.EXE --> Eliminado, Dropper(ConHook)

C:\Documents and Settings\Gonzalo\Configuración local\Temp\pft1E.tmp\Source\Win2000\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\SDFix\apps\PROCESS.EXE --> Eliminado, RiskTool.PrcView

C:\WINDOWS\ALCMTR(2).EXE --> Eliminado, SpyRealtek

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.1.0.INF --> Eliminado, MyWebSearch(inf)

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.1.1.INF --> Eliminado, MyWebSearch(inf)

C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\system32\ReinstallBackups\0011\DriverFiles\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)



Nº Total de Directorios: 10944

Nº Total de Ficheros: 97139

Nº de Ficheros Analizados: 23855

Nº de Ficheros Infectados: 17

Nº de Ficheros Limpiados: 17

[msc hotline sat]

Aparte del informe del AV ONLINE, que nos será muy útil, si no aparece en él dicho fichero csrcs.exe, prueba el SPROCES y posteanos el SPROCLOG.TXT resultante, a ver si vemos alguna clave donde lo intente lanzar, y obraremos en consecuencia




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.





Posiblemente se trate de una clave instalada por el malware y que el antimalñwares que usaste no restauró.



saludos



ms, 1-11-2008

[gomp21]

Hola no fue necesario hacer eso, utilicé el HijackThis, y encontre no se como se llama...el proceso será?... que estaba involucrado al problema y todo se resolvió. Es l siguiente para que lo tengan como información para un caso futuro.

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe



Le di Fix y el programa lo quitó y se me solucionó, para finalizar le pasé el Ccleaner para asegurarme más. Después hice un análisis con el kaspersky y no me salió ningún virus. Gracias por todo, voy a tenerlos presentes para alguna situación futura.

[msc hotline sat]

Pues mal hecho, no se debía eliminar dicha clave sino restaurarla, dejando correcto el Shell al Explorer, al menos es lo que hubieramos hecho nosotros, a la vista de lo mismo con nuestro SPROCES, pero dado lo que dices, lo damos por solucionado y procedemos a cerrar el Tema.



saludos



ms, 2-11-2008