error explorer envio log hijackthis

lupin2 · Mensaje por **lupin2** » 22 Oct 2008, 12:43

En algunas páginas el explorer me da error y se me cierra la página cuando le doy a depurar. He reiniciado en modo a prueba de fallos y le he pasado spybot s&d, superantispyware y spywareblaster 4.1.Después Ccleaner. He reiniciado en modo normal, le he pasado karpersky y ewido online, le he vuelto a pasar los anteriores, diskcleaner y regseeker y aun así sigue igual. Tengo instalado Panda. Os paso el log de hijackthis a ver si me podeis ayudar, gracias.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:03:50, on 22/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Security\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE
C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\LVComS.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Java\jre1.6.0_01\bin\jucheck.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2693C48F-0CCE-4789-8F82-EFE7D43A7D9C} - C:\DOCUME~1\usuario\CONFIG~1\Temp\AutoRunGUIg.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {D9398ADB-634A-4F58-ADDC-F156B9110406} - c:\windows\system32\mmsafpr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\ttggr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ttggr.dll
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222936204906
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5406/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D78857F-24A7-4135-A6C3-5093F3C72B11}: NameServer = 80.58.61.250 80.58.61.254
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: ayqyuklh - C:\WINDOWS\SYSTEM32\mmsafpr.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Archivos de programa\Archivos comunes\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
O24 - Desktop Component 0: (no name) - http://www.serialgamer.com/cache_wallpapers/1024x768/cinema/sin_city/sin_city_010.jpg

--
End of file - 10055 bytes

Mensaje por **msc hotline sat** » 22 Oct 2008, 14:06

Pues envianos estos ficheros para analizar:
c:\windows\system32\mmsafpr.dll
c:\windows\system32\ttggr.dll

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

y sino con el ELISTARA de hoy o mañana (depende de cuando envies las muestras), en el que implementaremos su control y eliminacion, tras recibir las muestras, de lo cual informaremos

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 22-10-2008

Mensaje por **msc hotline sat** » 23 Oct 2008, 12:54

Pues el mmsafpr.dll parece se una DLL del N P P T o o l s de microsoft, que no conozco, pero no se aprecian rutinas víricas y el otro ttggr.dl está lanzado en una clave LSP, que no puede eliminarse a la ligera, ya que va por niveles, y de eso se cuida el LSPFIX si procede,

Lanzando dicha utilidad corregirá , si procede, dichas entradas, por lo que tras ello reinicie y díganos si persiste alguna anomalía.

No procede hacer con ellas mas que lo indicado

Esperamos sus noticias

saludos
ms, 23-10-2008

lupin2 · Mensaje por **lupin2** » 23 Oct 2008, 13:52

hola, gracias por todo lo que estais haciendo pero a pesar de que he hecho todo lo que me habeis dicho el explorer sigue igual. Q puedo hacer?

Mensaje por **msc hotline sat** » 23 Oct 2008, 15:31

Pues lanza este AV ONLINE y posteanos el informe resultante:

SOLO TESTEO AV ONLINE

: error-explorer-envio-log-hijackthis.gif (36.96 KiB) Visto 552 veces

NOTA: Y escoger la opción de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuenciay si no aparece nada, ya descartaremos que sea algún malware y pasaremos a considerar la posibilidad de un problema del sistema, y procederíamos a una REPARACIÓN de windows

lupin2 · Mensaje por **lupin2** » 23 Oct 2008, 21:08

Hola, en primer lugar gracias. Aquí os dejo el informe de kaspersky.
KASPERSKY ONLINE SCANNER INFORME
jueves, 23 de octubre de 2008 21:04:37
Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 23/10/2008
Registros en la base antivirus: 1200437

Código: Seleccionar todo

Configuración del análisis 
Analizar usando las siguientes bases standard 
Analizar archivos verdadero 
Analizar bases de correo verdadero 
 
Objetivo a analizar Mi PC 
A:\
C:\
D:\
E:\  
 
Estadísticas 
Número de objeros analizados 43534 
Virus encontrados 15 
Objetos infectados 19 / 0 
Objetos sospechosos 0 
Duración del análisis 01:22:28 

Bombre del objeto infectado Nombre del virus Última acción 
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-10-23.13-39-27.log  Object is locked  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\31F1723F  Infectados: Trojan-Downloader.Win32.Adload.a  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\3201442E  Infectados: Trojan-Downloader.Win32.IstBar.kn  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\32056E2A  Infectados: Trojan-Downloader.Win32.IstBar.gen  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\32081826  Infectados: Trojan-Downloader.Win32.Dyfuca.gen  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\320B4223  Infectados: Trojan-Downloader.Win32.Dyfuca.ei  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\320F6C1F  Infectados: Trojan-Downloader.Win32.IstBar.jm  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\3212161C  Infectados: Trojan-Downloader.Win32.Dyfuca.dt  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\34BF1DA5.exe  Infectados: Trojan-Downloader.Win32.IstBar.ij  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\444D1BEB  Infectados: Trojan-Downloader.Win32.Dyfuca.dp  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\445719E0  Infectados: Trojan-Downloader.Win32.IstBar.ku  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\445E6DD9  Infectados: Trojan-Downloader.Win32.IstBar.gen  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\446117D5  Infectados: Trojan.Win32.Small.cy  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\45176CBE  Infectados: Trojan-Downloader.Win32.Dyfuca.ei  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\4BB26043  Infectados: Trojan-Downloader.Win32.Dyfuca.dt  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\554F52D8  Infectados: Trojan-Downloader.Win32.IstBar.oz  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\55527CD5  Infectados: Trojan-Downloader.Win32.IstBar.oz  saltado  
 
C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\663A1FBF  Infectados: Trojan-Downloader.Win32.IstBar.mx  saltado  
 
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\psqstore\Invent.QCF  Object is locked  saltado  
 
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\psqstore\Invent.QCF.ext  Object is locked  saltado  
 
C:\Archivos de programa\Panda Security\Panda Antivirus Pro 2009\psqstore\PSQ.CFG  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Datos de programa\Panda Security\Panda Antivirus Pro 2009\asyncq.dat  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Datos de programa\Panda Security\Panda Antivirus Pro 2009\msje8tp.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\ntuser.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\Cookies\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\ntuser.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Datos de programa\Ahead\Nero Home\bl.db  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Datos de programa\Ahead\Nero Home\is2.db  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Datos de programa\Identities\{BF4EFCD7-FD99-4A94-8A8B-56A9F3C49F5A}\Microsoft\Outlook Express\Folders.dbx  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Datos de programa\Identities\{BF4EFCD7-FD99-4A94-8A8B-56A9F3C49F5A}\Microsoft\Outlook Express\Offline.dbx  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Datos de programa\Microsoft\Media Player\CurrentDatabase_346.wmdb  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Historial\History.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Temp\Cookies\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Configuración local\Temp\Historial\History.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\Cookies\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\NTUSER.DAT  Object is locked  saltado  
 
C:\Documents and Settings\TEMP\NtUser.dat.LOG  Object is locked  saltado  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Object is locked  saltado  
 
C:\System Volume Information\_restore{1F02C7FE-CDAE-4414-AC05-7DAD418F20E6}\RP7\change.log  Object is locked  saltado  
 
C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  saltado  
 
C:\WINDOWS\SchedLgU.Txt  Object is locked  saltado  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Object is locked  saltado  
 
C:\WINDOWS\Sti_Trace.log  Object is locked  saltado  
 
C:\WINDOWS\system32\AppCert\wnl32.dll  Infectados: Trojan-Spy.Win32.Agent.ebs  saltado  
 
C:\WINDOWS\system32\AppCert\wsil32.dll  Infectados: Trojan-Downloader.Win32.Agent.aeie  saltado  
 
C:\WINDOWS\system32\CatRoot2\edb.log  Object is locked  saltado  
 
C:\WINDOWS\system32\CatRoot2\tmp.edb  Object is locked  saltado  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\default  Object is locked  saltado  
 
C:\WINDOWS\system32\config\default.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SAM  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SAM.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SECURITY  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\software  Object is locked  saltado  
 
C:\WINDOWS\system32\config\software.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\system  Object is locked  saltado  
 
C:\WINDOWS\system32\config\system.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\h323log.txt  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Object is locked  saltado  
 
C:\WINDOWS\Temp\d43317c6bfccf6201fd789c5f8c9f1dePSK_PLUGINS_0  Object is locked  saltado  
 
C:\WINDOWS\wiadebug.log  Object is locked  saltado  
 
C:\WINDOWS\wiaservc.log  Object is locked  saltado  
 
C:\WINDOWS\WindowsUpdate.log  Object is locked  saltado  
 
D:\emule\Temp\001.part  Object is locked  saltado  
 
D:\emule\Temp\002.part  Object is locked  saltado  
 
D:\emule\Temp\006.part  Object is locked  saltado

Análisis completado.

Mensaje por **msc hotline sat** » 23 Oct 2008, 21:25

Pues todos estos ya los tienes "aparcados" en la carpeta de cuarentena de Norton:

Código: Seleccionar todo

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\31F1723F Infectados: Trojan-Downloader.Win32.Adload.a saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\3201442E Infectados: Trojan-Downloader.Win32.IstBar.kn saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\32056E2A Infectados: Trojan-Downloader.Win32.IstBar.gen saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\32081826 Infectados: Trojan-Downloader.Win32.Dyfuca.gen saltado -

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\320B4223 Infectados: Trojan-Downloader.Win32.Dyfuca.ei saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\320F6C1F Infectados: Trojan-Downloader.Win32.IstBar.jm saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\3212161C Infectados: Trojan-Downloader.Win32.Dyfuca.dt saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\34BF1DA5.exe Infectados: Trojan-Downloader.Win32.IstBar.ij saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\444D1BEB Infectados: Trojan-Downloader.Win32.Dyfuca.dp saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\445719E0 Infectados: Trojan-Downloader.Win32.IstBar.ku saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\445E6DD9 Infectados: Trojan-Downloader.Win32.IstBar.gen saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\446117D5 Infectados: Trojan.Win32.Small.cy saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\45176CBE Infectados: Trojan-Downloader.Win32.Dyfuca.ei saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\4BB26043 Infectados: Trojan-Downloader.Win32.Dyfuca.dt saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\554F52D8 Infectados: Trojan-Downloader.Win32.IstBar.oz saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\55527CD5 Infectados: Trojan-Downloader.Win32.IstBar.oz saltado 

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\Quarantine\663A1FBF Infectados: Trojan-Downloader.Win32.IstBar.mx saltado

Y los que pueden afectar son:
C:\WINDOWS\system32\AppCert\wnl32.dll Infectados: Trojan-Spy.Win32.Agent.ebs saltado
C:\WINDOWS\system32\AppCert\wsil32.dll Infectados: Trojan-Downloader.Win32.Agent.aeie saltado

envianos estos dos ficheros para analizar:

C:\WINDOWS\system32\AppCert\wnl32.dll
C:\WINDOWS\system32\AppCert\wsil32.dll
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

Tras analizarlos, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos
ms, 23-10-2008

lupin2 · Mensaje por **lupin2** » 27 Oct 2008, 13:43

Gracias por todo. Ya os he enviado las muestras, espero noticias vuestras. Gracias, saludos.

Mensaje por **lucl** » 27 Oct 2008, 14:09

Mañana te diran algo al respecto pero por si acaso les diera tiempo a analizartelos hoy pasate por el foro por la tarde. Depende del trabajo que tengan alli claro pero no pierdes nada en comprobarlo saludos

Mensaje por **msc hotline sat** » 27 Oct 2008, 16:25

Efectivamente, me informan que esta tarde se han recibido dos muestras con este nick, trataremos de entrarlas en proceso esta misma tard, a ver si podemos controlarlas ya con el ELISTARA 17.27 de hoy, aunque hay cola (tiene unos cuantos delante, pero lo intentaremos)

saludos

ms, 27-10-2008

lupin2 · Mensaje por **lupin2** » 30 Oct 2008, 21:58

Hola, cómo va el análisis de las muestras? Bueno, supongo que si no habeis puesto nada es porque teneis mucho trabajo. Saludos. Espero vuestra respuesta. Muchas gracias.

Mensaje por **lucl** » 30 Oct 2008, 23:52

Por si acaso prueba la ultima version de elistara, igual lo que paso es que Msc no pudo contestar en tu post pero puede que ya esta controlado, voy a mirarlo espera. Pues si, el lunes ya se implemento en elistara asi que pasalo y peganos el infosat , saludos

Mensaje por **msc hotline sat** » 31 Oct 2008, 08:24

Sí, ya se indicó que intentariamos controlarlo a partir de la 17.27:

ELISTARA
---v17.27-(27 de Octubre del 2008) (Muestras de Vundo9, (5)Vundo5, (5)PWS-OnLineGames.CKVO, (3)PWS-OnLineGames.KAVO, Zlob.Rich.B(dropper), Flush o DNSChanger, (2)NaviPromo, Vapsup.LSP "NSBROWSERCMP.DLL", FakeAlert(brastk) "BRASTK.EXE", (2)Obfuscator.BE "WINSRC.DLL", DownLoader.Agent.AEIE "WSIL32.DLL", Spy-Agent.EBS "WNL32.DLL", (2)Buzus.ZGE "DOSKEYS y DLLHOSTS.EXE")

Tras probarlo, posteanos el c:\infosat.txt resultante con un copiar y pegar de su contenido, para ver el resultado del proceso.

saludos
ms, 31-10-2008

lupin2 · Mensaje por **lupin2** » 31 Oct 2008, 17:30

Perdonad pero no sé lo que tengo que hacer con el elistara. Le doy al enlace que me poneis pero ya no sé continuar. Que tengo que descargar? No lo entiendo, lo siento.

Pixx · Mensaje por **Pixx** » 31 Oct 2008, 17:41

Ve a la parte inferior de la página y clicas en Descargar Elistara. Una vez descargado el archivo lo guardas en una carpeta, lo ejecutas y tras el proceso posteas el informe que hay dentro del archivo Infosat.txt en tu disco duro C:\

Salu2

Pixx · Mensaje por **Pixx** » 31 Oct 2008, 17:43

Descargar Elistara ->[url]http://www.zonavirus.com/descargas/elistara.asp[/url]

Salu2

Pixx · Mensaje por **Pixx** » 31 Oct 2008, 17:47

Msc se refiere a que en las nuevas versiones de Elistara el archivo vírico ya esta controlado.

(No se que pasa que no se pueden editar posts.)

Salu2

lupin2 · Mensaje por **lupin2** » 31 Oct 2008, 19:28

Al darle al enlace me sale esto pero no se me da ninguna opción de descargar nada. Lo siento pero no me entero.

Para nuevas variantes viricas segun muestras recibidas, hemos desarrollado las nuevas versiones de:

ELISTARA

---v17.27-(27 de Octubre del 2008) (Muestras de Vundo9, (5)Vundo5, (5)PWS-OnLineGames.CKVO, (3)PWS-OnLineGames.KAVO, Zlob.Rich.B(dropper), Flush o DNSChanger, (2)NaviPromo, Vapsup.LSP "NSBROWSERCMP.DLL", FakeAlert(brastk) "BRASTK.EXE", (2)Obfuscator.BE "WINSRC.DLL", DownLoader.Agent.AEIE "WSIL32.DLL", Spy-Agent.EBS "WNL32.DLL", (2)Buzus.ZGE "DOSKEYS y DLLHOSTS.EXE")

ELITRIIP

---v5.16---(21 de Octubre del 2008) (Muestras de BackDoor.Nvgra "WINHOST.EXE", (2)BackDoor.Numnom.A "LSIVS.EXE y MNDMSS.EXE" y (6)BackDoor.FakeViewer "FXSTALLER.EXE, INSTALLER.EXE y CFTMON32.EXE")

---v5.17---(27 de Octubre del 2008) (Muestras de BackDoor.FakeViewer "CFTMON32.EXE")

Ya se han subido a esta web exclusivamente para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 27-10-2008por msc hotline sat

el Lun Oct 27, 2008 5:40 pm

Foro: ALERTAS VIRICAS y utilidades de eliminacion

Tema: NUEVAS VERSIONES DE ELISTARA.EXE 17.27 Y ELITRIIP.EXE 5.17

Respuestas: 0

Vistas: 28

Mensaje por **lucl** » 31 Oct 2008, 20:32

Dale aqui y cuando te salga la pagina ve abajo del todo y veras un cuadro que pone descargar elistara. No se porque apareces en ese link pero no es el de descargas. En este que te dejo yo te saldra tranquilo y si no nos avisas, saludos

http://www.zonavirus.com/descargas/elistara.asp

lupin2 · Mensaje por **lupin2** » 03 Nov 2008, 19:51

En primer lugar gracias por todo. Bueno ya he ejecutado el elistara y aquí os dejo el informe. Espero noticias vuestras. Gracias.

Mon Nov 03 19:37:49 2008

EliStartPage v17.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Mon Nov 03 19:38:20 2008

EliStartPage v17.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE

Mon Nov 03 19:39:47 2008

EliStartPage v17.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\AppCert\WNL32.DLL --> Infectado, Spy-Agent.EBS

C:\WINDOWS\system32\AppCert\WSIL32.DLL --> Infectado, DownLoader.Agent.AEIE

C:\WINDOWS\system32\drivers\SPTD.SYS --> Infectado, RootKit(SPTD)

Nº Total de Directorios: 3492

Nº Total de Ficheros: 42296

Nº de Ficheros Analizados: 17001

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 03 Nov 2008, 21:31

Si desmarcas la eliminación automática y cuando detectas bichos no le das a eliminar, poco limpieza harás...

Pero si lo haces como medida de precaución, por posibles falsos positivos, correcto, entonces sube estos ficheros al VirusTotal y sabrás a qué atenerte:

https://www.virustotal.com/es/

Y si ningún antivirus detecta malwares en alguno de ello, envíanoslo indicando bien claro falso positivo

saludos
ms, 3-11-2008

error explorer envio log hijackthis

error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis

Re: error explorer envio log hijackthis