Aviso windows de spyware (SOLUCIONADO)

[muntsa22]

Hola, os mando copia de HijackThis para ver si detectais algun problema en mi ordenador.
Ha empezado a aparecer un mensaje en la barra de herramientas que me dice que windows ha detectado que mi ordenador esta infectado por un spyware. Tambien me ha aparecido el icono de un programa de Panda Pro 09 pero yo tengo instalado el 2008. En windows security center me aparece en rojo el aviso Virus proteccion not found y que el antivirus 2009 Pro is enable y que me conecte para conseguir la licencia. A parte de esto, he pasado los antispaywares Spybot en modo prueba de fallos y el Adaware, me detectan algun problema, lo solucionan pero al volver a reiniciar sigue el mismo aviso. Aparentemente el ordenador funciona correctamente.
Agradezco vuestra ayuda.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:14, on 02/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LogWatNT.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\ApvxdWin.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Archivos de programa\InterVideo\Common\bin\WinCinemaMgr.exe
C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe
C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
C:\Archivos de programa\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\brastk.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Archivos de programa\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WinCinemaMgr] "C:\Archivos de programa\InterVideo\Common\bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Sunkist2k] C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SD0.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [Antivirus Pro 2009] "C:\Archivos de programa\AntivirusPro2009\AntivirusPro2009.exe" /hide
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [BackupNotify] c:\Archivos de programa\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Performance Center] C:\Archivos de programa\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/26.30/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://inexprezsive.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://especiales.softonic.com/sinespias/installer.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe

--
End of file - 12797 bytes

[lucl]

Pasale este programa que te indico y peganos el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Y tras seguir lo correctamente indicado por lucl, se supone que el ELISTARA ya los conocerá o pedirá muestra para analizar, pero como que cada día aparecen nuevas variantes, si no los eliminara o pidiera muestras, envianos estos ficheros para analizar:

C:\WINDOWS\system32\brastk.exe
C:\Archivos de programa\AntivirusPro2009\AntivirusPro2009.exe


ENVIÓ DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 3-11-2008

[muntsa22]

Hola después de seguir las indicaciones que me disteis hice los siguientes pasos.
Pasé el Elistara pero no sé si funcionó del todo porque el Panda y el Spy bot continuamente de mandaban avisos donde yo debia o permitir o bloquear la entrada. Ante la duda bloqueaba y por tanto no sé si estaba haciendo lo correcto no dejando actuar tal vez al Elistara.
Una vez reiniciado el ordenador los avisos de virus infectado habian dejado de aparecer pero creo que no esta el tema solucionado del todo porque aparece algun otro.

En archivos de programa sigue instalado el Antivirus Pro.exe. Lo he comprimido y al intentar mandarlo el propio antivirus del programa de correo no me deja mandarlo y me aparece este mensaje.

AntivirusPro2009.zip (1760KB) Se ha detectado una amenaza de virus. No se pudo eliminar el virus. Realiza el análisis antivirus en tu computadora

En cuanto al archivo brastk.exe no lo encuentro en la carpeta system 32 aún teniendolo en ver archivos ocultos. El más parecido es blastcln.exe, creo que a veces se cambia el nombre, podria ser este?

¿Puedo eliminar la carpeta de Antivirus Pro 2009?

Muchas gracias por vuestra ayuda que me han librado de más de un problema.

[msc hotline sat]

Pero es que tenias el antivirus residente al escanear con el ELISTARA ??? Debe desactivarse para que no impida el acceso a los ficheros viricos y con ello impida su eliminacion !!!

Y mejor en este caso arrancar en modo seguro y lanzar dicha utilidad, y tras ello posteanos el contenido de c:\infosat.txt completo, para ver lo que ha detectado y el proceso realizado.

Y evidentemente si indica enviar muestras para analizar, proceder en consecuencia:

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 5-11-2008

[muntsa22]

He mandado las muestras de Elistara por correo ante la imposibilidad de hacerlo a traves de la web.

He realizado lo que me deciais y no sé si se habrá resuelto el problema.

Al iniciar el ordenador aparece un nuevo mensaje que antes no salia



Windows error en el sistema. Existe un nombre duplicado en la red.



Tambien el Spybot lanza el aviso que se ha detectado un cambio en una entrada importante del registro

system 327bratk.exe. Debo permitir el cambio o bloquearlo?



Gracias

[muntsa22]

He mandado las muestras de Elistara por correo ante la imposibilidad de hacerlo a traves de la web.

He realizado lo que me deciais y no sé si se habrá resuelto el problema.

Al iniciar el ordenador aparece un nuevo mensaje que antes no salia



Windows error en el sistema. Existe un nombre duplicado en la red.



Tambien el Spybot lanza el aviso que se ha detectado un cambio en una entrada importante del registro

system 327bratk.exe. Debo permitir el cambio o bloquearlo?



Gracias

[muntsa22]

La carpeta Antivirus Pro sigue en C/PROGRAMAS Puedo eliminarla?

[msc hotline sat]

No, mejor envianos el contenido como muestras para analizar.

Lo empaquetas en un zip o RAR con password virus y lo anexas a un mail dirigido a zonavirus@satinfo.es indicando como ASUNTO tu nick en el foro, como indicamos como alternativa en:


ENVIÓ DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253


Parece un FAKE ALERT de los trpecientos que ya controlamos con el ELISTARA, y si este aun no lo conocemos, (aparecen mas de un centenar de variantes nuevas diariamente) , tras analizarlo pasaremos a controlarlo y eliminarlo.


saludos

ms, 6-11-2008

[msc hotline sat]

Pero antes descarga la ultima version del ELISTARA, no sea que ya lo controle y elimine el actual, si enviaste las muestras que te pidió !!!



y nos posteas el c:\infosat.txt resultante., gracias



xsaludos



ms, 6-11-2008

[muntsa22]

Enviados por correo las muestras y archivos. Que hago con el aviso de Spybot del cambio en una entrada del registro de brastk.exe, supongo que será que puedo permitir el cambio verdad?



Gracias por todo

[msc hotline sat]

Si dices que has enviado las muestras esta tarde, se analizaran el lunes, cuando volvamoa al trabajo en SATINFO.



De todas formas en 10 minutos voy a subir la version 17.37 del ELISTARA de hoy, descargala, pruebala y nos posteas el contenido de c:\infosat.txt, que igual otros usuarios nos han eviado muestra de lo que te afecta y ya lo controla la indicada version.



saludos



ms, 7-11-2008

[muntsa22]

Hola, no he recibido ninguna otra indicación por vuestra parte desde que mande los archivos que me pedisteis hace ya varios días.
El ordenador desde la primera vez que pasé el Elistara funciona de nuevo bien aunque como os dije continuo teniendo la carpeta Antivirus Pro en archivo-programas. Debo eliminarla?
Tambien desde que pasé el Elistara me aparece el error de windows existe duplicado de nombre en la red, no sé si tendrá alguna relacion ni como solucionarlo.
Muchas gracias por todo

[lucl]

Hola, bajate de nuevo elistara y pasalo pues desde entonces es posible que ya se haya actualizado con tus muestras, nos pegas el infosat, y la carpeta que dices del antivirus pro, si no la enviaste hazlo ahora para analizarla y buscar el antidoto necesario. Por si acaso pasa primero elistara , descargalo de nuevo y veamos que pone en el log de infosat. Una vez echo esto nos dices si te vuelve a salir el error que comentas, saludos

[msc hotline sat]

Por supuesto, prueba la ultima version de ELISTARA, y puestos a decir, tambien del ELITRIIP y del ELIBAGLA, que son los que actualizamos casi cada día,

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Pero si no detectan nada, repite el envió, ya que igual no llegaron, ya que el envió de muestras iba mal días pasados. Sobre todo empaquetalas con password virus, para que no sean intrceptadas por otros antivirus de la Red

saludos

ms, 16-11-2008

[muntsa22]

He vuelto a mandar los dos archivos comprimidos, es verdad que tuve que hacerlo por correo porque no pude a traves de la web.

He pasado los 3 programas que me pediais y posteo. De entrada hace dos dias que no me ha vuelto a paarecer el mensaje de nombre duplicado en la red, este mensaje apareció justo después de pasar el elistara la 1ª vez, en dos o tres ocasiones. Ultimamente el panda aviso que habia alguien que estaba intentando conectarse a traves de mi red (la tengo como red segura) por lo que no permiti el acceso. No sé si será casualidad o puede tener alguna relación con el problema del spyware.

Por lo demás parece todo solucionado.

Muchas gracias de nuevo por la ayuda.

--------------------------------------------------------------------------------------------------------------------------------------------------



Mon Nov 03 22:39:51 2008

EliStartPage v17.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\BRASTK.EXE.Muestra EliStartPage v17.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BRASTK.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "brastk"="C:\WINDOWS\system32\brastk.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 05 23:09:12 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "brastk"="C:\WINDOWS\system32\brastk.exe"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sun Nov 16 19:00:11 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "brastk"="C:\WINDOWS\system32\brastk.exe"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sun Nov 16 19:01:10 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Propietario\Mis documentos\Montse\Diversos\T08.EXE --> Eliminado, Frauder.KG

C:\hp\drivers\audio_realtek\ALCXMNTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 8577

Nº Total de Ficheros: 115329

Nº de Ficheros Analizados: 29872

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Sun Nov 16 19:11:29 2008

EliTriIP v5.25 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Nov 16 19:11:52 2008

EliTriIP v5.25 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8576

Nº Total de Ficheros: 115329

Nº de Ficheros Analizados: 28001

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Nov 16 19:18:51 2008

EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Nov 16 19:19:02 2008

EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8576

Nº Total de Ficheros: 115330

Nº de Ficheros Analizados: 17200

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues emvianos este fichero para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\BRASTK.EXE.Muestra EliStartPage v17.32



y te faltan parches, lanza un windowsupdate e instala el SP3 y posteriores que encuentre a faltar



saludos



ms, 16-11-2008

[msc hotline sat]

Recibida la muestra enviada, vemos que ya está controlada por el ELISTARA actual, 17.43



Descarga la actual version y pruebalo, y recuerda que siempre se ha de probar la ultima version existente en el foro (estabas probando un ELISTARA de 11 versiones anteriores !!!)



y comentanos el resultado, gracias



saludos



ms, 18-11-2008

[muntsa22]

He pasado la última versión y mando resumen. Parece ser que el programa detecta la carpeta [b]muestras[/b] donde está el archivo infectado, puedo eliminarla? Puedo eliminar tambien la carpeta que contiene el antivirus Pro que ya os mandé para analizar?



La anterior versión que pasé del Elistara era la EliStartPage v17.42 tal y como se ve en el report, creo que lo de las 11 versiones era de un problema anterior que tuve. Cuando acabe con esto descargaré el SP3.

Parece pero que el ordenador funciona correctamente, me podeis decir si el tema está solucionado?

Gracias







Sun Nov 16 19:01:10 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Propietario\Mis documentos\Montse\Diversos\T08.EXE --> Eliminado, Frauder.KG

C:\hp\drivers\audio_realtek\ALCXMNTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 8577

Nº Total de Ficheros: 115329

Nº de Ficheros Analizados: 29872

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Sun Nov 16 19:11:29 2008

EliTriIP v5.25 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Nov 16 19:11:52 2008

EliTriIP v5.25 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8576

Nº Total de Ficheros: 115329

Nº de Ficheros Analizados: 28001

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Nov 16 19:18:51 2008

EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Nov 16 19:19:02 2008

EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8576

Nº Total de Ficheros: 115330

Nº de Ficheros Analizados: 17200

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Nov 18 12:15:34 2008

EliStartPage v17.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Tue Nov 18 12:16:23 2008

EliStartPage v17.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\BRASTK.EXE.MUESTRA ELISTARTPAGE V17.32 --> Eliminado, FakeAlert(brastk)



Nº Total de Directorios: 8565

Nº Total de Ficheros: 115573

Nº de Ficheros Analizados: 30822

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues la version que aparecia en el anterior informe era aquella, pero ahora ya todo está biem, y como verás esta nueva ha eliminado el fichero indicado de la carpèta C:\muestras, que no se dehe eliminar a mano, sino dejat que las utilidades ELI...*:* los eliminen, o enviarnoslos para analizar.



Ya vemos que se ha eliminado la muestra pedida por el ELITARA 17.32 :



EliStartPage v17.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\BRASTK.EXE.MUESTRA ELISTARTPAGE V17.32 --> Eliminado, FakeAlert(brastk)



y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



SALUDOS



MS, 18-11-2008