nota tema cerrado "no funcionan accesos directos"" (SOLVED)

[ketinporta]

buenos días nuevamente, disculpas antes que nada por reabrir tema,

pero bien ahora me habia marcado un error cuando tipeaba en la barra de direcciones, me ponia bien el 1er caracter, y el resto al reves, de izquierda a derecha, pase los programas y el virus se borro, les paso el informe emitido por los tres programas elistar, bagle y trip,



consegui activar los accesos directos bajando las entradas de registros correspondientes, reseteo y andan pero el virus se vuelve a activar solo, y el int explorer y el outlook siguen funcionando mal... estaria muy agradecido ante una posible solucion. Saludos!



Mauricio Ferreyra

Saladillo. Rosario, Argentna



Thu Nov 06 10:54:48 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Fri Nov 07 07:38:23 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Fri Nov 07 07:42:51 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Fri Nov 07 07:44:47 2008

EliTriIP v5.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\Archivos de programa\WinASO\Registry Optimizer\msconfig.exe /auto"

No detectado SP3 de Windows XP



Fri Nov 07 07:44:58 2008

EliTriIP v5.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SoftwareDistribution\Download\a0599e95d7e3ff7d693d5b86358352ee\backup\wextract.exe --> Eliminado, BackDoor.FakeViewer(dropper)

C:\WINDOWS\system32\wextract.exe --> Eliminado, BackDoor.FakeViewer(dropper)

C:\WINDOWS\system32\dllcache\wextract.exe --> Eliminado, BackDoor.FakeViewer(dropper)



Nº Total de Directorios: 7242

Nº Total de Ficheros: 63342

Nº de Ficheros Analizados: 18195

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Fri Nov 07 07:56:46 2008

EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Nov 07 07:56:52 2008

EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7242

Nº Total de Ficheros: 63332

Nº de Ficheros Analizados: 13217

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 07 08:17:24 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Fri Nov 07 09:03:50 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Fri Nov 07 10:18:14 2008

EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Nov 07 10:18:17 2008

EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Nov 07 10:18:32 2008

EliTriIP v5.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP



Nº Total de Directorios: 7275

Nº Total de Ficheros: 63674

Nº de Ficheros Analizados: 13304

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 07 10:26:31 2008

EliTriIP v5.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Nov 07 10:29:28 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Nº Total de Directorios: 7275

Nº Total de Ficheros: 63685

Nº de Ficheros Analizados: 18274

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[flacoroo]

mandanos este fichero que pide:

C:\WINDOWS\SYSTEM32\Rundll32.exe

a zonavirus@infosat.es comprimido y con la contraseña virus



y tambien bajate el SP3 para windows XP e instalalo......

[msc hotline sat]

Pues como que este RUNDLL32,EXE es del sistema operativo, y no se apreciaron rutinas maliciosas en el que envió como muestras, proceda a lanzar una REPARACION DE SISTEMA para sobreecribir dichos ficheros, incluso otros que pudieran estar paralelos a él, por ejemplo en DLLCACHE, y sin ser víricos, estar corruptos, lo cual no ven los antivirus ni nuestras utilidades, ya que no es lo que buscan.


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

saludos



ms, 7-11-2008

[ketinporta]

el rundll32.exe ya fue enviado, ahora estoy bajando el sp3, muchas gracias!

[msc hotline sat]

Pues si tras instalar el SP3 le persiste el problema, tal como le hemos dicho lLANCE UNA REPARACION DE SISTEMA



Y ya le deciamos en el anteior post que ya habiamos recibido dicho fichero, pero "[b][i]...y no se apreciaron rutinas maliciosas [/i][/b]", aunque pudiera estar dañado.



saludos



ms, 7-11-2008

[ketinporta]

Baje el sp3 de windows, empieza a instalar y se cuelga... cuando esta armando los inventarios, muestra un mensaje de error y cierra la carga, intente instalar el avg 8 y muestra el siguiente mensaje de error... creo que el codigo del error me lo marco varias veces con otras aplicaciones, asi que lo que me quedaria por hacer es dar arranque con el disco de xp y reparar no¿? y intentar luego usar el sp3¿?



Local machine: installation failed

Installation:

Error: Action failed for file avgwdsvc.exe: starting service....

Error 0x800736b1





SALUDOS!!

[msc hotline sat]

Por si hubiera algo no controlado, lanza este AV ONLINE y nos posteas el informe resultante:





[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 11-11-2008

[ketinporta]

Buenas, itente usar el karspersky on line y otros pero no pude correr ninguno, el karspersky me dice que la consola java esta deshabilitada, la misma figura como habilitada en firefox, intente bajar la ultima versión de java, pero me marca un error del windows installer... Saludos! :|

[ketinporta]

probe desde la pagina de karspersky latinoamerica, y ahora corre e identifica el java como instalado! apenas tenga el informe lo estoy enviando!

[ketinporta]

agrego otra cosa mas, por si sirve, queriendo abrir una imagen gif, estaba una de las aplicaciones del nero como predeterminada, que al abrir marca el siguiente error, no se encuentra advrcrtl2.dll que anteriormente andaba bien. Saludos nuevamente!

[lucl]

Desinstalando e instalando de nuevo el nero deberia solucionarse pero es mas importante que nos pongas el log del online gracias saludos

[msc hotline sat]

Sí, y no es cuestion de enviarlo por mail, sino postearlo con un copiar en un post de respuesta a este Tema, gracias



saludos



ms, 12-11-2008

[ketinporta]

por aca va el log del kaspersky, esta hasta un poco menos de la mitad, pero son los mismos errores que muestra hasta 99,9% del analisis, cuando llega a ese punto se resetea...



KASPERSKY ONLINE SCANNER 7 REPORT

Thursday, November 13, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, November 13, 2008 11:06:16

Records in database: 1382996

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

A:\

C:\

D:\

E:\

F:\

G:\

H:\

Scan statistics

Files scanned 16169

Threat name 3

Infected objects 2

Suspicious objects 1

Duration of the scan 00:39:23



File name Threat name Threats count

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Identities\{E4929CA8-16E2-477F-9F68-D4FF731BA67B}\Microsoft\Outlook Express\Bandeja de entrada.dbx Infected: Trojan-Spy.Win32.Zbot.dip 1

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Identities\{E4929CA8-16E2-477F-9F68-D4FF731BA67B}\Microsoft\Outlook Express\Elementos eliminados.dbx Infected: Trojan.Win32.Agent.amdk 1

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Identities\{E4929CA8-16E2-477F-9F68-D4FF731BA67B}\Microsoft\Outlook Express\Elementos eliminados.dbx Suspicious: Password-protected-EXE 1

The scan was stopped by the user.



Saludos y muchas gracias!



P.D.: con el tema del outlook, empece a usar thunderbird que va bastante bien!

[msc hotline sat]

Pues como ve tenía un mail infectado en la bandeja de entrada , y otros dos en la de eliminados.



Eliminelos todos y vacie la papelere !



Y como que ya nos indica que ya lo ha solucionado, lo celebramos y procedemos a cerrar el Temna



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-11-2008