Bloqueos tras desistalar Avira y Spyware terminator (SOLVED)

[Rasiner]

1º El PC con WXP-SP2 en apariencia va normal, pero tengo oculto algo que no me deja abrir algunos



programas ni acceder a ciertas paginas Web, ambos sobre todo de tipo antispyware o antivirus.

2º Estos problemas me surgieron tras la desistalacion del antivirus fake Avira (que por error lo baje) y



del Spyware terminator Ver: 2.2.1.347 (esta ver. debiera de ser correcta, pero vaya a saberse ).

3º Con algunas aplicaciones me sale la pantalla clasica de error similar a "SUPERAntiSpyware Free



Edition ha detectado un problema y debe cerrarse" ... error

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\4199_appcompat.txt. ... que da solo dos opciones depurar (izquierda) y



cerrar (derecha, esta resaltada).

4º He comparado, con "a-squared HiJackFree", algo de los arranques de este PC con respecto a otro



similar (tambien con WXP ) y solo he notado el cambio del file "aetsprov.dll" en la carpeta ... System32 por el



"themeui.dll" en la misma carpeta ... System32

5º He aplicado ya en modo a prueba de fallos, y quitada la opcion de restaurar sistema los cuatro



programas, y en este orden, CCleaner - DelPSGuard - SUPERAntispyware - Malwarebytes' Anti-Malware. En otro



arranque previo tambien pase el "VundoFix_v7.0.6_.exe" pero no me dio nada. Y ahora ya no puedo ni



arrancarlos algunos como Spybot - Search & Destroy - SUPERAntispyware - Malwarebytes' Anti-Malware. Los he



desistalado. Que me perdonen los expertos si es que he hecho torpezas.

6º La actualizacion automatica de WXP ya me marca que puedo instalar el SP3, pero no me atrevo de



momento.

7º Espero no tener que reformatar, si es que alguien me ilumina. Y gracias a todos de este Foro por lo



que en el podemos aprender.

[msc hotline sat]

Con tantas cosas que ha hecho..., pobre PC !!!



Pruebe el ELISTARA para eliminar los conocidos y restaurar claves modificadas por ellos, y si tras reiniciar persisten anomalias, ademas de postearnos, con un copiar y pegar, el c:\infosat.txt que genera el ELISTARA, peguenos tambien el c:\sproclog.txt que le generará el SPROCES:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 13-11-2008

[Rasiner]

Muchas gracias "msc hotline sat" por contestar y dedicarme tu preciado tiempo.



Acabo de leerte y por lo tanto intentare seguir tus consejos.



Hoy con el NOD32 (bien actulizado) me ha localizado el file y dice: "Se ha detectado infección con aplicación



Win32/Adware.Virtumonde en la memoria operativa. No puede ejecutarse acción cuando el archivo está en la

memoria operativa. Pulse en el botón [Sin acciones] para continuar con la desinfección de los discos locales. La

infección en la memoria operativa ha sido originada en el archivo C:\WINDOWS\system32\geBsrOIY.dll."

Como esta residente y ademas en Winlogon me da miedo, ya he intentado en prueba de fallos quitarlo con el

Unlocker y me ha dejado colgado en el intento, luego al arrancar de nuevo me temia lo peor, pero al menos no

me ha roto el SO, aunque me ha dejado todo igual.

Con la guia de "http://www.vsantivirus.com/adware-virtumonde.htm" quizas podria probar tambien ¿no?.

No quiero casarte mas, contestare. Hasta pronto.

[lucl]

Para eso tenemos el elistara.... saludos

[msc hotline sat]

Pues por si acaso este VUNDO detectado requiriera atacarlo con el ELINOTIF.DLL, descargue tambien esta utilidad y dejela junto con el ELISTARA, el cual la utilizará si lo necesita.



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Tras ello pruebelo y nos comenta el resultado, gracias



saludos



ms, 14-11-2008

[Rasiner]

Hola "msc hotline sat". Como me indicabas he ejecutado los dos programas el ELISTARA y el

SPROCES pero en modo a fallos, y luego otra vez en modo normal el ELISTARA (el log de este habra

crecido mucho porque le decia no borrar los anteriores).

Te envio los log, el file de "C:\Muestras\GEBSROIY.DLL.Muestra EliStartPage v17.41" (clave zip

38as38sa38), y el zip "Elistara - Virus de sat y+.zip" con algunas capturas.

¿Los numerosos "O1 - Hosts: 127.0.0.1 ... " que da el "SProcLog.txt" son redirecciones del virus o

inmunizaciones?.

El "geBsrOIY.dll" se me ha creado tambien en "C:\WinLogon\GEBSROIY.DLL" normal ¿no?.

La parte del registro del link "www.vsantivirus.com/adware-virtumonde.htm" me ha dejado quitar

lo del "geBsrOIY.dll" y las otras dos tambien quizas me dejaria quitarlas, lo que pasa que como el

final de la entrada va con otro codigo (supongo porque sera una variante del virus) no me atrevo a

quitarlas.

Ahora me arranca el PC siempre con lo mismo del ELISTARA, ¿como puedo hacer que cuando no

quiera no me arranque?.

Como cuando te iba a preguntar sobre lo del "ELINOTIF.DLL" para poder quitar el dichoso

"geBsrOIY.dll", veo que te has adelando contestandome tan amablemente, aprovecho tu link para

seguir con tus sabios pasos.

Hasta pronto, en cuanto haga lo que me falta, y perdona mi ortografia por escribirte apresurado.



Saludos.


[attachment=1]SProcLog.txt[/attachment][attachment=2]InfoSat.zip[/attachment][attachment=0]Elistara - Virus de sat y+.zip[/attachment]

[lucl]

Bueno veamos edita el post y las muestras viricas envialas por correo como se indica





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y los log debes pegarlos aqui como respuesta con un copiar y pegar, no adjuntarlos que se desvirtuan al leerlos saludos

[msc hotline sat]

Y NUNCA ADJUNTAR MUESTRAS DE VIRUS A LOS POST !!!



Esras deben enviarse a zonavirus@satinfo.es para analizar:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 15-11-2008

[Rasiner]

Hola "msc hotline sat". Perdona que te haya mandado a inadecuado sitio, como es este

hilo, adjuntos que no debia hacerlo. Ahora ya lo mando a "zonavirus@satinfo.es" los supuestos

virus. Y en cuanto a los logs de "InfoSat.txt" y "SProcLog.txt", los hacen muy grandes las entradas

del tipo "Linea Eliminada del HOSTS --> http://www.136136.net" en el "InfoSat.txt", y del tipo "O1 - Hosts:

127.0.0.1 --> http://www.136136.net" en el "SProcLog.txt" (lo de delante de las flechas en los dos files

todas =) , por ello de momento te los pongo con estas entradas recortadas, y si hace falta

completos te lo pongo inmediatamente.

Espero no haber perjudicado a nadie, y de no haber sido asi lo lamento.

Te comento que ya he arrancado el PC con el "EliNotif.dll" colocado en la misma carpeta

que el "ELISTARA.BCAAB%D8%D8H.EXE", y ya parece haber desaparecido el dichoso

"geBsrOIY.dll" de la ...System32, y ya tampoco me autoarranca al inicio el

"ELISTARA.BCAAB%D8%D8H.EXE" (supongo que antes lo haria por proteger al PC). Todo el proceso

de desinfeccion lo he hecho con el cable de internet quitado, pero ahora tras provar si va en

internet un rato para actualizar el WXP, que lo hizo bien (7 actualizaciones), desconecto pruevo el

"Malwarebytes' Anti-Malware" y no me arranca, aun que el Nod32 y otros si. No se si

esto tendra que ver algo con las entradas 023 del HijackThis, pues con el virus aparecieron 5

refiriendose al AMD (mi CPU) y sin file, y tras quitar "geBsrOIY.dll" se refieren a mi antivirus Nod32

y tambien sin file. He ido a verlos en "services.msc", y los 5 estan sin iniciar y al ir a propiedades

en los 5 me salen 1º el mensaje "Administrador de configuracion: El valor especificado no existe en

el registro", doy aceptar, sale el cuadro de propiedades, y no me cogen las activaciones. Supongo

que el virus me ha dañado el registro, o quizas no deban de ir, pues otro PC similar no los lleva.

¿Habra solucion?.

Saludos, y gracias por el aguante que tienes.





Log de "InfoSat.txt" y "SProcLog.txt"



Fri Nov 14 00:00:33 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEBSROIY] -> C:\WINDOWS\SYSTEM32\geBsrOIY.dll

Por favor, envienos una muestra del fichero

C:\Muestras\GEBSROIY.DLL.Muestra EliStartPage v17.41

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBSROIY.DLL --> Acceso Denegado.

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

...

...

Linea Eliminada del HOSTS --> 127.0.0.1 zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 zyban-zocor-levitra.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Nov 14 17:55:07 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5988

Nº Total de Ficheros: 73561

Nº de Ficheros Analizados: 22796

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



_______________________________________



Del SProcLog.txt



Fri Nov 14 11:48:36 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\SAVEDUMP.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 http://www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

...

...

O1 - Hosts: 127.0.0.1 zxlinks.com

O1 - Hosts: 127.0.0.1 http://www.zxlinks.com

O1 - Hosts: 127.0.0.1 zyban-zocor-levitra.com

O2 - BHO: (no name) - {6584C510-924B-486A-A1A0-E380DE08C2DB} - C:\WINDOWS\system32\geBsrOIY.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Escritorio\ELISTARA.BCAAB%D8%D8H.EXE

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O16 - DPF: DirectAnimation Java Classes -

O16 - DPF: Microsoft XML Parser for Java -

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FDCED343-F388-4118-927F-BD6A7212A4DD}: NameServer = 62.36.225.150,62.37.228.20

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\MSERO.DLL

O20 - Winlogon Notify: GEBSROIY - GEBSROIY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {6584C510-924B-486A-A1A0-E380DE08C2DB} - - C:\WINDOWS\system32\geBsrOIY.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: AMD Low Level Device Driver (AmdLLD) - AMD, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\AmdLLD.sys

O23 - Service: basic2 - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\basic2.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: FreshIO - Unknown owner - C:\Archivos de programa\FreshDevices\FreshDiagnose\FreshIO.sys

O23 - Service: HCF_MSFT - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HCF_MSFT.sys

O23 - Service: MA8630M - Mobile Action Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\MA8630M.sys

O23 - Service: MA8630U - Mobile Action Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\MA8630U.sys

O23 - Service: Nokia USB Generic - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys

O23 - Service: Nokia USB Modem - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys

O23 - Service: Nokia USB Phone Parent - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: S3Psddr - S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\s3gnbm.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: txwijrmjnmym - Panda Software International - C:\WINDOWS\SYSTEM32\drivers\txwijrmjnmym.sys

O23 - Service: VIA AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudio.sys

O23 - Service: winachsf - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



27 Servicios.

6 de Carga Automatica.

19 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Pues te queda por actualizar los parches:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Lanza un windowsupdate e instala el SP3 y posteriores !!!







y lo que me dices del ELINOTIF mo comcuerda con lo que dice el ELISTARA ... ???





Fri Nov 14 17:55:07 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5988

Nº Total de Ficheros: 73561

Nº de Ficheros Analizados: 22796

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

[b][i][u]No Detectada Utilidad "ELINOTIF.DLL[/u][/i][/b]" (Necesaria para la Limpieza)





es que es un informe antiguo ???



Y todas estas entrada en el HOSTS es una maraña del SPYBIOT, dile limpiar cuando el ELISTARA te pida si quieres limpiar el HOSTS.





Tras todo ello, dinos si persiste algun problema o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 17-11-2008

[Rasiner]

Hola "msc hotline sat", haber si resumo lo que quiero decirte



1º El log actual del ELISTARA es el de abajo, y creo que sale limpio. Por tanto creo que el titulo de este hilo igual esta ya solucionado, y por tanto concluido satisfactoriamente, pues el virus ha sido hayado y eliminado. (El log actual que da el "SProcLog" es similar al ya puesto anteriormente, por ello solo lo pongo si me lo dices.)



2º El motivo por el cual el "InfoSat.txt" no fue en mi anterior respuesta bien, creo que fue por varias causas tales como: No poderte responder de forma tan rapida como yo quisiera, por otras ocupaciones. Habersenos superpuesto las respuestas. Las marañas de Spybot. Ejecutar varias veces el ELISTARA. Tamaño de este log al comienzo. Intentar dar mas informacion, etc. Y lamentablemente no siempre las cosas nos salen como deseariamos.



3º El daño que este virus ha dejado en el SO es evidente por varias causas:

a) Tengo ya instalado el SP3 de WXP (El WXP es ver. 5.1 - 2600 xpsp_sp3_gdr. xxxxxx-xxxx) con todas sus actualizaciones, al igual que los visores de internet IE6 y Firefox. A pesar de esto al entrar en internet, con antivirus y demas, parezco que estoy manejado por un zombi, pues unas veces puedo entrar en una pagina y en otras no, unas veces puedo entrar con un visor y en otras no, unas veces al pinchar en un acceso de una busqueda me manda a un adware, y si ese mismo lo pongo en la barra de direccion va bien, etc.

Hay programas que mientras no me conecto a internet me van bien, en cambio, en el momento o tras conectar con internet, ya no me arrancan.

b) En el Visor de sucesos - Aplicacion, - he visto que salen al menos los dos mensajes siguientes:

"Un proveedor, HiPerfCooker_v1, se ha registrado en el espacio de nombres de, Root\WMI, para usar la cuenta LocalSystem. Esta cuenta tiene privilegios y el proveedor puede originar una violación de seguridad si no personifica correctamente las solicitudes de usuarios."

"El proveedor Rsop Planning Mode Provider se registró en el espacio de nombres WMI root\RSOP, pero no especificó la propiedad HostingModel. Este proveedor se ejecutará usando la cuenta LocalSystem. Esta cuenta tiene privilegios y el proveedor puede originar una violación de seguridad si no personifica correctamente las solicitudes de usuarios. Compruebe que el comportamiento de seguridad del proveedor haya sido revisado, y actualice la propiedad HostingModel del registro del proveedor a una cuenta con los menores privilegios posibles para la funcionalidad requerida." (esta sale 2 veces).

c) En el HijackThis, hasta que no me entro el virus, solo tenia una entrada de servicios 023, correspondiente a mi antivirus, ahora desde que me entro el virus tengo 5+ (sin file), con referencia a mi CPU (en la virulencia del virus), y con referencia a mi antivirus ahora. Segun parece estos servicios se cargan antes que el winlogon o contraseña, con lo que si han sido creados por el virus, me parece que tengo un agujero de seguridad bastante gordo.

En "services.msc" aparecen tambien como nuevos estos 5 servicios y siendolos tambien los unicos que dan error al querer gestionarlos, pues sale el mensaje "Administrador de configuracion: El valor especificado no existe en el registro".



Ya no me queda mas, como no, que darte las gracias por toda tu ayuda, sin la cual ya me veias con la gracia maldita de tener que formatear.



Muchos saludos "msc hotline sat", y hasta cuando quieras.





Log del "InfoSat.txt" actual



Tue Nov 18 11:12:00 2008

EliStartPage v17.41 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5947

Nº Total de Ficheros: 74943

Nº de Ficheros Analizados: 23043

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Te has saltado la desinfeccion con el ELINOTIF...



Si estas seguro de haber copiado en la misma carpeta que el ELISTARA, dicha DLL, y has probado el ELISTARA con ell, la habrá implementado en el registro y tras reiniciar la habrá utilizado y eliminado el malware.



No aparece en el informe porque solo has postado el final, pero ya que vemos que dice



Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Entendemos se terminó exitosamente el proceso, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 18-11-2008