El PC se desconecta de Internet (REABIERTO)

[jlp]

Buen día al Foro,
Otra vez con el mismo problema antes posteado.
Pego aquí el log del Hijackthis a ver si me dan alguna idea.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:26, on 22/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 4922 bytes
================================================

¿Qué puedo borrar para limpiar un poco el registro?
El pc se desconecta sin motivo aparente, podrá ser algún virus o spyware.
He corrido el avg8 pero no encuentra nada sólo cookies de seguimiento.
Se agradece desde ya alguna idea.
Y ..... arriba el foro.

Saludos,
JLP.-

[msc hotline sat]

Pues de entrada vemos que faltan parches:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Lanza un windowsupdate e instala el SP3 y posteriores que se encuentren faltar...

y como que se supone que has seguiudo lo indicado al principio de este apartado, antes de poostear el log del HJT,

viewtopic.php?f=13&t=5148

con un copiar y pegar posteanos el contenido de c:\infosat.txt y procederemos en consecuencia

saludos

ms, 22-11-2008

[jlp]

Gracias msc por la respuesta :



Sí,veo que falta el parche Sp3 - también lo dice el Infosat de ELISTARA que pego más abajo, procederé a



instalarlo.

Pero el equipo hace un tiempo atrás (10-15 días) funcionaba bien sin desconectarse y sin parche Sp3.

El problema que surgió la última vez que se instalaron unas actualizaciones de Microsoft fué que eso me trababa



la conexión con el MSN y no se podía usar. Tuve que desinstalar esas actualizaciones para poder usarlo de nuevo,



por lo que soy reacio a instalar más actualizaciones.

Lo último que hice fue instalar el Spybot pero no encontró nada - sólo que la opción de Windows Restore estaba



desactivada.

Esto creo que no lo cambió un virus sino alquien que usa el equipo para preservar espacio en disco.

El HJT se instaló en un directorio HIJACK del disco C, de acuerdo a la recomendación dada en el referido post.



Noto lo siguiente en algunas claves del HJT :



O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User



'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User



'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User



'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default



user')



¿Porqué está tan repetido esto??

Se refiere siempre al mismo archivo CTFMON.EXE - este archivo que es lo que controla?? - la conexión de red?? -



de repente por acá puede estar el problema?

Aparece un rundll32 en la línea de comandos - no será un virus??



JEJEJE :mrgreen: :mrgreen: :mrgreen: - En el momento que estoy escribiendo esto para postear recién acaba de desconectarse de Internet, parece



que me leyera la mente - no dura ni 12 o 15 minutos la conexión - aparece de improviso una banda blanca a la



izquierda del monitor donde están los iconos de Haga click aquí para iniciar y se desconecta.Luego trato de



acceder al comando de adsl en la pantalla y aparece fugazmente en la pantalla y se va y no le tengo acceso, por



lo que tengo que resetear el equipo.



-----------------------------------

Este es el info de ELISTARA :



Sat Nov 22 13:26:20 2008

EliStartPage v17.47 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sat Nov 22 13:27:04 2008

EliStartPage v17.47 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\BACKUP\NumerisObservationTool\ROULETTE-EBOOK.EXE --> Eliminado, DownLoader.BShooterEgypt

C:\BACKUP\NumerisObservationTool\STRATEGISTSETUP.EXE --> Eliminado, P2PAdware.A



Nº Total de Directorios: 3126

Nº Total de Ficheros: 36317

Nº de Ficheros Analizados: 7284

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



----------------------------------------------------



Cabe notar que esos archivos borrados los había bajado de Internet pero nunca los ejecuté.

También se han borrado archivos del disco duro (capacidad 80GB), quedó ahora 43.3 Gb de espacio libre.

También buscando con el Regedit en las claves del registro por adsl (la conexión de Internet) encontré ciertas



referencias extrañas lo cuál me pareció sospechoso (conection idle disconnect-yes) o algo parecido, así que



procedí a borrarlo - eran como 4 o 5 aparte de donde dice valor predeterminado (tal vez puesto por un virus o



alguna página maliciosa de Internet).



Pregunta - ¿Qué valores deben figurar en este item específico - adsl - así me puedo guiar un poco?

De repente quedó alguna referencia maliciosa en otra sección del registro, porque se continúa desconectando.



Si esto es así es muy difícil que algún antivirus o spyware detecte estos pequeños cambios en el registro.



Acá pongo lo que encontré en las claves referidas al adsl :

iefeadsl.com ab(predeterminado) REG_sz (valor no establecido)

* REG_DWORD 0x00000004(4)



Saludos, :D :D :D

JLP.-

[msc hotline sat]

El CTFMON.EXE es un fichero que instala el Microsoft Office, y la repeticion de su lanzamiento en el registro corresponde a diferentes grupos:

(User 'SERVICIO LOCAL')
(User 'Servicio de red')
(User 'SYSTEM')
(User 'Default user')

pero tambien hay virus que se instalan con dicho nombre CTFMON.EXE, por lo que, aunque no creo que sea el caso, suba este fichero al VirusTotal https://www.virustotal.com/es/ y diganos el resultado del examen.

Y el RUNDLL32.EXE en el lanzador de DLL, normal en windows si se lanza desde la carpeta de sistema

Instale el SP3 y si quiere descartar lo relativo a virus, lance este AV ONLINE y posteenos el informe resultante.

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)




Y por lo que indica, mas bien parece un corte de conexion por fin de vida de la ADSL, y no fuera renovada a tiempo, lo cual podría deberse a su ISP, y ya son varios los casos en que tras indicarselo y decir que lo revisan y no hay nada raro, deje de pasar, asi que...

pero veamos el informe del AV ONLINE, porque lo primero que le diran es que tiene un virus ... Asegurese que no sea el caso !

saludos

ms, 23-11-2008

[jlp]

BUen día msc y gracias por responder.

Vamos por partes en distintos posts para no mezclar las cosas.

Pego aquí el resultado del testeo del fichero ctfmon.exe, que por lo visto está bien sin infección.



Análisis del archivo ctfmon.exe recibido el 18.11.2008 19:52:24 (CET)

Estado actual: análisis terminado



Resultado: 0/36 (0.00%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.11.18.2 2008.11.18 -

AntiVir 7.9.0.31 2008.11.18 -

Authentium 5.1.0.4 2008.11.18 -

Avast 4.8.1281.0 2008.11.18 -

AVG 8.0.0.199 2008.11.18 -

BitDefender 7.2 2008.11.18 -

CAT-QuickHeal 10.00 2008.11.18 -

ClamAV 0.94.1 2008.11.18 -

DrWeb 4.44.0.09170 2008.11.18 -

eSafe 7.0.17.0 2008.11.18 -

eTrust-Vet 31.6.6214 2008.11.18 -

Ewido 4.0 2008.11.18 -

F-Prot 4.4.4.56 2008.11.18 -

F-Secure 8.0.14332.0 2008.11.18 -

Fortinet 3.117.0.0 2008.11.18 -

GData 19 2008.11.18 -

Ikarus T3.1.1.45.0 2008.11.18 -

K7AntiVirus 7.10.527 2008.11.18 -

Kaspersky 7.0.0.125 2008.11.18 -

McAfee 5437 2008.11.17 -

Microsoft 1.4104 2008.11.17 -

NOD32 3622 2008.11.18 -

Norman 5.80.02 2008.11.18 -

Panda 9.0.0.4 2008.11.18 -

PCTools 4.4.2.0 2008.11.18 -

Prevx1 V2 2008.11.18 -

Rising 21.04.12.00 2008.11.18 -

SecureWeb-Gateway 6.7.6 2008.11.18 -

Sophos 4.35.0 2008.11.18 -

Sunbelt 3.1.1801.2 2008.11.14 -

Symantec 10 2008.11.18 -

TheHacker 6.3.1.1.157 2008.11.18 -

TrendMicro 8.700.0.1004 2008.11.18 -

VBA32 3.12.8.9 2008.11.18 -

ViRobot 2008.11.18.1474 2008.11.18 -

VirusBuster 4.5.11.0 2008.11.18 -

Información adicional

Tamano archivo: 15360 bytes

MD5...: 25ecfa69af1563fde8dfd31f9954497a

SHA1..: 48570d8c9f076d41496b8f082670d8fb44e1768a

SHA256: 2aa16808e2c6572cb578cdd937bfda9ddb5c0dbfef36bdc5316fa2a699982754

SHA512: 650afdadf3e9936a7aad0ad395e79ddd4ab8f89540aaee74f100c4351982dcb3

151f5c564fd19c94c7334690ecf5d423bfeb26757efb273cf43efd426f81a68d

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x402e35

timedatestamp.....: 0x41107bfa (Wed Aug 04 06:02:34 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2ab8 0x2c00 6.76 8cec8ba63d5d9a18f525988446118c7a

.data 0x4000 0x210 0x200 1.07 bd8c5cd346a9f53dc0dbc69260ab2240

.rsrc 0x5000 0x880 0xa00 3.86 32c660509abcbefb521d4bd2b88fe0fc



( 6 imports )

> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit

> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA

> KERNEL32.dll: lstrcpynA, lstrlenA, GetSystemDirectoryA, GetSystemWindowsDirectoryA, GetVersionExA, GetACP, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LocalFree, CloseHandle, ResetEvent, OpenEventA, CreateProcessA, lstrcatA, GetSystemInfo, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, LocalAlloc, GetProcAddress

> USER32.dll: EnumWindows, GetClassNameA, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetSystemMetrics

> MSCTF.dll: TF_InitSystem, TF_GetGlobalCompartment, TF_InvalidAssemblyListCacheIfExist, TF_InvalidAssemblyListCache, TF_PostAllThreadMsg, TF_CreateCicLoadMutex, TF_UninitSystem

> MSUTB.dll: ClosePopupTipbar, GetPopupTipbar



( 0 exports )



ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=25ecfa69af1563fde8dfd31f9954497a

================================================

Corrí el kasperzky que duro aprox. 2 horas y encontró como virus trojan downloader al ELISTARA - es correcto esto???

Lo mandé a analizar y este es el resultado :



Análisis del archivo ELISTARA.EXE recibido el 22.11.2008 12:12:46 (CET)

Estado actual: análisis terminado



Resultado: 9/37 (24.32%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.11.21.0 2008.11.21 -

AntiVir 7.9.0.35 2008.11.21 -

Authentium 5.1.0.4 2008.11.22 -

Avast 4.8.1281.0 2008.11.21 Win32:Small-CPR

AVG 8.0.0.199 2008.11.21 -

BitDefender 7.2 2008.11.22 -

CAT-QuickHeal 10.00 2008.11.21 -

ClamAV 0.94.1 2008.11.22 Trojan.Istbar-187

DrWeb 4.44.0.09170 2008.11.22 -

eSafe 7.0.17.0 2008.11.19 Suspicious File

eTrust-Vet 31.6.6221 2008.11.21 -

Ewido 4.0 2008.11.22 -

F-Prot 4.4.4.56 2008.11.21 -

F-Secure 8.0.14332.0 2008.11.22 -

Fortinet 3.117.0.0 2008.11.22 -

GData 19 2008.11.22 -

Ikarus T3.1.1.45.0 2008.11.22 Virus.Win32.Small

K7AntiVirus 7.10.530 2008.11.21 -

Kaspersky 7.0.0.125 2008.11.22 -

McAfee 5441 2008.11.21 -

McAfee+Artemis 5441 2008.11.21 -

Microsoft 1.4104 2008.11.22 -

NOD32 3632 2008.11.21 -

Norman 5.80.02 2008.11.21 -

Panda 9.0.0.4 2008.11.22 Suspicious file

PCTools 4.4.2.0 2008.11.21 -

Prevx1 V2 2008.11.22 Cloaked Malware

Rising 21.04.52.00 2008.11.22 -

SecureWeb-Gateway 6.7.6 2008.11.22 -

Sophos 4.35.0 2008.11.22 Mal/Behav-236

Sunbelt 3.1.1823.2 2008.11.22 Virus.Win32.Xorer.F (vf)

Symantec 10 2008.11.22 Trojan.Zlob

TheHacker 6.3.1.1.159 2008.11.19 -

TrendMicro 8.700.0.1004 2008.11.22 -

VBA32 3.12.8.9 2008.11.21 -

ViRobot 2008.11.18.1474 2008.11.18 -

VirusBuster 4.5.11.0 2008.11.21 -

Información adicional

Tamano archivo: 436747 bytes

MD5...: 5ec8c077ddc1d0284fb38ccda440741a

SHA1..: e9c46467964e1c200f3ad581c8133150040264c0

SHA256: 0e889b2c06e22db3450b9290d710aeab8d42dc5ea8bbf9d1566eaecc95d8687b

SHA512: ac4fc4864d9eded89907a45f3e539c3087223d09ae48c434e0ac90dd4e82e1bb

66eb58892aa27ea2164db6b0db5f9a300b8b5649531196ee39e72774b662ccb0

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification

DOS Executable Generic (99.6%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.3%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x599760

timedatestamp.....: 0x4926d45f (Fri Nov 21 15:31:43 2008)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x12f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x130000 0x6a000 0x69a00 7.87 356187e38a4452272526756b6b8a1c46

.rsrc 0x19a000 0x1000 0xc00 3.26 fd2cc9c9978027890ba468f6ba0645bc



( 5 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> ADVAPI32.dll: RegEnumKeyA

> MFC42.DLL: -

> MSVCRT.dll: exit

> USER32.dll: IsIconic



( 0 exports )



Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=483C00080B67756DAA2706874FEEA900BE22894A

packers (Kaspersky): UPX

packers (F-Prot): UPX

packers (Avast): UPX

-----------------------------------------------



Saludos,

JLP.-

[jlp]

Buenas de nuevo.
Aquí está el resultado del kasperzky antivirus.

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
domingo, 23 de noviembre de 2008 23:08:57
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 23/11/2008
Registros en la base antivirus: 1262277
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\

Estadísticas:
Número de objeros analizados: 38238
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 01:55:44

Bombre del objeto infectado / Nombre del virus / Última acción

Código: Seleccionar todo

C:\Documents and Settings\All Users\Datos de programa\avg8\emc\Log\emc.log	Object is locked	saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log	Object is locked	saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log	Object is locked	saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log	Object is locked	saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log	Object is locked	saltado
C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log	Object is locked	saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\Cookies\index.dat	Object is locked	saltado
C:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG	Object is locked	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat	Object is locked	saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Configuración local\Historial\History.IE5\index.dat	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Configuración local\Historial\History.IE5\MSHist012008112320081124\index.dat	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Configuración local\Temp\tmp1C1.tmp	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\Cookies\index.dat	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\NTUSER.DAT	Object is locked	saltado
C:\Documents and Settings\SANTIAGO\NTUSER.DAT.LOG	Object is locked	saltado
C:\hijack\ELISTARA.%D8AABB%D8%D8H.EXE	Infectados: Trojan-Downloader.Win32.IstBar.gew	saltado
C:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	saltado
C:\WINDOWS\Debug\PASSWD.LOG	Object is locked	saltado
C:\WINDOWS\SchedLgU.Txt	Object is locked	saltado
C:\WINDOWS\Sti_Trace.log	Object is locked	saltado
C:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	saltado
C:\WINDOWS\system32\config\default	Object is locked	saltado
C:\WINDOWS\system32\config\default.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\Internet.evt	Object is locked	saltado
C:\WINDOWS\system32\config\SAM	Object is locked	saltado
C:\WINDOWS\system32\config\SAM.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	saltado
C:\WINDOWS\system32\config\SECURITY	Object is locked	saltado
C:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\software	Object is locked	saltado
C:\WINDOWS\system32\config\software.LOG	Object is locked	saltado
C:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	saltado
C:\WINDOWS\system32\config\system	Object is locked	saltado
C:\WINDOWS\system32\config\system.LOG	Object is locked	saltado
C:\WINDOWS\system32\drivers\sptd.sys	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	saltado
C:\WINDOWS\wiadebug.log	Object is locked	saltado
C:\WINDOWS\wiaservc.log	Object is locked	saltado
C:\WINDOWS\WindowsUpdate.log	Object is locked	saltado

Análisis completado.
=========================================

De todo esto cuales serían los pasos a seguir???
Gracias por las respuestas.

Saludos,
JLP.-

[msc hotline sat]

Pues lo del CTFMON era de esperar, como ya te indiqué, y lo del ELISTARA es un falso positivo ya conocido, ni caso: https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



Contacta con tu ISP, creo que es "Administracion Nacional de Telecomunicaciones" de tu pais, y cuentale el problema. Aunque digan que todo está bien, la cuestion es que revisen tu linea, hasta ahora se ha soluciuonado siempre con ello :wink:



Es una tipica falta de renovacion tras el fin de vida de la ADSL asignada, y esto sin ser muy frecuente, hemos tenido algunas incidencias...



Ya nos contarás el resultado !



saludos



ms, 24-11-2008

ref UR/Mont-34.8 -56.1

[jlp]

Pues lo del CTFMON era de esperar, como ya te indiqué, y lo del ELISTARA es un falso positivo ya conocido, ni caso: viewtopic.php?f=5&t=26228

Contacta con tu ISP, creo que es "Administracion Nacional de Telecomunicaciones" de tu pais, y cuentale el problema. Aunque digan que todo está bien, la cuestion es que revisen tu linea, hasta ahora se ha soluciuonado siempre con ello

Es una tipica falta de renovacion tras el fin de vida de la ADSL asignada, y esto sin ser muy frecuente, hemos tenido algunas incidencias...

Ya nos contarás el resultado !

saludos

ms, 24-11-2008
ref UR/Mont-34.8 -56.1

Muy bien msc.
Veré que puedo hacer.
Gracias por toda la ayuda brindada.

Saludos,
JLP.-

[msc hotline sat]

ok, pues dejamos el Tema abierto en espera de tus noticias.



saludos



ms, 24-11-2008

[jlp]

Hola msc,



Acabo de hablar con el soporte técnico del proveedor de ADSL (Netgate).

Me informó que es un virus nuevo que anda circulando, lo que provoca la pérdida de conexión.

Parece ser que cuando sucede eso el Firewall de Windows que viene activado por defecto lo desactiva en ese momento de la desconección.Dice que aún no hay antivirus para este y que afecta particularmente a los equipos con XP UE.

Tengo que ver si mi PC está instalado con esta versión.

Aparentemente la única solución es reinstalar todo de nuevo (Formateo nuevo???).

Si es así se podría ya que el disco es de 80GB y tiene libre 43GB crear otra partición e instalar de nuevo allí.

¿Qué programa de uso libre se puede usar para mover particiones??

Primero habría que correr el desfragmentador para compactar todos los datos y luego crear una nueva partición achicando la vieja.

¿Alguna idea??



Saludos de nuevo,

JLP.-

[jlp]

Hola msc,



Acabo de hablar con el soporte técnico del proveedor de ADSL (Netgate).

Me informó que es un virus nuevo que anda circulando, lo que provoca la pérdida de conexión.

Parece ser que cuando sucede eso el Firewall de Windows que viene activado por defecto lo desactiva en ese momento de la desconección.Dice que aún no hay antivirus para este y que afecta particularmente a los equipos con XP UE.

Tengo que ver si mi PC está instalado con esta versión.

Aparentemente la única solución es reinstalar todo de nuevo (Formateo nuevo???).

Si es así se podría ya que el disco es de 80GB y tiene libre 43GB crear otra partición e instalar de nuevo allí.

¿Qué programa de uso libre se puede usar para mover particiones??

Primero habría que correr el desfragmentador para compactar todos los datos y luego crear una nueva partición achicando la vieja.

¿Alguna idea??



Saludos de nuevo,

JLP.-

[jlp]

Nueva info :

Parece ser que se podría arreglar activando el Firewall de windows - pero me informó que esto no siempre se puede.



Saludos,

JLP.-

[msc hotline sat]

:lol: :lol: :lol: , típica respuesta ...



No hagas nada y deja pasar unos días, a ver si se arregla "solo" o se descubre el nuevo "virus"...



En tres o cuatro días nos cuentas como te va, y si, para entonces, aun persiste dicha anomalía.



Pero por supuesto, no formatees !!!



saludos



ms, 24-11-2008

[msc hotline sat]

Ojo, acabo de leer que usas XP UE, y en este foro no se de soporte a sistemas paralelos a los de Microsoft, llamale piratas, tuneados , desatendidos, o como queras, pero no son los originales que se deben usar legalmente licenciados.



Ante ello damos por finalizado este Tema y procedemos a cerrarlo



Suerte en tu affaire, pero no vuelvas a postear problemas con dicho sistema operativo en este foro.



saludos



ms, 24-11-2008

[msc hotline sat]

El moderador flacoroo me ha hecho ver en privado que no dices que lo uses, sino que no lo sabes si lo usas ???


[quote]Acabo de hablar con el soporte técnico del proveedor de ADSL (Netgate).

Me informó que es un virus nuevo que anda circulando, lo que provoca la pérdida de conexión.

Parece ser que cuando sucede eso el Firewall de Windows que viene activado por defecto lo desactiva en ese momento de la desconección.Dice que aún no hay antivirus para este y que afecta particularmente a los equipos con XP UE.[/quote]



Reabro el Tema por tal motivo, pero ya solo queda decirnos si se soluciona en breve, como es de esperar, pues si vas a esperar este supuesto virus, coge una silla...



saludos



ms, 25-11-2008