PC muy inestable, detecto virus en pendrive

[turson]

Saludo foreros. Tengo la PC muy inestable,el sistema se cuelga intempestivamente. Ya vengo padeciendo esto hace mucho tiempo, pero el tema se ha acrecentado. He agregado una tarjeta de memoria nueva DIMM de 512 MB de RAM. Incluyo el tema aqui debido a las detecciones del antivirus Kaspersky en un cyber. En mi PC no tengo internet, es por ello que aplicación que vaya a utilizar para seguridad, tendrá que ser con actualizaciones recientes y ejecución offline. :wink:

Intenté formatear e instalar de nuevo el windows xp desde el cd. Y en la carga inicial, me terminan apareciendo los clásicos errores 000000E3, el 0x0000008E, el 000000D1.

[url=http://img213.imageshack.us/my.php?image=dsc02711wk1.jpg][img]http://img213.imageshack.us/img213/5592/dsc02711wk1.th.jpg[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img213.imageshack.us/images/thpix.gif[/img][/url][url=http://img411.imageshack.us/my.php?image=dsc02569zu9.jpg][img]http://img411.imageshack.us/img411/1682/dsc02569zu9.th.jpg[/img][/url][url=http://img128.imageshack.us/my.php?image=dsc02597ah4.jpg][img]http://img128.imageshack.us/img128/223/dsc02597ah4.th.jpg[/img][/url]



Continuos errores abriendo o usando la ventana de "Quitar o Agregar Programas", tales como "rundll32.exe o Explorer.exe ha detectado un problema y debe cerrarse", también éste

[url=http://img212.imageshack.us/my.php?image=11162008221333pr6.png][img]http://img212.imageshack.us/img212/4853/11162008221333pr6.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img212.imageshack.us/images/thpix.gif[/img][/url]

El Avance AC'97 Audio (driver) no se deja desinstalar correctamente, aparece esto:

[url=http://img212.imageshack.us/my.php?image=11162008200516zs9.png][img]http://img212.imageshack.us/img212/5310/11162008200516zs9.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img212.imageshack.us/images/thpix.gif[/img][/url] [url=http://img233.imageshack.us/my.php?image=11162008221320bv0.png][img]http://img233.imageshack.us/img233/6015/11162008221320bv0.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img233.imageshack.us/images/thpix.gif[/img][/url]

El dispositivo de audio que me aparece como único es el Via (WAVE).



El sistema se cuelga y al reiniciarse aparece que se ha recuperado de un error grave.

Intentando varias veces pude desinstalar muchos programas. Luego al intentar instalar el Open Office o el Java versiones recientes, me salen los siguientes errores. (Hasta hace menos de 1 mes los instalaba sin problemas).

[url=http://img88.imageshack.us/my.php?image=11162008235833ga4.png][img]http://img88.imageshack.us/img88/9983/11162008235833ga4.th.png[/img][/url] [url=http://g.imageshack.us/thpix.php][img]http://img88.imageshack.us/images/thpix.gif[/img][/url][url=http://img233.imageshack.us/my.php?image=11172008122626he2.png][img]http://img233.imageshack.us/img233/5039/11172008122626he2.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img233.imageshack.us/images/thpix.gif[/img][/url]

[url=http://img233.imageshack.us/my.php?image=11172008200107gy0.png][img]http://img233.imageshack.us/img233/4201/11172008200107gy0.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img233.imageshack.us/images/thpix.gif[/img][/url][url=http://img88.imageshack.us/my.php?image=11182008072002ry5.png][img]http://img88.imageshack.us/img88/5281/11182008072002ry5.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img88.imageshack.us/images/thpix.gif[/img][/url][url=http://img88.imageshack.us/my.php?image=11182008072013do2.png][img]http://img88.imageshack.us/img88/4577/11182008072013do2.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img88.imageshack.us/images/thpix.gif[/img][/url][url=http://img212.imageshack.us/my.php?image=11182008072022wa4.png][img]http://img212.imageshack.us/img212/8929/11182008072022wa4.th.png[/img][/url][url=http://g.imageshack.us/thpix.php][img]http://img212.imageshack.us/images/thpix.gif[/img][/url]

Lo nuevo que le hice a la compu fue aumentarle la memoria tipo DIMM, de 256 MB a 760 MB de RAM, pero no se que decir.

No se si el equipo se vino a peor, luego de mover una carpeta ubicada en la partición de "Mis Archivos", con la cual se colgó el sistema.



Hace varios días, antes de instalar la nueva tarjeta DIMM de memoria, le di una pasada a mi vieja meoria de 256 de RAM con el Memtest. Arrojó 0 errores:

[url=http://img368.imageshack.us/my.php?image=dsc02673nb3.jpg][img]http://img368.imageshack.us/img368/5748/dsc02673nb3.th.jpg[/img][/url]



He desistalado casi todos los programas para observar comportamiento, pero la PC continúa igual, estado o no conectada la pendriver. Tampoco puedo instalar el MS Office, ya que este se me bloquea en el archivo PR103369.CAB, pero no se si se deba al disco o a la unidad cd-rom.

Me aparecen archivos con nombre extraños, subcarpetas con el mismo nombre de las carpetas, que al hacer clik conducen al escritorio o cuelgan el sistema, de por si ya muy inestable al usar el explorador de windows simplemente. carpetas llmadas DATA_mi nombre.

No puedo ejecutar nuevamente el Memtest porqué al reiniciarse me aparece: Quitar discos o medios...Pres. una tecla. y no puedo ejecutarlo desde el disquette.

Además, las opciones de Carpeta no me aparecen en el menú de Herramientas.

En el cyber, el kaspersky me arroja lo siguiente:

[color=red]23/11/2008 06:23:38 p.m. F:\Data ADMINISTRADOR.exe Explorador de Windows Detectados: Email-Worm.Win32.Brontok.q

23/11/2008 06:23:43 p.m. F:\Data ADMINISTRADOR.exe Explorador de Windows Eliminado: Email-Worm.Win32.Brontok.q

23/11/2008 06:23:43 p.m. F:\Data CARLOS DANIEL.exe Explorador de Windows Detectados: Email-Worm.Win32.Brontok.q

23/11/2008 06:23:44 p.m. F:\Data CARLOS DANIEL.exe Explorador de Windows Eliminado: Email-Worm.Win32.Brontok.q

Antivirus de archivos y memoria (eventos: 6)

23/11/2008 08:35:41 a.m. Antivirus de correo y chat Kaspersky Anti-Virus Tarea iniciada

Antivirus de archivos y memoria (eventos: 6)

23/11/2008 08:35:41 a.m. Antivirus Internet Kaspersky Anti-Virus Tarea iniciada

[/color]

Me informa que los ha eliminado.

[msc hotline sat]

Pues vacune el ordenador y todos sus pendrives con el ELIPEN:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y por si hubiera restos del Brontok u otras hierbas, pruebe luego el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 24-11-2008

[turson]

Usé el Elipen, y me dice que la carpeta ya está protegida, la carpeta se modificó.

El Elistar el avast! me lo detectó como virus.

Sin tener internet, me he vuelto a instalar el avast antivirus 4.7 con sus actualizaciones de enero. Me dió la opción de escaneo en el boteo de inicio, y vaya que me halló toda una sarta de detecciones que el mismo fue eliminando, (al principio mandé una al baul).

Parece que el avast! ha hecho una buena tarea, pero al reinicio el equipo se me queda estacionado unos segundos de más en la pantalla de bienvenido, la PC me emite beep y después se inicia con este error:

[url=http://img151.imageshack.us/my.php?image=11252008091211vl0.png][img]http://img151.imageshack.us/img151/8052/11252008091211vl0.th.png[/img][/url]

Y las aplicaciones de inicio que me aparecen son las sgtes:

[url=http://img151.imageshack.us/my.php?image=11252008092427yh6.png][img]http://img151.imageshack.us/img151/7853/11252008092427yh6.th.png[/img][/url]

Ya borré esas extrañas entradas, pero el error continúa.



Ya se como puedo programar el MemTest 3.4, debo ejecutarlo desde la PC y no desde el disquette, para así poder formatear el disco a su manera.



Probando con drivers más recientes del Audio AC97, me he quedado sin audio en mi PC. Y me han ocurrido cuelgues repentinos, con la vuelta con alerta de error grave.

Mi equipo es un AMD Athlon XP 1800 1.53 GHz y en este momento 248 MB de RAM tarjeta de memoria DIMM

[msc hotline sat]

Pues desactiva el AVAST, que ya se sabe da falsos positivos al respecto, y prueba de nuevo el ELISTARA, y nos posteas el informe resultante c:\infosat.txt:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



saludos



ms, 26-11-2008

[turson]

Escaneando desde el boteo de inicio con el Memtest86 v3.4, con la sóla tarjeta RAM de 512 MB en la PC, se me genera esta pantalla con errores (hubo bloqueó del equipo allí a los 19 minutos)

[url=http://img509.imageshack.us/my.php?image=dsc02742qg6.jpg][img]http://img509.imageshack.us/img509/6360/dsc02742qg6.th.jpg[/img][/url]



Cuando escaneo ambas tarjetas RAM 512 + 256, es decir 760 de RAM, después de un tiempo, la pantalla se llena de rallas, haciéndose casi inentendible y generando enorme cantidad de errores, escanié tanto con la v3.3 como la v3.4:

[url=http://img399.imageshack.us/my.php?image=dsc02745qt5.jpg][img]http://img399.imageshack.us/img399/3641/dsc02745qt5.th.jpg[/img][/url] [url=http://img139.imageshack.us/my.php?image=dsc02746rp1.jpg][img]http://img139.imageshack.us/img139/901/dsc02746rp1.th.jpg[/img][/url]



En el escaneo de la sóla tarjeta de 256 MB de RAM, hace su pasada total con 0 errores:

[url=http://img141.imageshack.us/my.php?image=dsc02738vc0.jpg][img]http://img141.imageshack.us/img141/6058/dsc02738vc0.th.jpg[/img][/url]



Escaneé con el Spybot S&D con sus nuevas actualizaciones instaladas. Éste alcanzó a detectar varios errores, y se colgó al encontrar uno relacionado con "Virtumonde". Tambièn intenté con el SAS actualizado, y éste también me cuelga el equipo, incluso usándolos en modo seguro.

En cualquiera de las situaciones, mi SO winxp está inestable, ciertamente mucho más al estar funcionando la RAM de 512 dentro.

Si es cierto que la nueva tarjeta RAM está con defectos, mi idea es limpiar mi PC de bichos y solicitar la garantía.

Aquí dejó mi log de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:16:50, on 28/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\A4Tech\Mouse\Amoumain.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Java\jre1.6.0_04\bin\jusched.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll

O4 - HKLM\..\Run: [WheelMouse] C:\Archivos de programa\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_04\bin\jusched.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212558810391

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe



--

End of file - 3904 bytes

[msc hotline sat]

Te pediamos que probaras el ELISTARA, y nos postearas el infosat, y no lo vemos...



Hazlo y copia en su misma carpeta el ELINOTIF.DLL



Por otro lado, ya que has posteado el log del HJT, vemos que te faltan parches. Lanza un windowsupdate e instala el SP3 y posteriores, como el MS08-067.



y espero que este fichero será detectado por el ELISTARA:



C:\WINDOWS\KesenjanganSosial.exe



sino, envianoslo para analizar



saludos



ms, 30-11-2008

[turson]

Pero, el Elistar se debe ejecutar en modo seguro, seguro con funciones de red, o normal??

El equipo lo tengo con un muy lento Inicio de sistema. Es como si hubiese sacado el virus, pero este me hubiese dejado daños de espacio de memoria o CPU usado.

NO se que es aquello del ELINOTIF.DLL y que le copie en una carpeta ??

Del SP3, pues he escuchado que hay que tener un equipo con mejor memoria RAM para su uso. Tengo un AMD Athlon XP 1800+, 1.53 GHz, 256 MB de RAM, con SO WinXP SP2.

C: Sistema, X: Mis archivos, E: mi pendrive USB. Aquí va el soberbio log del Infosat, borré la enorme cantidad de hosts que seguramente provienen del método de protección del SpywareBlaster; sólo puse unas pocas.

[color=#400080]

Wed Dec 03 20:34:11 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2631

Nº Total de Ficheros: 22961

Nº de Ficheros Analizados: 10309

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Dec 03 20:47:59 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "X:\"

X:\UTILIDADES\INSTALADORES\Mozilla Firefox (en español)\FIRETUNE.EXE --> Eliminado, P2PAdware.A



Nº Total de Directorios: 2508

Nº Total de Ficheros: 29183

Nº de Ficheros Analizados: 2151

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Dec 03 20:53:50 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.00hq.com

:::::::::::::::::::::::::::::::::::::::::::::::::::::::

Linea Eliminada del HOSTS --> 127.0.0.1 zxcsolution.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 zyban-zocor-levitra.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Dec 03 20:54:25 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 87

Nº Total de Ficheros: 963

Nº de Ficheros Analizados: 108

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/color]

[msc hotline sat]

Como que en el informe no indica haber encontrado a faltar el ELINOTIF.DLL, señal que no la ha necesitado. Se trata de una DLL que hace falta algunas veces, en este caso no ha hecho falta, olvidalo.



Y el ELISTARA se puede ejecutar en modo NORMAL pero debes desactivar el antivirus residente, en cambio si arrancas en modo seguro, ya no está residente



Y los del SP3, es imprescindible instalarlo si quieres parchear los agujeros de seguridad, y no solo dicho parcxhe, sino tambien los posteriores como el MS08-067 !!! Y aun con 256 MB de RAM, pero desde luego aumentarla un poco es recomendable para todo (por lo menos hasta 512 yt deseable 1 GB)



saludos



ms, 4-12-2008