Problema con anuncios y cosas rara en iexplored.exe

[Cideck81]

Hola buenas, mi problema es que no paran de saltarme pestañas de iexplored, incluso sin tener abierto el iexplored se me conecta solo, también me a desactivado la restauración de sistema y actualizaciones automáticas que encima no puedo activarlas, lo e intentado todo borrar la entradas de registro y archivos en Modo a prueba de fallos y nada uno de ellos que el que mas me llamo la atención y no encontrado ninguna información sobre el es: EKmpVvut.ini , EKmpVvut.ini2 . Los dos están en system32 como archivos ocultos de sistema los eliminado y vuelven a aparecer incluso en modo a prueba de fallos,

Haber si pueden ayudarme estoy desesperado ya no se lo que hacer para parar esos anuncios de que mi PC esta infectado y chorradas como esa. Por favor ayúdenme!! Muchísimas gracias por adelantado.

Le e pasado un spybot aqui os posteo lo que me dio :


[code]Hint of the Day: Click the bar at the right of this to see more information! ()


Smitfraud-C.: [SBI $99619F8C] Configuración (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-1423349691-1869753722-3384644183-1008\Software\Microsoft\instkey

Virtumonde: [SBI $8F2A4A7E] ID de clase (Clave del registro, nothing done)
HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Virtumonde.generic: [SBI $1BB1339D] Objeto ayudante del navegador (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Virtumonde.generic: [SBI $2F10E03B] Configuración (Valor del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Virtumonde.generic: [SBI $6C003E72] Configuración del usuario (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-1423349691-1869753722-3384644183-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Virtumonde: [SBI $4D2BC948] Configuración (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim

Virtumonde: [SBI $779C9C0D] Configuración (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP

Virtumonde: [SBI $FD08B4B7] Archivo de configuración (Archivo, nothing done)
C:\WINDOWS\system32\EKmpVvut.ini2

Virtumonde: [SBI $2A2DCEAC] Archivo de configuración (Archivo, nothing done)
C:\WINDOWS\system32\EKmpVvut.ini

Virtumonde.prx: [SBI $3F5CA9DA] Configuración de autoejecución (ac410067) (Valor del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ac410067

Virtumonde.prx: [SBI $3F5CA9DA] Archivo de programa (Archivo, nothing done)
C:\WINDOWS\system32\ewdwlcrx.dll

Right Media: Cookie de seguimiento (Internet Explorer: HP_Propietario) (Cookie, nothing done)


DoubleClick: Cookie de seguimiento (Internet Explorer: HP_Propietario) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.6.0 (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.8)
2008-07-07 SDFiles.exe (1.6.0.4)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDShred.exe (1.0.2.3)
2008-07-07 SDUpdate.exe (1.6.0.8)
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-07-07 TeaTimer.exe (1.6.0.20)
2008-12-02 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2008-07-07 advcheck.dll (1.6.1.12)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-07-07 SDHelper.dll (1.6.0.12)
2008-06-19 sqlite3.dll
2008-07-07 Tools.dll (2.1.5.7)
2008-11-04 Includes\Adware.sbi (*)
2008-11-25 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-09-02 Includes\Dialer.sbi (*)
2008-09-09 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-11-18 Includes\Hijackers.sbi (*)
2008-11-18 Includes\HijackersC.sbi (*)
2008-09-09 Includes\Keyloggers.sbi (*)
2008-11-18 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-11-18 Includes\Malware.sbi (*)
2008-11-25 Includes\MalwareC.sbi (*)
2008-11-03 Includes\PUPS.sbi (*)
2008-11-25 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-11-25 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-11-04 Includes\Spyware.sbi (*)
2008-11-11 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-11-04 Includes\Trojans.sbi (*)
2008-11-26 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
[/code]

Tambien le e pasado el Kaspersky Online ya que encontre un asunto similar en el foro, aqui estan los resultados:


[code]-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 03 de diciembre de 2008 8:01:46
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 3/12/2008
Registros en la base antivirus: 1284285
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Áreas críticas:
C:\WINDOWS
C:\DOCUME~1\HP_PRO~1\CONFIG~1\Temp\

Estadísticas:
Número de objeros analizados: 36740
Virus encontrados: 0
Objetos infectados: 0 / 0
Objetos sospechosos: 0
Duración del análisis: 00:24:59

Bombre del objeto infectado / Nombre del virus / Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
C:\DOCUME~1\HP_PRO~1\CONFIG~1\Temp\hpodvd09.log Object is locked saltado
C:\DOCUME~1\HP_PRO~1\CONFIG~1\Temp\_hphtra07.log Object is locked saltado

Análisis completado.
[/code]



Espero que puedan ayudarme, no se si mi cd de restauración de PC a como me lo dieron de fabrica valla, la ultima vez le tomo 2 horas y tuve que repetir el proceso un par de veces porque se me quedava pillado. Gracias, un saludo!!

[msc hotline sat]

Pues envienos para analizar estos ficheros que se le reproducen: : EKmpVvut.*



Luego, menciona un IEXPLORED ??? entendemos se refiere al IEXPLORE.EXE , Tenga ciudado con los nombres y las letras, pues el EXPLORER.EXE es una cosa, otra el IEXPLORE.EXE y esto del EXPLORED que sepamos no existe, pero de lo contrario, envienoslo para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Por otro lado, no parece que tenga virus, ya que el Kaspeersky ONLINE no detecta nada, pero lance el ELISTARA por si heuristicamente vieramos algo:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



y en funcion del resultado, cabe pensar en un analisis con el SPROCES o con el ROOTKIT DETECTIVE, si es necesario, ya veremos segun los informes que nos postee, y lo que recibamos.



saludos



ms, 3-12-2008