Problemas con las dichosas ventanitas CID (SOLUCIONADO)

[luis_atr]

Muy buenas, ya he leído varios post que tienen el mismo problema, y bueno...que la solución es:

1ero: pasar el elistara y copiar el info sat.

2o: pasar el hjackthis en 'a prueba de fallos' y copiar el log.



Hasta ahí creo que estoy acertado según he visto por ahí, pero resulta que me he bajado el elistara y me lleva 4 horas 'Restaurando Registro de Sistema'. ¿Eso está bien? ¿Tengo que seguir esperando?



Gracias por la atención y si hay algún fallo que pasase por alto pues decírmelo también.



Un saludo y gracias de nuevo.

[msc hotline sat]

Corta el proceso, borra los temporales que tienes en C:\windows\temp\ , borrando todos los ficheros de alli dentro, y vuelve a probar el ELISTARA, que de CiD controla un monton...



saludos



ms, 22-1-2009

[luis_atr]

Borro absolutamente todas las carpetas y archivos que hay en c:/windows/temp/???



Gracias y saludos.

[msc hotline sat]

Son temporales, pero eliminando los ficheros que aparezcan directamente al ir a esta carpeta, puede ser suficiente.



ms.

[luis_atr]

Ya he borrado todos los archivos que había en la carpeta TEMP, las carpetas nos las he borrado que no contienen ningún archivo dentro. Por otra parte, ¿cuánto suele tardar el ELISTARA en terminar el proceso?



Gracias, saludos.

[julibaga]

Por lo general no debería tardar más de unos 20 ó 30 minutos. Claro que depende del tamaño del disco y de la velocidad del equipo.

[luis_atr]

Hombre, no es que mi ordenador sea un ferrari, pero tampoco es un seiscientos, lo he comprado hace un año y el disco duro es de 160...es normal que lleve dos horas y algo y aun no haya acabado???

[julibaga]

En qué parte estás?

Está escaneando y van pasando archivos o todavía estás en el proceso previo de limpieza de temporales?



En caso de que se haya trabado, arranca en Modo a Prueba de Fallos y empieza el escaneo otra vez....

[luis_atr]

Me pone 'Restaurando Registro de Sistema'.

[julibaga]

Está bloqueado. Córtalo y comienza de nuevo pero en modo a prueba de fallos. (No sé si lo estás haciendo así)

[luis_atr]

Bien, después de pasar el ELISTARA en Modo Seguro y el HjackThis también en Modo seguro, me han dado estos resultados:







Fri Jan 23 00:00:53 2009

EliStartPage v17.84 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\fsc.tmp\1009893\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Windows\SETDEBUG.EXE --> Eliminado, HackTool-SRunner



Nº Total de Directorios: 21477

Nº Total de Ficheros: 127475

Nº de Ficheros Analizados: 34828

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2







Logfile of HijackThis v1.99.1

Scan saved at 0:24:14, on 23/01/2009

Platform: Unknown Windows (WinNT 6.00.1905 SP1)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)



Running processes:

C:\Windows\Explorer.EXE

C:\Windows\system32\PRISMSVR.EXE

C:\Users\Luis Tojo\Desktop\ELISTARA.CA%D8AB%D8%D8I.EXE

C:\Windows\system32\wbem\unsecapp.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch_1.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe

O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [dataatom] "C:\ProgramData\Licenseencenc.7x2zjl3"

O4 - HKCU\..\Run: [SHIM LINK FREE BALL] "C:\ProgramData\Wipe Anti Pure.qpi5e"

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: PRISMAPI.DLL - C:\Windows\SYSTEM32\PRISMAPI.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\Windows\System32\PAStiSvc.exe

O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



Gracias y un saludo.

[julibaga]

Primero decirte que tienes windows con el SP1 por lo que te falta SP2 y SP3 más los parches posteriores
[quote="luis_atr"]Platform: Unknown Windows (WinNT 6.00.1905 SP1)[/quote]

Yo te voy a indicar estos:
[quote="luis_atr"]O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)[/quote]

Y no sé qué son estos otros.
[quote="luis_atr"]O4 - HKCU\..\Run: [dataatom] "C:\ProgramData\Licenseencenc.7x2zjl3"

O4 - HKCU\..\Run: [SHIM LINK FREE BALL] "C:\ProgramData\Wipe Anti Pure.qpi5e"[/quote]

De todas formas espera instrucciones de msc o flacoroo al respecto. Ellos te dirán si las borras o qué haces con ellas o si hay alguna más.

[luis_atr]

Hombre, no sé, tengo el Vista Original con todas las actualizaciones al día, así que no sé...



Esperaré noticias de los demás. Gracias.

[julibaga]

Con razón no me sonaba.... jeje

hay otras claves que no me gustan que son:
[quote="luis_atr"]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost[/quote]

Pero sí, espera por sus noticias porque los expertos en hijackthis son ellos.



P.D. Aunque no le damos soporte a Windows Vista, espero que esto te pueda ayudar.

[msc hotline sat]

No damos soporte al VISTA en este foro, pero por si pudieran ser malwares, envianos estas muestras para analizar:



"C:\ProgramData\Licenseencenc.7x2zjl3"

"C:\ProgramData\Wipe Anti Pure.qpi5e"

C:\Windows\SYSTEM32\PRISMAPI.DLL





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-1-2009

[luis_atr]

Una preguntita, he localizado un archivo de esos, pero los dos primeros no sé como encontrarlos, y de enviarlos...tampoco tengo idea; le doy a enviar muestras, lo intento comprimir con *.rar pero no me aparece por ningún lado el archivo comprimido. Alguna sugerencia? (el tutorial de como comprimir con contraseña no está activo).



Gracias y un saludo.

[msc hotline sat]

Lo ababo de probar y funciona perfectamente:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24875



pero por si tienes un problema con su acceso, pruebe verla desde



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253&p=71218#p71218



saludos



saludos



ms, 23-1-2009

[luis_atr]

Bueno, como he dicho antes sólo he podido localizar el archivo prismapi.dll, los otros dos no he podido encontrarlos, y ya te envío ahora este archivo.



Gracias y un saludo.

[msc hotline sat]

Recibida la muestra de la DLL, no se detectan rutina viricas.



Reviso tru Tema a ver que mas se puede hacer...



Veo que se trata de VISTA, poco mas podemos hacer.



Si quieres, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]







saludos



ms, 23-1-2009

[luis_atr]

Bueno, veamos lo que nos salió:



Friday, January 23, 2009

Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Friday, January 23, 2009 11:13:09

Records in database: 1673624

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

C:\

D:\

E:\

F:\

Scan statistics

Files scanned 136312

Threat name 3

Infected objects 9

Suspicious objects 0

Duration of the scan 03:34:48



File name Threat name Threats count

C:\Program Files\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.62 1

C:\ProgramData\hide cool shim link\funk clock.exe Infected: Trojan.Win32.Obfuscated.gen 1

C:\ProgramData\Idle dvd comp\oyxxevaz.exe Infected: Trojan.Win32.Obfuscated.gen 1

C:\ProgramData\Idle dvd comp\pure bits online stop.exe Infected: Trojan.Win32.Obfuscated.gen 1

C:\Users\All Users\hide cool shim link\funk clock.exe Infected: Trojan.Win32.Obfuscated.gen 1

C:\Users\All Users\Idle dvd comp\oyxxevaz.exe Infected: Trojan.Win32.Obfuscated.gen 1

C:\Users\All Users\Idle dvd comp\pure bits online stop.exe Infected: Trojan.Win32.Obfuscated.gen 1

D:\Programas\mirc62.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.62 1

D:\Programas\video_downloader_setup.exe Infected: Backdoor.Win32.Reload.dd 1

The selected area was scanned.

[msc hotline sat]

Pues ahi lo tienes:



Threat name 3

Infected objects 9



vamos a ver los que son...



C:\ProgramData\hide cool shim link\funk clock.exe

C:\ProgramData\Idle dvd comp\oyxxevaz.exe

C:\ProgramData\Idle dvd comp\pure bits online stop.exe

C:\Users\All Users\hide cool shim link\funk clock.exe

C:\Users\All Users\Idle dvd comp\oyxxevaz.exe

C:\Users\All Users\Idle dvd comp\pure bits online stop.exe

D:\Programas\video_downloader_setup.exe



Pues envianoslos para analizar.



Y estos otros dos son clientes de mirc, pueden ser voluntarios:



C:\Program Files\mIRC\mirc.exe

D:\Programas\mirc62.exe



>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-1-2009

[luis_atr]

Pues menos la entrada "D:\Programas\video_downloader_setup.exe" que sé lo que es, las otras 6 entradas no las doy encontrado, he buscado y requetebuscado y no las encuentro.

[lucl]

Mirate este link que te dejo y pruebas , nos comentas si los encontraste saludos





https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

[luis_atr]

Ya, ya había mirado eso, buscar en los archivos ocultos, pero nada....no encuentro nada.

[msc hotline sat]

Pues tenerlos los tienes cuando los ha detectado el AV ONLINE...



Prueba de arrancar en modo seguro a ver si asi los ves, y en tal caso los mueves a C:\muestras\ , para que no se carguen a partir del proximo reinicio, y asi nos las puedas enviar para analizar.



saludos



ms, 24-1-2009





NOTA: Seguramente son ROOTKITS que ocultan ficheros, procesos y claves cuando estan en uso...

[luis_atr]

Pues nada, he probado a mirar si encontraba esos archivos en Modo Seguro y no los encontré por ninguna parte...a saber donde se meten, algún otro consejo?

[lucl]

Prueba con este programa que te indico. Prueba con alguno a ver si lo encuentras, debajo tienes la explicacion de como usarlo, saludos





http://www.zonavirus.com/descargas/elimover.asp









Utilidad para copiar un fichero de una ruta determinada a CMUESTRAS , aunque tenga atributos de Oculto (Hidden) o de Sistema (System) o de Read Only (R), especialmente diseñado para malwares de moda que impiden acceder a OPCIONES DE CARPETA y configurar ver ficheros ocultos, o que impiden accedet a una ventana del DOS, y que impiden arrancar en modo seguiro, aparte de desactivar la edicion de Registro . para lo que en algunos casos que su ubicacion está dentro de c:windows... puede arrancarse en Consola de Recuperacion, pero si cuelga de C:RECYCLER... sin estar borrados, sino copiados, o se arranca con un



Con el ELIMOVER.EXE se le introduce ruta y nombvre del fichero y este será copiado a C:MUESTRASª sin atributos, para facilitar el envio de la muestra.



Ademas, si se sabe que es virus, puede marcarse la casilla de RENOMBRAR LA EXTENSION DEL FICHERO ORIGINAL a .VIR y asi ya no se pondrá en uso a partir del proximo reinicio.



Una ves copiada en C:MUESTRAS el fichero sospechoso, enviarnoslo para analizar.



ms, 24-11-2008

[luis_atr]

Bueno, me aparecieron 3 archivos en c:\muestras con la extienson del programa, supongo que serán esas, las envío para que las analicéis.



Muchas gracias y un saludo.

[msc hotline sat]

Pues el lunes, cuando entremos a trabajar en SATINFO, analizaremos las muestras recibidas e implementaremos su control y eliminacion , si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 24-1-2009

[luis_atr]

Muy bien, gracias por todo el trabajo que estáis realizando, un saludo.