Porblema gordo! =S (SOLUCIONADO)

[msc hotline sat]

Pues como que dices que el lunes iras al "médico", se lo cuentas todo, seguro que le será de interés:



[b][i][quote]asin que el lunes ira a hacerle una visita al medico[/quote][/i][/b]



y nos cuentas el resultado de lo que haga y lo que le hace, claro :wink: , gracias



saludos



ms, 24-1-2009

[pilariko]

Muchas gracias a ustedes :wink:



Por cierto, para tener un PC seguro, se necesita un buen antivirus actualizado diariamente y un buen antispyware no?

Me pueden decir algunos?

[msc hotline sat]

Lo mas importante es que lo tengas actualizado y residente, y todos los parches disponibles aplicados



Nosotros usamos McAfee, claro, fue el primero que hubo y sigue siendo lider mundial, pero para escoger, los puedes probar descargandolos desde:



http://www.zonavirus.com/datos/historico.asp?idcategoria=9&genero=descargas



y escoge el que mas te guste, por lo menos que cuando te infectes sea con uno a tu gusto... :?



saludos



ms, 25-1-2009

[pilariko]

Pues ya esta aqui mi pc, y por lo visto no ha echo nada de lo que le dije, por que lo ha llebado mi padre y se le ha olvidado...

Resulta que ya no me redirecciona las paginas cuando las pongo en Google, pero no me abre el SpyBoth, no me entra en la pagina de windows update, no me deja bajarme la version de nod32 de la pagina de softonic... y no se que mas, por que lo acabo de encender.

El pc lo noto lento...bastante lento que antes, dice mi padre que le paso un spyware y detecto un par de entradas graves o algo de eso...

Que hago, vuelvo a mirar lo de TWEX.EXE :?:

Pero no creo que de resultado... :?

[pilariko]

Por cierto le he pasado el HJC:



Logfile of HijackThis v1.99.1

Scan saved at 16:45:47, on 26/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\a-squared Anti-Malware\a2service.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

c:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlbrowser.exe

c:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\ARCHIVOS DE PROGRAMA\A-SQUARED ANTI-MALWARE\a2guard.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\ARCHIVOS DE PROGRAMA\A-SQUARED ANTI-MALWARE\A2START.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Windows\Temp\Rar$EX00.110\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O1 - Hosts: http://78.107.238.161 http://google.com

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Archivos de programa\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [McRegWiz] C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe /autorun

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [a-squared] "C:\Archivos de programa\a-squared Anti-Malware\a2guard.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [L07EXLRD_10559875] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Cognac] C:\Windows\Temp\~tmpa.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: officejet 6100.lnk = ?

O8 - Extra context menu item: Download FLV video content with IDM - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O11 - Options group: [java_sun] Java (Sun)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{959B3E05-F65D-46C9-9897-D85F2C59A6DD}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: a-squared Anti-Malware Service (a2antimalware) - Emsi Software GmbH - C:\Archivos de programa\a-squared Anti-Malware\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: McAfee.com McShield (mcshield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (mcvsrte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: SQL Server (PANEL) (MSSQL$PANEL) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sPANEL (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

[msc hotline sat]

Vemos esta clave sospechosa



F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,



Pruebe el ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





y elimine esta clave



O1 - Hosts: http://78.107.238.161 http://google.com



Ya que cuando lanza el google le envia a una web rusa:



78.107.238.161 RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156 Investelektrosviaz Ltd. Static IP pool for broadband customers in Moscow







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



SALUDOS



MS, 26-1-2009

[pilariko]

El elistara me pide que instale una utilidad ELINOTIF.dll para eliminar el virus...pero ya me la he bajado y nmo se donde instalarla! =S

[julibaga]

El Elinotif solo lo tienes que poner en el mismo directorio (carpeta) donde esté el Elistara.

Al reiniciar lo detectará.

[msc hotline sat]

efectivamente:




[quote]
[b] ELISTARA.EXE: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 26-1-2009

[pilariko]

Ahi lo llebais! :D

Ahora voy a eliminar dicha clave... :twisted:





Mon Jan 26 17:32:07 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\MaNu\Favoritos\Online Security Test.url --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 26 17:32:43 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Archivos de programa\Microsoft IntelliPoint\DPGMKB.DLL --> Acceso Denegado, CommanderNET (TB) (Reiniciar para Completar la Limpieza)

C:\Archivos de programa\Microsoft IntelliType Pro\DPGMKB.DLL --> Acceso Denegado, CommanderNET (TB) (Reiniciar para Completar la Limpieza)

C:\Documents and Settings\Administrador\Escritorio\INSTALAR.EXE --> Eliminado, Frauder.KG

C:\Documents and Settings\MaNu\Mis documentos\Otros\Rapidshare\Setup\DLDSETUP.EXE --> Eliminado, Dropper(ConHook)

C:\WINDOWS\system32\PNKBSTRB.EXE --> Eliminado, MoviePass



Nº Total de Directorios: 13585

Nº Total de Ficheros: 111213

Nº de Ficheros Analizados: 15556

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 4

Sistema Infectado por el PWS-NTOS

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Mon Jan 26 17:52:36 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 26 17:53:55 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Microsoft IntelliPoint\DPGMKB.DLL.VIR --> Acceso Denegado, CommanderNET (TB) (Reiniciar para Completar la Limpieza)

C:\Archivos de programa\Microsoft IntelliType Pro\DPGMKB.DLL.VIR --> Acceso Denegado, CommanderNET (TB) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 6674

Nº Total de Ficheros: 60095

Nº de Ficheros Analizados: 15517

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0

Sistema Infectado por el PWS-NTOS

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.01.19 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado PWS-NTOS

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



Mon Jan 26 18:08:54 2009

EliStartPage v17.86 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NTOS.EXE.Muestra EliStartPage v17.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Wsnpoem"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[julibaga]

Pues envía esta muestra

C:\Muestras\NTOS.EXE

Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y comenta si sigues con los problemas.

[pilariko]

Ya envié la muestra y ya eliminé la clave que usted me dijo...volvií a pasar el HJC por si las moscas:

Sigue sin dejarme abrir la pagina de windows update ni el spoyboth... Pero internet me va mas rapido :)



Logfile of HijackThis v1.99.1

Scan saved at 18:31:57, on 26/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\a-squared Anti-Malware\a2service.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

c:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlbrowser.exe

c:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Archivos de programa\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

C:\Archivos de programa\a-squared Anti-Malware\a2guard.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Windows\Temp\Rar$EX00.781\HijackThis.exe

C:\Archivos de programa\Java\jre6\bin\jqsnotify.exe

C:\WINDOWS\Installer\MSI38.tmp



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Archivos de programa\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [McRegWiz] C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe /autorun

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [a-squared] "C:\Archivos de programa\a-squared Anti-Malware\a2guard.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [L07EXLRD_10559875] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Cognac] C:\Windows\Temp\~tmpa.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: officejet 6100.lnk = ?

O8 - Extra context menu item: Download FLV video content with IDM - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O11 - Options group: [java_sun] Java (Sun)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{959B3E05-F65D-46C9-9897-D85F2C59A6DD}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: a-squared Anti-Malware Service (a2antimalware) - Emsi Software GmbH - C:\Archivos de programa\a-squared Anti-Malware\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: McAfee.com McShield (mcshield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (mcvsrte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: SQL Server (PANEL) (MSSQL$PANEL) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sPANEL (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

[flacoroo]

ejecuta de nuevo el HiJackThis, deja que genere el log(no es la copia que sale en block de notas) habilitas solo los procesos que te indicamos(debes tener cuidado para no equivocarte) y despues en pulsas la opcion FIX CHECKED y asi las eliminaras



[color=#FF0000]elimina esta entrada:[/color]



C:\WINDOWS\Installer\MSI38.tmp

O4 - HKCU\..\Run: [Cognac] C:\Windows\Temp\~tmpa.exe

O4 - Global Startup: officejet 6100.lnk = ?





[color=#FF0000]esta entrada es de otro antivirus, eliminala:[/color]



O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE





[color=#FF0000]de estos registros tengo duda, esperaremos una segunda opinion:[/color]



C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe /autorun

C:\Archivos de programa\Java\jre6\bin\jqsnotify.exe

O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll

[msc hotline sat]

De lo que pides una segunda opinion, flacoroo, te la brindo:



Sobre el fichero jqsnotify.exe parece que no es malware:


[quote]Información Archivo

Nombre Archivo : jqsnotify.exe

Tamaño Archivo : 54680 byte

Tipo Archivo : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : a07a8e305a6ad34d0761d0e26b37c8df

SHA1 : 0ab3538a8fa8d494aeac419040e5a2d6b3117a67

Resultados

Resultados : Ningún Escaner ha encontrado infecciones

Fecha : 2008/12/11 23:58:09 (CET)

Escaner Versión Motor Versión Firma Fecha Firma Resultados Fecha

a-squared 4.0.0.27 20081211220123 2008-12-11 - 3.068

AhnLab V3 2008.12.12.00 2008.12.12 2008-12-12 - 1.026

AntiVir 7.9.0.45 7.1.0.224 2008-12-11 - 1.557

Antiy 2.0.18 20081211.1830202 2008-12-11 - 0.119

Arcavir 1.0.5 200812071316 2008-12-07 - 1.241

Authentium 5.1.1 200812111608 2008-12-11 - 1.066

AVAST! 3.0.1 081211-0 2008-12-11 - 0.007

AVG 7.5.52.442 270.9.16/1843 2008-12-11 - 1.757

BitDefender 7.81008.2343474 7.22461 2008-12-12 - 2.172

CA (VET) 9.0.0.143 31.6.6256 2008-12-11 - 5.150

ClamAV 0.94.1 8747 2008-12-12 - 0.019

Comodo 3.0 733 2008-12-11 - 0.796

CP Secure 1.1.0.715 2008.12.12 2008-12-12 - 6.067

Dr.Web 4.44.0.9170 2008.12.11 2008-12-11 - 3.970

ewido 4.0.0.2 2008.12.11 2008-12-11 - 3.103

F-Prot 4.4.4.56 20081211 2008-12-11 - 1.065

F-Secure 5.51.6100 2008.12.11.12 2008-12-11 - 3.892

Fortinet 2.81-3.117 9.803 2008-12-11 - 0.217

GData 19.1867/19.142 20081211 2008-12-11 - 2.782

Ikarus T3.1.01.45 2008.12.11.71992 2008-12-11 - 3.690

JiangMin 11.0.706 2008.12.11 2008-12-11 - 5.231

Kaspersky 5.5.10 2008.12.11 2008-12-11 - 0.059

KingSoft 2008.9.8.18 2008.12.11.23 2008-12-11 - 0.567

McAfee 5.3.00 5461 2008-12-11 - 2.588

Microsoft 1.4205 2008.12.11 2008-12-11 - 3.898

mks_vir 2.01 2008.12.10 2008-12-10 - 2.683

Norman 5.93.01 5.93.00 2008-12-11 - 5.732

nProtect 12-11-2008.02 2761105 12-11-2008 - 3.359

Panda 9.05.01 2008.12.11 2008-12-11 - 2.374

Quick Heal 10.00 2008.12.11 2008-12-11 - 0.865

Rising 20.0 21.07.32.00 2008-12-11 - 0.769

Sophos 2.81.2 4.36 2008-12-12 - 1.976

Sunbelt 4754 4754 2008-12-10 - 0.486

Symantec 1.3.0.24 20081210.009 2008-12-10 - 0.051

The Hacker 6.3.1.2 v00184 2008-12-11 - 0.518

Trend Micro 8.700-1004 5.704.05 2008-12-11 - 0.029

VBA32 3.12.8.10 20081211.0109 2008-12-11 - 1.492

ViRobot 20081211 2008.12.11 2008-12-11 - 0.413

VirusBuster 4.5.11.10 10.95.4/730197 2008-12-11 - 0.988 [/quote]

El mcregwiz.exe parece ser de McAfee:



http://www.processlibrary.com/es/directory/files/mcregwiz/



y los otros dos ficheros son Active X de Java, sin que se conozca que sean malwares:



http://www.prevx.com/filenames/X462560182321729575-0/JP2IEXP.DLL.html



Ahora bien, al respecto las claves que indicas eliminar, conviene que nos envien los ficheros que lanzan para analizarlos y controlarlos en proximas versiones de nuestras utilidades:



C:\WINDOWS\Installer\MSI38.tmp

C:\Windows\Temp\~tmpa.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-1-2009

[msc hotline sat]

Analizado fichero NTOS.EXE pasamos a implementar su cpontrol y eliminacion como PWS NTOS a parir de la version 17.88 del ELISTARA de hoy


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 27-1-2009

[msc hotline sat]

Traspapeladas un par de respuestas que habia editado para este Tema, las anexo por si aun estamos a tiempo:









Del analisis del HJT Vemos estos ficheros sospechosos:





C:\Windows\Temp\~tmpa.exe



Envianoslos para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 26-1-2009









____________________











Buscando informacion con el Google, el segundo aparece como posible troyano:



Trojan.Generic.744009



Cuando recibamos la muestra, la anlizaremos e informaremos, pero de momento, añada a la extension de dicho fichero la terminacion .VIR, para que tras reiniciar no se ponga en uso, y cree una carpeta en C:\Windows\Temp\~tmpa.exe

con el nombre de ~tmpa.exe , por si algo intenta regenerarlo, asi no podrá.



saludos



ms, 26-1-2009

[pilariko]

A ver...entonces las entradas que tengo que eliminar son estas:



O4 - Global Startup: officejet 6100.lnk = ?

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE



Y os tengo que enviar estas:



C:\WINDOWS\Installer\MSI38.tmp

C:\Windows\Temp\~tmpa.exe



Es asin no?

Lo de renombrar el fichero y crear la carpeta no lo he entendido del todo... :?

[msc hotline sat]

Sí, la clave de NOD32 no tiene sentido si tienes instalado McAfee, eliminala:



O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE



La otra no sé de qué va, lo indicó flacoroo y así debe ser, voy a ver...



No veo el porqué, que lo ratifique flacoroo, yo la otra no la borraría, pero ...







y tras recibir las muestras pedidas, obraremos en consecuencia



saludos



ms, 27-1-2009

[pilariko]

Pues no encuentro los archivos para enviaroslo :!: :?

[msc hotline sat]

Recuerda, son estos dos:



C:\WINDOWS\Installer\MSI38.tmp



C:\Windows\Temp\~tmpa.exe



Prueba el ELIMOVER y los mueves a la carpeta C:\muestras , desde alli te será mas facil enviarnoslos:



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp



saludos



ms, 27-1-2009

[pilariko]

Me dice que no existe el fichero... :shock:

[msc hotline sat]

Pues debe haberse borrado al estar en carpeta temporal.



Dinos si persiste alguna anomalia o podemos dar por solucionado el Tema. En el primer caso, lanza este AVONLINE y posteanos el informe resultante:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 27-1-2009

[pilariko]

Pues la pagina que me has puesto no me abre, ese es uno de los principales problemas...que no me habre paginas tales como windows update ni paginas de antivirus :evil:



El caso es que me pasa mas o menos lo mismo que a este compañero:



https://foros.zonavirus.com/viewtopic.php?f=13&t=27359

[msc hotline sat]

Pues el Tema que indicas parece que se trataba de variantes del conficker, lo cual efectivamente puede además, tambien tengas en tu caso.



Pues sigue lo indicado en este articulo:



http://www.satinfo.es/web/2009/usb445.html



Descarga de evaluacion del USB445.EXE



USB445.EXE

http://www.zonavirus.com/datos/descargas/281/usb445.asp



Luego lo pruebas y mira si a continuacion, en la misma sesion, puedes lanzar el windowsupdate y actualizar parches, especialmente el MS08-067



Luego arranca en modo seguro y lanza tu antivirus, que debería poder eliminar dicho virus



Y nos cuentas el resultado, gracias



saludos



ms, 28-1-2009

[pilariko]

Ya me he bajado el USB y lo he instalado y reiniciado pero todo sigue igual.

Me he saltado algo??

[msc hotline sat]

Tu sabrás...



Hemos indicado que siguieras los pasos de:



http://www.satinfo.es/web/2009/usb445.html



Así lo han podido eliminar todos nuestros clientes con McAfee como tu tienes.



Siguelo los pasos, prueba el USB445, en la misma sesion lanzas windowsupdate e instalas todos los parches criticos que te falten, especialmente el MS08-067, luego reinicias en modo seguro y lanzas una exploracion bajo demnada con el VirusScan, y que elimine los malwares que encuentre...



Evidentemente no conectes a la Red otros ordenadores sin antes limpiarlos.



saludos



ms, 28-1-2009

[pilariko]

Si eso he echo...y me ha aparecido un Autorunt.inf en el disco C...

Parece ser que me estoy descargando las actualizaciones de windows update...

os mantendre informado :!:

[msc hotline sat]

Pues posteanos el contenido de este AUTORUN.INF...



veremos el malware que lanza, a ver si lo encuentras y nos lo envias todo, el AUTORUN y el fichero que lanza.



saludos



ms, 28-1-2009

[pilariko]

Esto contiene:



[url=http://img147.imageshack.us/my.php?image=dibujoqz7.jpg][img]http://img147.imageshack.us/img147/517/dibujoqz7.th.jpg[/img][/url]



Por cierto, el windows update se lanzo pero ahora ya no lo veo...empezo a descargar actualizaciones...pero ya no esta :?

[msc hotline sat]

Nada hombre ! :mrgreen: Esto no es un fichero, sino la carpeta de proteccion que genera el ELIPEN para que no se puedan copiar ficheros con el mismo nombre !



Esta carpeta no la debes borrar, aparte de que la protegemos para que no puedas borrarla facilmente ...



En consecuencia, entendemos que estás libre ya de virus y procedemos a cerrar el Tema



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 28-1-2009