PC muy lenta (SOLUCIONADO)

[Victor Barragan]

En la pc hay seis archivos svchost.exe: (3) SYSTEM; (2) servicio de red, en uno de ellos el CPU llega a 99;(1) SERVICIO LOCAL

========================

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:01:35, on 12/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal



Running processes:

C:\WINDOWS2\System32\smss.exe

C:\WINDOWS2\system32\winlogon.exe

C:\WINDOWS2\system32\services.exe

C:\WINDOWS2\system32\lsass.exe

C:\WINDOWS2\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS2\System32\svchost.exe

C:\WINDOWS2\system32\ZONELABS\vsmon.exe

C:\WINDOWS2\Explorer.EXE

C:\WINDOWS2\system32\spoolsv.exe

C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS2\system32\PSIService.exe

C:\WINDOWS2\System32\snmp.exe

C:\WINDOWS2\System32\svchost.exe

C:\ARCHIV~1\AVG\AVG8\avgrsx.exe

C:\ARCHIV~1\AVG\AVG8\avgemc.exe

C:\ARCHIV~1\AVG\AVG8\avgnsx.exe

C:\Archivos de programa\AVG\AVG8\avgcsrvx.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\ARCHIV~1\AVG\AVG8\avgtray.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\ARCHIV~1\REGIST~1\rbcs.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\MSGTAG Status\MSGTAGStatus.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\TuneUp Utilities 2008\MemOptimizer.exe

C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS2\system32\taskmgr.exe

C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\YAHOO!\Companion\Installs\cpn14\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\YAHOO!\Companion\Installs\cpn14\yt.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FLASHGET\jccatch.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Archivos de programa\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\YAHOO!\Companion\Installs\cpn14\yt.dll

O3 - Toolbar: (no name) - {C17590D2-ECB4-4b15-8820-F58798DCC118} - (no file)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Archivos de programa\Dealio\kb127\Dealio.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Part browse safe hold] C:\Documents and Settings\All Users.WINDOWS2\Datos de programa\Audio 4 part browse\aim two.exe

O4 - HKLM\..\Run: [CheckRegDefragService] "C:\ARCHIV~1\REGIST~1\rbcs.exe" -autorun

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [TClockEx] D:\Downloads\TClock\TCLOCKEX.EXE

O4 - HKCU\..\Run: [MSGTAG] "C:\Archivos de programa\MSGTAG Status\MSGTAGStatus.exe" /startup

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2008\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\user\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Proxymove] C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS2\System32\shdocvw.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS2\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS2\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Archivos de programa\Dealio\kb127\Dealio.dll

O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Archivos de programa\Dealio\kb127\Dealio.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688

O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4FE5293B-7009-4A86-9F8F-26C727427043}: NameServer = 208.67.222.222,208.67.220.220

O17 - HKLM\System\CS1\Services\Tcpip\..\{4FE5293B-7009-4A86-9F8F-26C727427043}: NameServer = 208.67.222.222,208.67.220.220

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

O20 - AppInit_DLLs: avgrsstx.dll C:\ARCHIV~1\Google\GOOGLE~2\GOEC62~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS2\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS2\system32\PSIService.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS2\System32\TuneUpDefragService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS2\system32\ZONELABS\vsmon.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe (file missing)



--

End of file - 13549 bytes

[msc hotline sat]

Elimine estas claves:



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm



O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)



O3 - Toolbar: (no name) - {C17590D2-ECB4-4b15-8820-F58798DCC118} - (no file)









y envienos estos ficheros para analizar:



C:\Documents and Settings\All Users.WINDOWS2\Datos de programa\Audio 4 part browse\aim two.exe



C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe



C:\Archivos de programa\Dealio\kb127\Dealio.dll







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 13-2-2009







y recuerde: https://foros.zonavirus.com/viewtopic.php?f=13&t=5148

[Victor Barragan]

Grasias MS por tu pronta atención y respuesta. Seguí tus instrucciones y borré con HJT, en modo seguro, las claves indicadas.

Por aparte envío por correo los ficheros solicitados en formato rar. El archivo SafeLessIntra.exe no lo encontré en el fichero C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe, sino en C:\Windows2\Prefech. Después de salir del modo seguro la pc funció bien; sin embargo el archivo SVCOST. EXE servicio de red siguió marcando 100, aunque sin mantenerse por mucho tiempo (marca 98 y al poco tiempo va bajando hasta llegar a 0).

Te saludo y te reitero mi agradecimiento.

Víctor Barragán

[msc hotline sat]

Respecto lo que dices de "[b][i]El archivo SafeLessIntra.exe no lo encontré en el fichero C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe, sino en C:\Windows2\Prefech[/i][/b]", pues de nada nos sirven los de la carpeta prefecth, son .PF y no sirven para monitorizar...



Mira si entrando esta frase (ruta y fichero):



C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe



en el ELIMOVER, lo encuentra y te lo copia en C:\muestras, desde donde te será fácil acceder a él para podernoslo enviar:



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y sio no lo encontraras de ninguna manera, procedriamos a eliminar esta clave:



O4 - HKCU\..\Run: [Proxymove] C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe



saludos



ms, 14-2-2009











Y el SVCHOST , si es el de la carpeta de sistema, es el lanzador de tareas de windows,

[Victor Barragan]

Nuevamente muchas gracias MS. El programita elmover funcionó de maravilla. Por correo aparte te estoy enviando el archivo que me solicitas.

Buenas noches y salu2 desde Panamá

Victor Barragan

[msc hotline sat]

Bien, pues mañana cuando entremos a trabajar en SATINFO, lo analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



Mientras tanto, a los tres ficheros indicados les puedes cambiar el nombre, añadiendoles la extensión .VIR , y así no se pondrán en marcha tras el siguiente reinicio, y no te incordiarán.



saludos



ms, 15-2-2009

[Victor Barragan]

Buenas tardes MS, según pinta la cosa, después de aplicar la última receta que me diste, la pc ha vuelto a la normalidad. Ya el bendito archivo SVCHOST.EXE no está consumiendo recursos. Cuando traté de renombrar con ElMover el fichero C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe me sale un aviso que éste no existe.

Regracias nuevamente por tus recetas que han demostrado ser muy eficaces. Estoy a la espera de que me envíes el resultado del análisis de los ficheros. Por acá está lloviendo, algo que no debería ser pues supuestamente estamos en la temporada de "verano" (temporada seca). Diabluras del cambio climático.

Salu2, Víctor

[lucl]

Pues como mañana analizaran tu envio estate atento al foro para saber la herramienta que debes pasarle y asi ya dejar el pc limpio limpio, saludos

[msc hotline sat]

Y si ya no tienes el fichero en cuestion (SafeLessIntra.exe), elimina esta clave:



O4 - HKCU\..\Run: [Proxymove] C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 16-2-2009





NOTA : y eso de la lluvia será cosa del cambio climático, por aquí el tiempo tambien hace cosas raras ... ms.

[Victor Barragan]

Hola MS, ya la clave O4 - HKCU\..\Run: [Proxymove] C:\DOCUME~1\user\DATOSD~1\HTMWAR~1\SafeLessIntra.exe fue eliminada. Siento que el comportamiento del ordenador se ha normalizado. Estoy a la espera del análisis de las muestras enviadas. Preguntas: El problema de la pc fue causado por un virus? Cómo pudo ocurrir y qué hacer para evitarlo. Como has podido observar en la pc tengo instalado un antivirus y un cortafuegos.

Salu2, Víctor

[Victor Barragan]

MS hice un scan on line con Panda en Documents and Settings y obtuve el resultado siguiente:

1. C:\Documents and Settings\USER\Datos de programa\Htm Warn\MLTIOLXN.EXE

2. C:\Documents and Settings\USER\Datos de programa\Htm Warn\OEQIHTOL.EXE

[b][color=#FF0000]3. C:\Documents and Settings\USER\Datos de programa\Htm Warn\SafeLessIntra.exe.vir[/color][/b]

4. C:\Documents and Settings\USER\Datos de programa\Htm Warn\Basejugsnamedumb.exe

5. C:\Documents and Settings\USER\Datos de programa\Htm Warn\32trayinfo.exe

[b][color=#FF0040]6. C:\Documents and Settings\All Users.WINDOWS2\...ama\Audio 4 part browse\aim two.VIR[/color][/b]

7. C:\Documents and Settings\USER\Datos de programa\Htm Warn\ATOHLRTG.EXE

[b][color=#FF0040]8. C:\Documents and Settings\All Users.WINDOWS2\...ar[Audio 4 part browse\aim two.exe][/color][/b]

que supuestamente había eliminado. Qué me recomiendas?

Salu2, Víctor

[msc hotline sat]

Pues ya ves que el Panda te detecta que tienes el fichero que no encontraste:



SafeLessIntra.exe.vir



Quizas ahora que ya has eliminado su clave, al no estar en uso, lo podras encontrar y enviarnoslo, para poder controlarlo y contestar de lo que se trata.



Y envianos tambien los demas ficheros detectados en dicho analisis, pero hazlo como indicamos, pues no recuerdo que ayer recibieramos las muestras que decias habernos enviado...:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-2-2009

[Victor Barragan]

Buenas noches MS, ya envié los archivos solicitados. La pc se está portando mejor, espero que siga así.

Salu2

[msc hotline sat]

No recuerdo que ayer recibieramos esta muestra... A ver si no lo enviaste a la cuenta de zonavirus ??? Es que se reciben cientos de mails cada día y los que no se identifican como asociados a SATINFO a la cuenta de virus, o no se identifican como registrados al foro en la cuenta de zonavirus, y otros tantos a la cuenta de sat y demas, van a la cola... :roll:



O quizas la enviaste despues de las 18 horas ??? Sea como fuere, veremos si hoy llega y si es asi la analizaremos e informaremos. De todas formas al eliminar la clave ya no se lanza, y solo interesa la muestra para controlarlo en el futuro, pero a ti ya no te incordia, como has comprobado.



Tan pronto como tengamos noticias al respecto, informaremos



saludos



ms, 18-2-2009

[msc hotline sat]

Hoy nos han entrado las muestras que enviaste para analizar



Vemos que varias de ellas son nuevas variantes de Downloaders Swizzors.



Hoy las monitorizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-2-2009

[msc hotline sat]

Con el ELISTARA de hoy ya se controla una de las muestras que nos has enviado.



Mañana terminaremos de monitorizar las demas e implementaremos su control y eliminacion, pero de momento, con los ficheros con extension .VIR, ya no se cargan y no entran en funcionamiento, asi que puedes ir tirando sin que moleste el intruso :?:



Y mañana será otro día. que hoy ha estado cargado de urgencias de clientes y de nuevas variantes de Buzus y demás...



saludos



ms, 18-2-2009

[Victor Barragan]

Hola MS, ayer envié con la herramienta "envío de muestras" siete ficheros. Me alegra saber que ya identificaron al maligno como una variante de Downloaders Swizzors. Estoy a la espera de más noticias tuyas.

Salu2, Víctor

[Victor Barragan]

Hola MS, visté la página http://www.zonavirus.com/antivirus-on-line/ y sometí el análisis de los últimos ficheros en Virus Total. Casi todos los archivos mostraron el mismo resultado.

Audio_4_part_browse.rar

TR/Dldr.Swizzor.Gen, W32/Swizzor-based.2!Maximus, Win32.TRDldr.Swizzor, Generic!Artemis, Trojan.Dldr.Swizzor.Gen, Mal/Swizzor-D

32trayinfo.exe.VIRUS

Win32.Trojan.C2Lop.gen!F, Win32.Trojan.C2Lop.gen!F, TrojanDownloader:Win32/Swizzor.gen, Trojan.Dldr.Swizzor.Gen, Trojan.Win32.Drivecurb.3, Trojan.DL.Swizzor.Gen!Pac.4

Los bichos -que son muchos- se repiten en casi todas las carpetas.

Salu2

[msc hotline sat]

Sí, y mientras los tengas renombrados con extension .VIR, ya están aparcados. Ya con el ELISTARA 18.04 se detecta y elimina uno de ellos (Fichero, claves y demas), y los otros estabamos ayer monitorizandolos y no dio tiempo a implementarlos, esperamos poder hacerlo hoy en la nueva version 18.05



saludos



ms, 19-2-2009

[msc hotline sat]

Ya monitorizados los 7 ficheros, 2 de ellos ya se controlaban con el ELISTARA 18.04 y los 5 restantes se controlan con la version de hoy 18.05:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 19-2-2009

[Victor Barragan]

Hola MS tengo días de no tener noticias frescas. Espero que todo esté bien.

Salu2, Víctor

[Victor Barragan]

MS, si me autorizas te puedo enviar los archivos a tu correo privado. La pc está funcionando normalmente. Saludos, Víctor

[msc hotline sat]

No, gracias, todo en el foro, para aprovechamiento de todos. Los privados no son para esto. https://foros.zonavirus.com/viewtopic.php?f=1&t=528



Y no sé que esperas, mira mi anterior post... Descarga la version actual del ELISTARA, pruebala y posteanos el informe resultante



saludos



ms, 21-2-2009

[Victor Barragan]

Hola MS, he enviado varios correos que no aparecen y sigo sin poder tener nuevas instrucciones que me permitan cerrar mi caso.

Saludos, Víctor

[lucl]

[quote="msc hotline sat"]Ya monitorizados los 7 ficheros, 2 de ellos ya se controlaban con el ELISTARA 18.04 y los 5 restantes se controlan con la version de hoy 18.05:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 19-2-2009[/quote]



Msc te pidio que hicieras esto , lo hiciste? SI no es asi hazlo y nos pegas el infosat.txt saludos

[Victor Barragan]

MS te pido disculpas por mi confusión sobre los mensajes. Ocurre que no pinchaba la parte 2 y me quedaba viendo la 1. Ya corrí elistara y te mando el InfoSat.txt. Como diría un colombiano este programa es una berraquera.



Fri Feb 20 13:35:52 2009

EliTriIP v5.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8119

Nº Total de Ficheros: 75746

Nº de Ficheros Analizados: 25475

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Feb 20 18:22:30 2009

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Feb 20 18:22:31 2009

EliStration v3.9 (c)2007 S.G.H. / Satinfo S.L.

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Feb 23 16:29:57 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\TClock"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Feb 23 16:30:47 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\FREEZESCREENSAVER.EXE --> Eliminado, FREEZESCREENSAVER

C:\Documents and Settings\user\Datos de programa\Htm Warn\BASEJUGSNAMEDUMB.EXE.VIR --> Eliminado, Swizzor(lop)

C:\Documents and Settings\user\Datos de programa\Htm Warn\32TRAYINFO.EXE.VIR --> Eliminado, Swizzor(lop)

C:\Documents and Settings\user\Datos de programa\Htm Warn\SAFELESSINTRA.EXE.VIR --> Eliminado, Swizzor(lop)

C:\Documents and Settings\user\Datos de programa\Htm Warn\MLTIOLXN.EXE.VIR --> Eliminado, Swizzor(lop)

C:\Documents and Settings\user\Datos de programa\Htm Warn\OEQIHTOL.EXE.VIR --> Eliminado, Swizzor(lop)

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP3\A0000542.EXE --> Eliminado, Swizzor(lop)

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP3\A0000543.EXE --> Eliminado, Swizzor(lop)

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP3\A0000545.EXE --> Eliminado, Swizzor(lop)

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP3\A0000546.EXE --> Eliminado, Swizzor(lop)

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP3\A0000547.EXE --> Eliminado, Swizzor(lop)

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP16\A0001350.EXE --> Eliminado, Swizzor(lop)

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP21\A0002251.EXE --> Eliminado, FREEZESCREENSAVER

C:\Muestras\SAFELESSINTRA.EXE.MUESTRA ELIMOVER V1.0 --> Eliminado, Swizzor(lop)

C:\Muestras\MLTIOLXN.EXE.VIRUS.MUESTRA ELIMOVER V1.0 --> Eliminado, Swizzor(lop)

C:\Muestras\OEQIHTOL.EXE.VIRUS.MUESTRA ELIMOVER V1.0 --> Eliminado, Swizzor(lop)

C:\Muestras\BASEJUGSNAMEDUMB.EXE.VIRUS.MUESTRA ELIMOVER V1.0 --> Eliminado, Swizzor(lop)

C:\Muestras\32TRAYINFO.EXE.VIRUS.MUESTRA ELIMOVER V1.0 --> Eliminado, Swizzor(lop)

C:\Muestras\ATOHLRTG.EXE.VIR.MUESTRA ELIMOVER V1.0 --> Eliminado, Swizzor(lop)

C:\Muestras\SAFELESSINTRA.EXE.VIR.MUESTRA ELIMOVER V1.0 --> Eliminado, Swizzor(lop)

C:\Office\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)



Nº Total de Directorios: 7842

Nº Total de Ficheros: 75752

Nº de Ficheros Analizados: 28432

Nº de Ficheros Infectados: 21

Nº de Ficheros Limpiados: 21



Mon Feb 23 18:01:44 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Feb 23 18:01:53 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Mon Feb 23 18:11:05 2009

EliStartPage v18.07 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

C:\System Volume Information\_restore{CE1EEBAC-871B-47A6-B044-95CCBDEFC3FA}\RP21\A0002252.INF --> Eliminado, AutoRun.AAJ(inf)



Nº Total de Directorios: 7825

Nº Total de Ficheros: 75495

Nº de Ficheros Analizados: 28426

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues despues de ver el informe del 18.07 , entendemos que con lo de [b][i]"Como diría un colombiano este programa es una berraquera"[/i][/b] ha querido elogiarlo ... :mrgreen:



He estado en Colombia pero no he conocido esta expresión, aunque me sorprendió cuando me preguntaron si me "provocaba" un café o se sorprendieron ellos cuando les pregunté donde se "cogía" un autobus... :lol: :lol: :lol: ... los léxicos es lo que tienen!



Muchos Swizzors, entre otras hierbas, pero ahora lo que necesitamos saber y si, tras reiniciar, persiste alguna anomalia, o podemos dar por solucionado el Tema, gracias.



saludos



ms, 24-2-2009

Ref PAN/Chir/P.N.+8.6-82.4

[Victor Barragan]

Gracias MS por tu amabilidad. Después de reiniciar la pc ésta se ha comportado bien. Noto que ahora el arranque es más rápido cuando la inicio por primera vez. Anteriormente este proceso llevaba de 5 a 6 minutos. Después de la limpieza anterior qué sigue? Después de la independencia de Panamá de España el 28 de noviembre de 1821 el antiguo Virreinato de Panamá se unió a la Gran Colombia al desmembrarse ésta seguimos unidos a Colombia hasta el 3 de noviembre de 1903. Así que los panas tenemos algo de colombianos -por cierto en el escudo colombiano aún se mantiene el istmo de Panamá como parte de su territorio- El uso de "coger" es común y no se considera una palabra "sucia". Saludos, Víctor

[msc hotline sat]

No, si hacer el amor es muy limpio, pero "tirarse" a un autobus, que es lo que interpretaron que quería decir ... no les pareció muy apropiado :mrgreen:



Y bueno, ya si no persisten anomalias damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



Y gracias por la leccion de historia :wink:



saludos



ms, 24-2-2009