Ayuda con WIN32/QHOST.NIW (TERMINADO)

[jmontalvo1]

Estaba en una ventana de MSN Live Messenger ver 2009 compilacion 4.08064.206 con Messenger plus Live ver 4.80.0.356, me llego un vinculo y decidi no ejecutarlo desde la pagina del msn sino que copieel encale y lo pegue en una ventana de Firefox, este me llevo a una pagina de tarjetas NICO y arriba aparecia un pop up que decia que necesitaba instalar un control de active-x para ver la tarjeta, cuando lo instale me aparecio una advertencia de ESS ver 3.0.684.0 con bases de datos ver 4005 (20090413) actualizadas el 13 de abril de 2009, en la que me dice que tengo una amenaza de Win32/Qhost.NIW que no se ha podido desinfectar-archivo eliminado-puesto en cuarentena. eso aparece con un mobre de archivo hsdjhsd... y luego vuelve y aparece con tro archivo dvkdnfs... el troyano no se va.

Mi PC ejecuta Win XP(32 bit) ver 5.1.2006 SP 3



Ejecute Elitriip y elibagla aca estan los resultados:



infosat.txt





(27-4-2009 11:34:06)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "NPF"

Eliminado Servicio, "SCardSvr"



(27-4-2009 11:34:24)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\eMule\Incoming\cracks de programas.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\gana dinero facil.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\hackear hotmail msn.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\sub7 troyano privado.exe --> Eliminado, Hupigon.FVEM

C:\Archivos de programa\eMule\Incoming\video xxx erotic.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\Archivos temporales de Internet\Content.IE5\VUDSI0LV\wowc[1].exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\438.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\499.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\668.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\795.exe --> Eliminado, Hupigon.FVEM

C:\Documents and Settings\Administrador.XX.000\Configuración local\temp\927.exe --> Eliminado, Hupigon.FVEM

C:\Downloads\SJphone-PPC2003-303c.exe --> Eliminado, FireDaemon(dr)

C:\Downloads\SJphone-PPC2003SE-303c.exe --> Eliminado, FireDaemon(dr)



Nº Total de Directorios: 7962

Nº Total de Ficheros: 103064

Nº de Ficheros Analizados: 20710

Nº de Ficheros Infectados: 13

Nº de Ficheros Limpiados: 13



(27-4-2009 11:43:01)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 1211

Nº Total de Ficheros: 28186

Nº de Ficheros Analizados: 2012

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 11:44:06)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v18.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\UNINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\GUARD32.DLL.Muestra EliStartPage v18.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GUARD32.DLL --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(27-4-2009 11:44:50)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Diskeeper Corporation\Diskeeper\PARCHE ESPAñOL DK PRO 9.0.524.EXE --> Eliminado, WebHancer(inst)

C:\Archivos de programa\eMule\Incoming\Corel Draw Gallery 205000 Clipart Cd 1-8\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)



Nº Total de Directorios: 7964

Nº Total de Ficheros: 103012

Nº de Ficheros Analizados: 23656

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(27-4-2009 11:58:48)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2009 11:58:56)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7963

Nº Total de Ficheros: 102989

Nº de Ficheros Analizados: 23652

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 12:08:17)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(27-4-2009 12:08:20)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7963

Nº Total de Ficheros: 102993

Nº de Ficheros Analizados: 20690

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 12:43:55)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2009 12:44:01)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7923

Nº Total de Ficheros: 102784

Nº de Ficheros Analizados: 23485

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-4-2009 20:55:37)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ERROR.TXT --> Eliminado Bagle



(27-4-2009 20:55:46)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

0591 - NINTENDO DS BROWSER (EU).ZIP -> Bagle0002 - NEED FOR SPEED - UNDERGROUND 2 (US).ZIP -> Bagle0049 - SPRUNG - THE DATING GAME (EU).ZIP -> Bagle0208 - NEED FOR SPEED - MOST WANTED (EU).ZIP -> Bagle0213 - MONSTER TRUCKS DS (US).ZIP -> Bagle0236 - FORD RACING 3 (EU).ZIP -> Bagle0246 - DRAGON BALL Z - BUKUU RESSEN (JP).ZIP -> Bagle0304 - DRAGON BALL Z - SUPERSONIC WARRIORS 2 (EU).ZIP -> Bagle0413 - TETRIS DS (EU).ZIP -> Bagle0414 - MY PET HOTEL (EU).ZIP -> Bagle0416 - NARUTO - SAIKYOU NINJA DAIKESSHUU 4 (JP).ZIP -> Bagle1694 - MARIO PARTY DS (US).ZIP -> BagleYSMENU0810211800.ZIP -> Bagle1541 - CHESSMASTER - THE ART OF LEARNING (E) (EMUDESC.NET).ZIP -> Bagle2780 - LEGO BATMAN - THE VIDEOGAME (EU).ZIP -> BagleBUNDLE-TFTP-TOOLSET.ZIP -> BagleGIRL.NDS.GBA.ZIP -> BagleGIRL.NDS.ZIP -> BagleMOONSHELL.ZIP -> Bagle

(28-4-2009 0:23:5)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(28-4-2009 0:23:8)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

0591 - NINTENDO DS BROWSER (EU).ZIP -> Bagle0002 - NEED FOR SPEED - UNDERGROUND 2 (US).ZIP -> Bagle0049 - SPRUNG - THE DATING GAME (EU).ZIP -> Bagle0208 - NEED FOR SPEED - MOST WANTED (EU).ZIP -> Bagle0213 - MONSTER TRUCKS DS (US).ZIP -> Bagle0236 - FORD RACING 3 (EU).ZIP -> Bagle0246 - DRAGON BALL Z - BUKUU RESSEN (JP).ZIP -> Bagle0304 - DRAGON BALL Z - SUPERSONIC WARRIORS 2 (EU).ZIP -> Bagle0413 - TETRIS DS (EU).ZIP -> Bagle0414 - MY PET HOTEL (EU).ZIP -> Bagle0416 - NARUTO - SAIKYOU NINJA DAIKESSHUU 4 (JP).ZIP -> Bagle1694 - MARIO PARTY DS (US).ZIP -> BagleYSMENU0810211800.ZIP -> Bagle1541 - CHESSMASTER - THE ART OF LEARNING (E) (EMUDESC.NET).ZIP -> Bagle2780 - LEGO BATMAN - THE VIDEOGAME (EU).ZIP -> BagleBUNDLE-TFTP-TOOLSET.ZIP -> BagleGIRL.NDS.GBA.ZIP -> BagleGIRL.NDS.ZIP -> BagleMOONSHELL.ZIP -> Bagle

Nº Total de Directorios: 6265

Nº Total de Ficheros: 94285

Nº de Ficheros Analizados: 14218

Nº de Ficheros Infectados: 19

Nº de Ficheros Limpiados: 19

[julibaga]

¿Sólo tenías eso? :shock:

Envía estos para analizar.


[quote="infosat"]Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v18.48



Por favor, envienos una muestra del fichero

C:\Muestras\GUARD32.DLL.Muestra EliStartPage v18.48
[/quote]

Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.



Y vuelve a bajar el [url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url] y el [url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url] y ejecútalos otra vez, ya que hay una versión más actualizada y péganos de nuevo el infosat.txt

[msc hotline sat]

Y vuelve a lanzar el ELIBAGLA, pues no vemos que se hayan eliminado los ficheros que detecta ??? :





[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 28--4-2009

[jmontalvo1]

(28-4-2009 1:2:4)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(28-4-2009 1:2:7)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7945

Nº Total de Ficheros: 103077

Nº de Ficheros Analizados: 14480

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-4-2009 1:3:45)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 1211

Nº Total de Ficheros: 28188

Nº de Ficheros Analizados: 1070

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-4-2009 01:32:13)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "NPF"



(28-4-2009 01:32:26)

EliTriIP v5.77 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7946

Nº Total de Ficheros: 103120

Nº de Ficheros Analizados: 20532

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-4-2009 02:08:31)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-4-2009 02:08:37)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7941

Nº Total de Ficheros: 103080

Nº de Ficheros Analizados: 23492

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-4-2009 15:56:33)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(28-4-2009 15:56:35)

EliBagle v12.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

0591 - NINTENDO DS BROWSER (EU).ZIP -> Bagle0002 - NEED FOR SPEED - UNDERGROUND 2 (US).ZIP -> Bagle0049 - SPRUNG - THE DATING GAME (EU).ZIP -> Bagle0208 - NEED FOR SPEED - MOST WANTED (EU).ZIP -> Bagle0213 - MONSTER TRUCKS DS (US).ZIP -> Bagle0236 - FORD RACING 3 (EU).ZIP -> Bagle0246 - DRAGON BALL Z - BUKUU RESSEN (JP).ZIP -> Bagle0304 - DRAGON BALL Z - SUPERSONIC WARRIORS 2 (EU).ZIP -> Bagle0413 - TETRIS DS (EU).ZIP -> Bagle0414 - MY PET HOTEL (EU).ZIP -> Bagle0416 - NARUTO - SAIKYOU NINJA DAIKESSHUU 4 (JP).ZIP -> Bagle1694 - MARIO PARTY DS (US).ZIP -> BagleYSMENU0810211800.ZIP -> Bagle1541 - CHESSMASTER - THE ART OF LEARNING (E) (EMUDESC.NET).ZIP -> Bagle2780 - LEGO BATMAN - THE VIDEOGAME (EU).ZIP -> BagleBUNDLE-TFTP-TOOLSET.ZIP -> BagleGIRL.NDS.GBA.ZIP -> BagleGIRL.NDS.ZIP -> BagleMOONSHELL.ZIP -> Bagle

Nº Total de Directorios: 6268

Nº Total de Ficheros: 94284

Nº de Ficheros Analizados: 14217

Nº de Ficheros Infectados: 19

Nº de Ficheros Limpiados: 19

[msc hotline sat]

Pero prueba la 12.50 del ELIBAGLA...



DESCARGALA y tras probarla nos posteas nuevo infosat.txt, gracias



saludos



ms, 28-4-2009

[jmontalvo1]

DOnde puedo conseguir la version 12.50 de ElibalA?

[julibaga]

[url=http://www.zonavirus.com/descargas/elibagla.asp]Elibagla[/url]

[jmontalvo1]

Lista de Acciones (por Exploración):

Explorando "C:\"



(28-4-2009 18:41:6)

EliBagle v12.50 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(28-4-2009 18:42:20)

EliBagle v12.50 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

0591 - NINTENDO DS BROWSER (EU).ZIP -> Bagle0002 - NEED FOR SPEED - UNDERGROUND 2 (US).ZIP -> Bagle0049 - SPRUNG - THE DATING GAME (EU).ZIP -> Bagle0208 - NEED FOR SPEED - MOST WANTED (EU).ZIP -> Bagle0213 - MONSTER TRUCKS DS (US).ZIP -> Bagle0236 - FORD RACING 3 (EU).ZIP -> Bagle0246 - DRAGON BALL Z - BUKUU RESSEN (JP).ZIP -> Bagle0304 - DRAGON BALL Z - SUPERSONIC WARRIORS 2 (EU).ZIP -> Bagle0413 - TETRIS DS (EU).ZIP -> Bagle0414 - MY PET HOTEL (EU).ZIP -> Bagle0416 - NARUTO - SAIKYOU NINJA DAIKESSHUU 4 (JP).ZIP -> Bagle1694 - MARIO PARTY DS (US).ZIP -> BagleYSMENU0810211800.ZIP -> Bagle1541 - CHESSMASTER - THE ART OF LEARNING (E) (EMUDESC.NET).ZIP -> Bagle2780 - LEGO BATMAN - THE VIDEOGAME (EU).ZIP -> BagleBUNDLE-TFTP-TOOLSET.ZIP -> BagleGIRL.NDS.GBA.ZIP -> BagleGIRL.NDS.ZIP -> BagleMOONSHELL.ZIP -> Bagle

Nº Total de Directorios: 6273

Nº Total de Ficheros: 94453

Nº de Ficheros Analizados: 20093

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 6273

Nº Total de Ficheros: 94455

Nº de Ficheros Analizados: 14219

Nº de Ficheros Infectados: 19

Nº de Ficheros Limpiados: 19

[jmontalvo1]

Cuando paso el malwarebytes me dice que estoy infectado con el backdoor.bot, dice que lo quitó, pero si lo vuelvo a ejecutar me dice de nuevo que estoy infectado.



Backdoor.Bot

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon\taskman | value:taskman



Y sigo sin acceso a browser en modo normal, solo puedo navegar en modo a prueba de fallos

[msc hotline sat]

No usamos esto del malware bytes, lanza este AV ONLINE y posteanos el informe resultante:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





A la vista del mismo sabremos a qué atenernos



saludos



ms, 28-4-2009

[jmontalvo1]

Please wait until the program's applet has been loaded, and a Java plug-in security warning message has appeared. If you click Cancel, you'll need to close the Kaspersky Online Scanner 7.0 window and open it again to continue installation.



Starting Java applet has failed! Please go online to use this program.



Esto lo estoy intentando ejecutar en modo a prueba de fallos y con el firefox pues el explorer no me arranca.

Intente tambien con safari pero me dio el mismo mensaje

[jmontalvo1]

HE itentado ejecutarlo dos veces pero se reinicia el pc, y esta montando las letras al escribir.



Eso mismo me ocurre si escaneo el disco duro desdes otro pc, en cierto punto renicia

[msc hotline sat]

Pues parece que tienes un problema añadido, lanza una comprobacion de errores y desfragmente, si se resiste en modo normal, hazlo en modo seguro:



MIPC -> Boton derecho sobre unidad C -> Propiedades -> Herramientas -> Comprobar errores & Desfragmentar



y nos cuentas el resultado, a ver si tras ello puedes lanzarlo sin problemas (cargando el Applet de Java cuando te lo vida, claro)



saludos



ms, 29-4-2009

[jmontalvo1]

reinicie y dejo lanzar internet explorer pero ya en cuatro ocasiones me pasa que se reinicia el pc cuando esta haciendo el escaneo y eso me sucedia cuando intentaba hacerlo desde otro pc con el disco duro conectado mediante un adaptador usb

[msc hotline sat]

Lo cual confirma la hiótesis de que tienes problemas de asignacion en dicho disco duro, y cuando va a buscar algun cacho de fichero que apunta estar en una posicion inexistente, o en zona dañada, caes por el barranco ... !!!



Como te he dicho, pasa una comprobacion de errores y desfragmenta.



Luego nos infromas del resultado, gracias



saludos



ms, 29-4-2009

[jmontalvo1]

Defragmente y no encontro errores

Volvi a lanzar el scanner de kaspersky y se volvio a reiniciar la maquina, estoy desesperado

[julibaga]

Desde el ms-dos escríbele:

chkdsk /r

y pulsa enter.

[msc hotline sat]

Por cierto... :idea: no será que tienes problemas de ventilacion de la CPU y está demasiado caliente, y con el escaneo que la ocupa al 100 %, sobrepasas la temperatura y se activa el reset de proteccion ???



Mira que funcione el ventilador de encima de la CPU, y en cualquier caso, mira este Tema



https://foros.zonavirus.com/viewtopic.php?f=5&t=11159



y al final veras como ver la temperatura de la CPU (procesador), posteanos el resultado, gracias



saludos



ms, 29-4-2009

ref COL/BOG+4.6-74.08

[jmontalvo1]

El chkdsk dice:

El tipo de sistema de archivos es NTFS

No se puede bloquear la unidad actual



CHKDSK no se puede ejecutar porque otro proceso ya esta utilizando el volumen. Desea que se prepare este volumen para que sea comprobado la proxima vez que se inicie el sistema? (s/n)

[jmontalvo1]

EN el mismo notebook cambio el disco duro y ejecuto un escaneo y lo pasa completo sin ningin problema de reinicio, si ejecuto el escaneo del ESS en ese disco no se reinicia, solo lo hace cuando lo ejecuto desde algun online scanner o si lo ejecuto desde el disco duro limpio y con el disco afectado puesto en un adaptador USB.



Los vinculos del EVEREST y del AIDA32 no estan funcionando, pero los baje desde otras ubicaciones



El AIDA32 no muestra nada en la parte de sensor.



EN Everest aparentemente lo unico que da informacion es del disco duro pero aparece una leyenda que es una version trial y no muestra la informacion,

[msc hotline sat]

Sobre la temperatura: En el SETUP del Bios ha de haber alguna secion donde indica la temperatura de la CPU, mira si la ves, y si está por encima de los 60 ºC ...



Si no lo encuentras, dinos el fabricante del BIOS, sie s AWARD, AMI o quien es.





Y respecto al CHKDSK, cuando te dice "CHKDSK no se puede ejecutar porque otro proceso ya esta utilizando el volumen. Desea que se prepare este volumen para que sea comprobado la proxima vez que se inicie el sistema? (s/n)" sile que "S" , y reinicia, entonces lo pasará arrancando adecuadamente



Nos informas del resultado, gracias



saludos



ms, 29-4-2009

[jmontalvo1]

Equipo Dell Inspiron 700m

Bios Phoenix Bios ver A07



Por ninguna parte muestra la temperatura del procesador



AL reiniciar el sistema no ejecuto nada del defragmentador.



Yo ejecute el de perfectdisk 7.0 y no encontro nada con problemas

[jmontalvo1]

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Wednesday, April 29, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, April 29, 2009 22:15:23

Records in database: 2101635

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - Critical Areas:

C:\Archivos de programa

C:\Documents and Settings\Administrador.XX.000\Menú Inicio\Programas\Inicio

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio

C:\Program Files

C:\WINDOWS



Scan statistics:

Files scanned: 39720

Threat name: 2

Infected objects: 3

Suspicious objects: 0

Duration of the scan: 00:50:16





File name / Threat name / Threats count

C:\Archivos de programa\FlashGet\dispwd.dll Infected: not-a-virus:PSWTool.Win32.Asterisk.d 1

C:\WINDOWS\system32\asteriskie.exe Infected: not-a-virus:PSWTool.Win32.Asterisk.d 1

C:\WINDOWS\system32\drivers\SZKG.sys Infected: Rootkit.Win32.Agent.jay 1



The selected area was scanned.

[julibaga]

Envíalos para su análisis y te informarán al respecto en las próximas horas. Luego les añades la extensión .VIR para que no se ejecuten en el arranque.
[quote="jmontalvo1"]C:\Archivos de programa\FlashGet\dispwd.dll

C:\WINDOWS\system32\asteriskie.exe

C:\WINDOWS\system32\drivers\SZKG.sys
[/quote]
Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[msc hotline sat]

Ah, bueno ! lograste terminar ekl analisis del AV ONLINE ... !!! felicidades :wink:



Añade extension .VIR a los ficheros que detecta y envianoslos para analizar como indica julibaga





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 30-4-2009

[jmontalvo1]

Y el escaneo de toda la pc dio esto:



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Thursday, April 30, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, April 29, 2009 22:15:23

Records in database: 2101635

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

C:\

D:\

E:\



Scan statistics:

Files scanned: 123915

Threat name: 9

Infected objects: 12

Suspicious objects: 2

Duration of the scan: 02:32:58





File name / Threat name / Threats count

C:\Archivos de programa\FlashGet\dispwd.dll Infected: not-a-virus:PSWTool.Win32.Asterisk.d 1

C:\Downloads\Pwddis.exe Infected: not-a-virus:PSWTool.Win32.Asterisk.d 1

C:\WINDOWS\system32\asteriskie.exe Infected: not-a-virus:PSWTool.Win32.Asterisk.d 1

C:\WINDOWS\system32\drivers\SZKG.sys Infected: Rootkit.Win32.Agent.jay 1

D:\Mis Archivos\WinRar9x\Winrar Password recovery.zip Infected: Backdoor.Win32.Rbot.kmx 1

D:\Mis Archivos\File Managers\File_Data_Managers\GetBackDataNTFS\getdatabackforntfsv2.20keygenror.zip Infected: Backdoor.Win32.HacDef.073.oa 1

D:\Mis Archivos\File Managers\Password Recovery Studio Tools 2005.rar Infected: not-a-virus:PSWTool.Win32.OEPass.l 1

D:\Mis Archivos\File Managers\Password Recovery Studio Tools 2005\Password Recovery Studio Tools 2005\Password Recovery Studio Tools 2005\ElcomSoftStudio.exe Infected: not-a-virus:PSWTool.Win32.OEPass.l 1

D:\backup outlook sept 2005.pst Suspicious: Trojan-Spy.HTML.Fraud.gen 2

D:\backup outlook sept 2005.pst Infected: Trojan-Spy.HTML.Bayfraud.ib 1

D:\backup outlook sept 2005.pst Infected: Trojan-Spy.HTML.Wamufraud.bo 2

D:\backup outlook sept 2005.pst Infected: Trojan-Spy.HTML.Bankfraud.ci 1



The selected area was scanned.

[msc hotline sat]

Pues aparte de los de C: ya indicados, estos otros de D: son herramientas buscapassword y de pirateo (keygens) eliminalas directamente si no las usas:



D:\Mis Archivos\WinRar9x\Winrar Password recovery.zip Infected: Backdoor.Win32.Rbot.kmx 1

D:\Mis Archivos\File Managers\File_Data_Managers\GetBackDataNTFS\getdatabackforntfsv2.20keygenror.zip Infected: Backdoor.Win32.HacDef.073.oa 1

D:\Mis Archivos\File Managers\Password Recovery Studio Tools 2005.rar Infected: not-a-virus:PSWTool.Win32.OEPass.l 1

D:\Mis Archivos\File Managers\Password Recovery Studio Tools 2005\Password Recovery Studio Tools 2005\Password Recovery Studio Tools 2005\ElcomSoftStudio.exe Infected: not-a-virus:PSWTool.Win32.OEPass.l 1





y estos de backup del 2005, eliminalos directamente, si no los necesitas...:



D:\backup outlook sept 2005.pst Suspicious: Trojan-Spy.HTML.Fraud.gen 2

D:\backup outlook sept 2005.pst Infected: Trojan-Spy.HTML.Bayfraud.ib 1

D:\backup outlook sept 2005.pst Infected: Trojan-Spy.HTML.Wamufraud.bo 2

D:\backup outlook sept 2005.pst Infected: Trojan-Spy.HTML.Bankfraud.ci 1



Así que cuando recibamos las de C: las analizaremos e infromaremos



saludos



ms, 30-4-2009

[jmontalvo1]

Bueno, ya envie las muestras de los archivos.



Los demas los elimine

[msc hotline sat]

Bien, pues pasamos a implementar su control y eliminacion en la version 18.52 del ELISTARA de hoy:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 30-4-2009

[jmontalvo1]

(30-4-2009 17:26:31)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(30-4-2009 17:26:40)

EliStartPage v18.52 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6302

Nº Total de Ficheros: 94688

Nº de Ficheros Analizados: 23071

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0









SIgosin acceso a internet en modo normal y con errores de runtime en archivos .ocx y no deja ejecutar algunos programas