No tengo Bloc de notas ni administrador de tareas y me faltan archivos :(

[msc hotline sat]

Si ya tienes configurado el ver las extensiones y estas carpetas no tienen (pero comprueba que lo veas por ejemplo en cualquier otro fichero), no ha lugar para eliminarlas, pero si en cambio son carpetas con extension, lo mas probable es que sean ficheros con icono de carpeta, si es asi, envianoslos para analizar, pues debemos pasar a controlarlos con nuestras utilidades.



Fijate que ya dijimos que el malware creaba estos ficheros con icono de carpeta:


[quote]
Crea estos ficheros con codigo vírico y con icono de carpeta:



C:\ WINDOWS.EXE

%WinDir%\ SVCHOST.EXE

%WinDir%\ SYSTEM32.EXE

%WinDir%\ NOTEPAD.EXE

%WinSyS%\ NOTEPAD.EXE

%WinSyS%\ TASKMGR.EXE

%WinSyS%\ Drivers\ ETC.EXE

%WinSyS%\ Drivers\ etc\ PROCESO INACTIVO DEL SISTEMA.COM

%Archivos de Programa%\ Windows NT\ Accesorios\ WORDPAD.EXE

%UserProfile%\ DATOS DE PROGRAMA.EXE

%Datos de Programa%\ SERVICES.EXE

%Datos de Programa%\ WINLOGON.EXE

%Datos de Programa%\ Micro$oft\ .EXE

%Datos de Programa%\ Micro$oft\ desktop.inf

%Datos de Programa%\ Micro$oft\ desktop.log

%Datos de Programa%\ Micro$oft\ SatanaS****

%Datos de Programa%\ Microsoft\ WINLOGON.SCR

%Datos de Programa%\ Microsoft\ Internet Explorer\ Quick Launch\ MIS DOCUMENTOS.EXE

%Mis Documentos%\ MI MÚSICA.EXE

%Mis Documentos%\ MIS IMÁGENES.EXE

%WinIni% (DefaulyUser)\ WIN.SCR

%Papelera%\ NTDETECT.EXE[/quote]

y lo del NOTEPAD.EXE, ya de ha eliminado esta interceptacion que tambien hace el malware:


[quote]
INTERCEPTA LA EJECUCION DE LOS SIGUIENTES FICHEROS:



"1"="notepad.exe"

"2"="HijackThis.exe"

"3"="wordpad.exe"

"4"="rstrui.exe"

"5"="msconfig.exe"

"6"="regedit.exe"

"7"="HiJackThis_v2.exe"

"10"="cmd.exe"

"11"="ibprocman.exe"

"12"="explorer.exe"

"13"="integrator.exe.exe"[/quote]

Si tras ejecutar el ELISTARA persiste algo de ello, es que hay algun resto que lo regenera... posteanos tras probar de nuevo el ELISTARA, el informe que te genere el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 21-10-2009

[0230021]

(22-10-2009 4:11:51 (GMT))

EliStartPage v19.51 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"



(22-10-2009 4:12:12 (GMT))

EliStartPage v19.51 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2679

Nº Total de Ficheros: 28246

Nº de Ficheros Analizados: 9415

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



----------------------------------------------------------------------------------------------------------



(22-10-2009 04:17:03 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: WILFREDO

Nombre Usuario: WILFREDOGT



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\IOCTLSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\AVG\AVG8\AVGTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE

C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE

C:\ARCHIV~1\AVG\AVG8\AVGNSX.EXE

C:\ARCHIV~1\AVG\AVG8\AVGEMC.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG8\AVGCSRVX.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\WILFREDOGT\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\HXOPOHWT\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Controlador basado en NT para adaptador Fast Ethernet PCI DAVICOM 9102(A) (DM9102) - CNet Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DM9PCI5.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador del dispositivo de recuperación del reproductor (StMp3Rec) - Generic - C:\WINDOWS\SYSTEM32\Drivers\StMp3Rec.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Controlador de audio (WDM) VIA AC'97 (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\ac97via.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



18 Servicios.

6 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues todo correcto en los informes.



Si tras reiniciar tiene alguna anomalia, comentenosla para eliminarla manualmente, ya que las utilidades ya han hecho su faena :)



saludos



ms, 22-10-2009

[0230021]

Asi es, ya no tengo problemas como antes, ahora solo mi pregunta es si ahi se van a quedar todos los iconos que se generaron (la captura que puse anteriormente)

[msc hotline sat]

Los que veas que no te sirven, eliminalos, (boton derecho y eliminar), pero ve con cuidado !



saludos



ms, 23-10-2009

[0230021]

[quote="msc hotline sat"]Los que veas que no te sirven, eliminalos, (boton derecho y eliminar), pero ve con cuidado !



saludos



ms, 23-10-2009[/quote]

Gracias!!!

Eso haré



Oye, no me acordaba que no puedo abrir Administrador de tareas ni Restaurar sistema aún..........

[msc hotline sat]

Prueba el ELISTARA y en la misma sesion (sin reiniciar, mira si accedes al Administrador de Tareas o no, y nos lo comentas



Para lo de la Restauracion tenemos el SRESTORE, pero paso a paso, dinos si te va o no lo indicado, y si es que sí, reinicia y vuelve a mirarlo, a ver si es que algo lo vuelve a cambiar en cada reinicio...



saludos



ms, 23-10-209

[0230021]

Pues probé las ultimas 2 sugerencias y nada funciona



Pasé SRESTORE y me decia que Restaurar sistema estaba desactivado y lo active y al querer entrar a la opción de Restaurar sistema me dice "Restaurar sistema ha sido desactivado por una directiva de grupo. Para activarlo, póngase en contacto con su administrador de dominio"

[msc hotline sat]

Pues revisando el log, lo único que vemos es que estas tres claves tienen el enlace roto, y que puedes eliminarlas:



O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Aparte de esto ya nada solo cabe pensar en que pueda faltar o estar dañado algun fichero del sistema operativo, por lo que puedes lanzar una REPARACION DE SISTEMA:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



Y nos comentas el resultado, gracias



saludos



ms, 25-10-2009