PC lento (SOLUCIONADO)

[maria10]

Hola todos, mi ordenador va muy lento, una hora para abrir el explorador, cuando consigo abrir se pierde la conexion a internet, lo programas tambien le cuesta, y no quisiera formatearlo.

Le he pasado antivirus, antiespias, programas de limpieza y ya no se que hacer, alguna sugerencia o donde podria mirar?

Gracias

[msc hotline sat]

Empieza probando el ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



y a la vista del informe, procederemos



saludos



ms, 4-11-2009

[maria10]

Hola de nuevo, siento la tardanza, al final se lo he pasado a un par de ordenadores, ha encontrado cosillas pero las a eliminado, me ha gustado el programa.



Bueno a lo que ibamos pongo los dos reportes del elistara:



(11-11-2009 10:10:28 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2009 10:11:02 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\myBabylon_English\TBMYBA.DLL --> Eliminado, TBConduit(tb)

C:\RECYCLER\S-1-5-21-3093746796-77397869-1420100318-1158\Dc12\TOOLBAR.EXE --> Eliminado, ASKToolbar(dr)



Nº Total de Directorios: 2805

Nº Total de Ficheros: 29453

Nº de Ficheros Analizados: 13565

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(11-11-2009 10:20:04 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2805

Nº Total de Ficheros: 29451

Nº de Ficheros Analizados: 13563

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-11-2009 10:27:51 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 293

Nº Total de Ficheros: 1962

Nº de Ficheros Analizados: 250

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



?????????????????????????????????????????????????????????????????????????????????????????????????





(11-11-2009 10:21:37 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJAPFUK] -> C:\WINDOWS\SYSTEM32\ljJAPFUk.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2009 10:22:07 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2614

Nº Total de Ficheros: 35255

Nº de Ficheros Analizados: 15942

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-11-2009 10:42:56 (GMT))

EliStartPage v19.65 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 112

Nº Total de Ficheros: 771

Nº de Ficheros Analizados: 171

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Ya me contareis........

[julibaga]

[quote="maria10"]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]
Pues tu siguiente paso sería actualizar el windows con el SP3 y parches posteriores, sobre todo el parche [b]MS08-067[/b]

Después, para ver los procesos bájate el [b][url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar. A ver si encontramos algo más.

[msc hotline sat]

Además, probablemente tenga virus en tus pendrives:



C:\RECYCLER\S-1-5-21-3093746796-77397869-1420100318-1158\Dc12\TOOLBAR.EXE



Vacuna ordenadores y pendrives con el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 12-11-2009

[maria10]

Al igual que la otra vez porteo el resultado obtenido en los dos PC que habia mencionado, y en el mismo orden para evitar problemas.

Hoy la conexion en uno de los ordenadores se iba cada dos por tres.

Ya me contareis.



(16-11-2009 12:09:41 GMT)

SProces v4.2 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\MCSHIELD.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\VSTSKMGR.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\NETWORK ASSOCIATES\VIRUSSCAN\SHSTAT.EXE

C:\WINDOWS\SYSTEM32\VTTIMER.EXE

C:\WINDOWS\SYSTEM32\VTTRAYP.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

\\PC1D\PROGRAMAS\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm

O8 - Extra context menu item: Translate with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1C4C6BC7-91F1-4FD3-A208-B07B6C1BDBFA} (Firma1Fase Class) - https://www.juntadeandalucia.es/innovacioncienciayempresa/ciudadano/Sign.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DA7E05C6-EF7E-4FE8-846C-F6E431754DF6}: NameServer = 80.58.61.250,192.168.1.2

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EntDrv51 - McAfee, Inc - C:\WINDOWS\system32\drivers\EntDrv51.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: NaiAvFilter1 - McAfee Inc. - C:\WINDOWS\SYSTEM32\drivers\naiavf5x.sys

O23 - Service: NTSIM - VIA Networking Technologies, Inc. - C:\WINDOWS\system32\ntsim.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



20 Servicios.

6 de Carga Automatica.

13 de Carga Manual.

1 Deshabilitados.



???????????????????????????????????????????????????????????????????????????????????



(16-11-2009 11:12:51 GMT)

SProces v4.2 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;





Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\SK1XRCV.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

\\PC1D\PROGRAMAS\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {69EBE12F-C186-4E10-851F-94497EF8D784} - C:\WINDOWS\system32\urqPfGXP.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SK1XRCV] C:\WINDOWS\system32\spool\drivers\w32x86\3\SK1XRCV.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D066FE17-B085-4DF8-82BC-81A6A169E5A5}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (file missing)

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (file missing)

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {8369650D-536C-4B75-BA0B-8286E86EDA0A} - - C:\WINDOWS\system32\ljJAPFUk.dll (file missing)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apache2.2 - Unknown owner - D:\xampp\apache\bin\apache.exe (file missing)

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld.exe --defaults-file=d:\xampp\mysql\bin\my.cnf (file missing)

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\xampp\service.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



17 Servicios.

8 de Carga Automatica.

8 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues en el primero, que es el que miraremos (no deben postearse logs de mas de 1 ordenador por Tema)



https://foros.zonavirus.com/viewtopic.php?f=13&t=6268



de entrada vemos que le faltan parches:



[b][i]Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.[/i][/b]



Lanza un windowsupdate e instala los pendientes, especialmente este, sin el cual puede entrar el Conficker como Don Pedro por su casa !





y veo que ya se lo habia dicho julibaga en posts anteriores... si no nos hace caso, de nada sirve que nos pregunte !



ms.

[maria10]

Disculpen por mandar los resultados de 2 PC; respecto a la actualizacion con el service pack3 lo habia hecho en los dos en uno se habia echo bien y al parecer el otro habia fallado, ya he corregido ese despiste.



Sigue lentito y la conexion se va, le cambio la direccion IP o desabilito o reinicio, y asi consigo conexion otra vez.



(19-11-2009 11:20:25 GMT)

SProces v4.2 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\SK1XRCV.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\ADMIN\ESCRITORIO\ELISTARA.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

\\PC1D\PROGRAMAS\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {69EBE12F-C186-4E10-851F-94497EF8D784} - C:\WINDOWS\system32\urqPfGXP.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SK1XRCV] C:\WINDOWS\system32\spool\drivers\w32x86\3\SK1XRCV.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D066FE17-B085-4DF8-82BC-81A6A169E5A5}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (file missing)

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (file missing)

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {8369650D-536C-4B75-BA0B-8286E86EDA0A} - - C:\WINDOWS\system32\ljJAPFUk.dll (file missing)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apache2.2 - Unknown owner - D:\xampp\apache\bin\apache.exe (file missing)

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld.exe --defaults-file=d:\xampp\mysql\bin\my.cnf (file missing)

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\xampp\service.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



17 Servicios.

8 de Carga Automatica.

8 de Carga Manual.

1 Deshabilitados.

[lucl]

Sigue esta ruta



C:\WINDOWS\system32\spool\drivers\w32x86\3\SK1XRCV.exe



y busca este archivo



SK1XRCV.exe





y subelo a analizar a esta pagina que te indico



www.virustotal.com



te lo analizaran y te dara un log de resultado que nos debes pegar. Puede ser virico y ademas se carga al inicio con lo que es un poco sospechoso. Si da virico debes enviarnoslo empaquetado con winrar poniendole de contraseña la palabra virus y tu nic de referencia. Nos comentas resultados gracias saludos.

[msc hotline sat]

Y vemos ademas esta otra clave sospechosa:



ShellExecuteHooks: {8369650D-536C-4B75-BA0B-8286E86EDA0A} - - C:\WINDOWS\system32\ljJAPFUk.dll (file missing)



pero el fichero parece que está oculto o ya ha sido eliminado...



voy a ver si encuentro informaciuon y si fuera el caso, sugeririamos borrarla





Sí, su class es la de este gusano:



http://www.sophos.com/security/analyses/viruses-and-spyware/w32ircbotadd.html



Mira si encuentras el fichero con el ELIMOVER , le entras ruta y nombre con un copiar y pegar de la linea indicada a continuaicon, y tras marcar la casilla inferior izquierda, dale a COPIAR:



C:\WINDOWS\system32\ljJAPFUk.dll



Y si no lo encuentras, prueba el BUSCAREG:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



le copias/pegas esta class:



8369650D-536C-4B75-BA0B-8286E86EDA0A



y la/s clave/s que la contenga, l/s elimina/s



y, tras reiniciar, nos comentas el resultado, gracias



saludos



ms, 20-11-2009

[julibaga]

Pues discúlpame giagranda, pero... [b]formatear????[/b]

Es así cómo arreglan las cosas los "expertos en informática"??? (sin menosprecio, que conste).

Claro que a veces no queda más remedio, pero son contadas esas veces. Si lees bien en este foro, podrás ver que casi no conocemos la palabrita mencionada.

En cuanto al Kaspersky, pues cada quién ¿verdad? pero yo no lo instalaría en mi máquina.



Así que, maria10, te aconsejo que sigas los procedimientos que te indica [color=#800000]msc hotline sat[/color] y luego se verá qué hacer.

[msc hotline sat]

Bueno, pues justo julibaga contestaba a un nuevo usuario "giagranda", que ya hemos desactivado y eliminado su post, porque aparte de ofrecer en su firma link a su web, lo cual no esta permitido segun https://foros.zonavirus.com/viewtopic.php?f=1&t=17044 , y apuntar como "solución" unas soluciones no procedentes en este foro, lo cual julibaga ya ha aclarado:
[quote="julibaga"]Pues discúlpame giagranda, pero... formatear????

Es así cómo arreglan las cosas los "expertos en informática"??? (sin menosprecio, que conste).[/quote]
lo peor es que en la web de su firma figuraba la descarga de una utilidad troyana, segun hemos podido comprobar al descargarla:


[quote="VirusTotal"]
File hmonitor.exe received on 2009.11.20 23:20:43 (UTC)

Current status: finished



Result: 30/41 (73.17%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.41 2009.11.20 Backdoor.Win32.Pasur!IK

AhnLab-V3 5.0.0.2 2009.11.20 Win-Trojan/Xema.variant

AntiVir 7.9.1.72 2009.11.20 -

Antiy-AVL 2.0.3.7 2009.11.20 -

Authentium 5.2.0.5 2009.11.20 W32/Threat-IKNP.gen!Eldorado

Avast 4.8.1351.0 2009.11.20 Win32:Malware-gen

AVG 8.5.0.425 2009.11.20 Suspicion: unknown virus

BitDefender 7.2 2009.11.20 Backdoor.Generic.206012

CAT-QuickHeal 10.00 2009.11.20 -

ClamAV 0.94.1 2009.11.20 PUA.Packed.NPack-2

Comodo 2983 2009.11.19 UnclassifiedMalware

DrWeb 5.0.0.12182 2009.11.20 -

eSafe 7.0.17.0 2009.11.19 Win32.Banker

eTrust-Vet 35.1.7133 2009.11.20 Win32/VMalum.FWFW

F-Prot 4.5.1.85 2009.11.20 W32/Threat-IKNP.gen!Eldorado

F-Secure 9.0.15370.0 2009.11.20 Backdoor.Generic.206012

Fortinet 3.120.0.0 2009.11.20 W32/Hupigon.AZG!tr

GData 19 2009.11.20 Backdoor.Generic.206012

Ikarus T3.1.1.74.0 2009.11.20 Backdoor.Win32.Pasur

Jiangmin 11.0.800 2009.11.20 -

K7AntiVirus 7.10.901 2009.11.20 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.11.20 -

McAfee 5808 2009.11.20 Generic.dx

McAfee+Artemis 5808 2009.11.20 Generic.dx

McAfee-GW-Edition 6.8.5 2009.11.20 Heuristic.LooksLike.Win32.Suspicious.C

Microsoft 1.5302 2009.11.20 Backdoor:Win32/Pasur!rts

NOD32 4625 2009.11.20 probably a variant of Win32/Agent

Norman 6.03.02 2009.11.20 W32/Packed_Nspack.A

nProtect 2009.1.8.0 2009.11.20 -

Panda 10.0.2.2 2009.11.20 Bck/Hupigon.AZG

PCTools 7.0.3.5 2009.11.20 Backdoor.Graybird

Prevx 3.0 2009.11.21 Medium Risk Malware

Rising 22.22.04.09 2009.11.20 -

Sophos 4.47.0 2009.11.20 Mal/Packer

Sunbelt 3.2.1858.2 2009.11.20 -

Symantec 1.4.4.12 2009.11.21 Backdoor.Graybird

TheHacker 6.5.0.2.075 2009.11.20 W32/Behav-Heuristic-063

TrendMicro 9.0.0.1003 2009.11.20 BKDR_GRAYBIR.AGS

VBA32 3.12.12.0 2009.11.20 -

ViRobot 2009.11.20.2047 2009.11.20 -

VirusBuster 5.0.21.0 2009.11.20 Packed/NSPack

Additional information

File size: 261594 bytes

MD5 : 43c6517b8e255656c2ae90fe29d5586b

SHA1 : 9b7abdf98629d598923c6e08a149908b252735d5 [/quote]

Troyano cuyo control pasamos a implementar y controlar en la version de hoy del ELISTARA 19.76, de lo cual informamos por si alguien hubiera leido dicha costestacion de "giagranda" y hubiera descargado dicho troyano, para que pueda desinfectarse.



Lamentamos que nos hayan colado dicho link en una firma (por algo no se permiten links de usuarios en el foro, https://foros.zonavirus.com/viewtopic.php?f=1&t=17044 ), si bien ha estado pocas horas hasta que nuestra moderadora lucl y yo mismo nos hemos dado cuenta y obrado en consecuencia.



A partir de las 19 h de hoy ya tendremos en esta web, para evaluacion en el foro de zonavirus, dicha version del ELISTARA 19.76:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 24-11-2009

[maria10]

He pasado por http://www.virustotal.com el archivo SK1XRCV.exe y este es el resultado:

Información adicional

File size: 102400 bytes

MD5 : 48e1be22f6aae753dfecd3302028a142

SHA1 : 155013e4c55ba7f57f8c56df03e9915e24469793

SHA256: 8036c1368c17b47a4c1970f9a1d161e46a34badfe42fd4931a06779ae4b22924

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x233E

timedatestamp.....: 0x453737C6 (Thu Oct 19 10:31:02 2006)

machinetype.......: 0x14C (Intel I386)



( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xE10A 0xF000 6.35 577a34b11aae522f883349fdfa312ca8

.rdata 0x10000 0x35C8 0x4000 4.29 c0a323fc0f78c6c1d19f35ec98b62ede

.data 0x14000 0x6BBC 0x4000 1.55 4ec65a0357dd45815c85a15789b06976

.rsrc 0x1B000 0x428 0x1000 1.11 b8746a8eccd94144e614a1145a036c37



( 6 imports )



> comctl32.dll: -

> gdi32.dll: RestoreDC, SelectObject, GetStockObject, SetMapMode, SetViewportOrgEx,



OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, SaveDC,



PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, DeleteDC, DeleteObject, GetDeviceCaps,



GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap

> kernel32.dll: RtlUnwind, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapFree, RaiseException,



HeapAlloc, HeapSize, HeapReAlloc, TerminateProcess, GetACP, UnhandledExceptionFilter,



FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, SetHandleCount, GetStdHandle,



GetFileType, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree,



LCMapStringA, LCMapStringW, VirtualAlloc, IsBadWritePtr, GetStringTypeA, GetStringTypeW,



SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, SetStdHandle, FlushFileBuffers,



SetFilePointer, WriteFile, GetCurrentProcess, GetOEMCP, GetCPInfo, GlobalFlags, lstrcmpA,



GetProcessVersion, LoadLibraryA, FreeLibrary, lstrcatA, GlobalGetAtomNameA, lstrcmpiA, GlobalAddAtomA,



GlobalFindAtomA, GlobalDeleteAtom, lstrcpyA, GetModuleFileNameA, GetModuleHandleA, GetProcAddress,



GetCurrentThreadId, CloseHandle, GetVersion, lstrcpynA, GetLastError, SetLastError, TlsGetValue,



LocalReAlloc, TlsSetValue, GlobalAlloc, GlobalReAlloc, GlobalLock, GlobalHandle, GlobalUnlock,



GlobalFree, TlsAlloc, LocalAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection,



InitializeCriticalSection, LocalFree, MultiByteToWideChar, WideCharToMultiByte, lstrlenA,



InterlockedDecrement, InterlockedIncrement, GetEnvironmentStringsW

> shell32.dll: ShellExecuteA

> user32.dll: CopyRect, GetClientRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints,



PostMessageA, LoadIconA, SetWindowTextA, ReleaseDC, GetDC, GetClassNameA, PtInRect, ClientToScreen,



DestroyMenu, TabbedTextOutA, DrawTextA, GrayStringA, GetTopWindow, GetCapture, WinHelpA,



GetClassInfoA, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetDlgItem, GetWindowTextA, GetDlgCtrlID,



DestroyWindow, GetClassLongA, SetPropA, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime,



GetMessagePos, GetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, RegisterWindowMessageA,



SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetMenuCheckMarkDimensions,



GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus,



GetNextDlgTabItem, GetKeyState, CallNextHookEx, PeekMessageA, SetWindowsHookExA, GetParent,



GetLastActivePopup, IsWindowEnabled, GetWindowLongA, SendMessageA, MessageBoxA, EnableWindow,



LoadStringA, UnhookWindowsHookEx, FindWindowA, LoadCursorA, GetSysColorBrush, DefWindowProcA, GetMenu,



PostQuitMessage, RegisterClassA, GetSystemMetrics, CreateWindowExA, ShowWindow, GetMessageA,



TranslateMessage, DispatchMessageA, SetForegroundWindow, LoadBitmapA

> winspool.drv: DocumentPropertiesA, ClosePrinter, OpenPrinterA



( 0 exports )



TrID : File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

ssdeep: 1536:ftZNj60bYRJG+TUKnSoUXZsDj/yOmqMoHDgrdZ:lDj60ET9njUAbyOmRoHDYZ

PEiD : Armadillo v1.71

RDS : NSRL Reference Data Set



---------------------------



Respecto al fichero C:\WINDOWS\system32\ljJAPFUk.dll no esta, pero en el registro de windows si aparece por 3 veces la clave {8369650D-536C-4B75-BA0B-8286E86EDA0A}, las eliminado y a ver que pasa.

[msc hotline sat]

Pues no has posteado la primera parte del analisis, que es la que indica las detecciones, pero bueno, con el MD5 ya vemos que se trata de un driver de Sharp:


[quote]sk1xrcv.exe - SHARP CORPORATION

Sunday, 01 February 2009

File name: sk1xrcv.exe



Author:SHARP CORPORATION



Production:PC-Fax Job Reciever



Version: 3, 0, 0, 8



File Size:102400byte



Discovered:2008-7-25 18:40:20



MD5: 48E1BE22F6AAE753DFECD3302028A142[/quote]



asi que lo damos por correcto.



Y sobre lo que añades de "Respecto al fichero C:\WINDOWS\system32\ljJAPFUk.dll no esta, pero en el registro de windows si aparece por 3 veces la clave {8369650D-536C-4B75-BA0B-8286E86EDA0A}, las eliminado y a ver que pasa.", perfecto, y ahora, tras reiniciar, comentanos si persiste alguna anomalía o podemos dar por solucionado el Tema, gracias



saludos



ms, 24-11-2009

[maria10]

Me comentas que el ejecutable sk1xrcv.exe es de SHARP CORPORATION, si es asi porque no aparece en los demas equipos, porque todos tienen instalada la misma impresora.



La conexion se sigue perdiendo de vez en cuando, pero me he dado cuenta de una cosa, tengo un emule portable y cuando se esta ejecutando a veces es cuando se va la conexion, podria ser de eso? me direis que instale el normal pero como apenas lo uso por eso no lo echo.

[msc hotline sat]

Pues lo primero es desinstalar este eMule ! Los sistema P2P son foco de intrusion de troyanos !!!



En cuanto al otro fichero, si dices que los demas ordenadores con igual impresora no lo tienen, y no tienes nada mas de Sharp, prueba añadirle .VIR a su extension, siempre estás a tiempo de quitarselo si ves que algo no funciona.



Y dinos si sin el eMule, tras reiniciar, persisten las anomalias o ya posdemos dar por solucionado el Tema, gracias



saludos



ms, 30-11-2009

[maria10]

Siento la tardanza en contestar, ya que creia que el tema ya lo habian cerrado, la cosa ya va mejor.



Gracias a todos, ya pueden cerrar el tema

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 16-2-2010