Mi PC está con virus!!!...Auxilio desde Chile!! inexperta

[janychile]

Hola queridos y grandes!! amigos... de zona virus!!...



Hace tiempo que no ando por aqui hasta que hace dos semanas mi hijo trajo de un pendrive unos virus y mi PC se fue a negro...lloré y lloré, ya que no tengo respaldos de todas las fotos de mis bebes.

Lo mande donde un técnico y me rescato todas las fotos...y me instaló un antivirus llamado Nod32 PERO... me sale a cada rato que está infectado.

Luego sale un aviso y se me apaga el Pc a cada rato, me lo reinicia.

Baje el elistara y elitriip, donde en uno me detecto algo y lo borró pero igual sigue mal mi pc, a veces le cuesta entrar a internet. También nos dimos cuenta que al cargar el PC Y si cerramos la ventana del windows live messenger empieza el problema que sale el mensaje que se va a pagar en segundos y vuelve a reiniciar. es una lesera!!...

Ahora si minimizo el msn no hay problemas. estará por ahi el virus escondido?...



Les mando el log a ver si me ayudan antes que el virus se coma mis fotos!!...

recuerden que soy inexperta y me cuesta bastante no como ustedes que son hiper CAPOS!!... :wink:



Además cuando paso el elistara y el otro me dice que necesito un parche(sservidor)M SO8-067 de Microsoft. donde lo encuentro y que es eso?... :?:

AYUDA!!! Y MIL GRACIAS...



AQUI ESTÁ MI LOG...



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:41:42, on 16/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\apps\ABoard\ABoard.exe

C:\apps\ABoard\AOSD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe



--

End of file - 5052 bytes





MUCHAS GRACIAS!! SON UNOS GENIOS!! :roll:

[julibaga]

Desinstala Ad-Aware.



Prueba el [b][url=http://www.zonavirus.com/descargas/elimover.asp]Elimover[/url][/b] entrándole la ruta y nombre de fichero:

C:\WINDOWS\system32\av_md.exe

y acepta en cambiar su extensión a .VIR para que no pueda lanzarse a partir del próximo reinicio. Con ello, lo moverá a [b]c:\muestras[/b], y desde allí lo envías para analizar.



Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Elimina la clave con HijackThis después de haber hecho lo del Elimover.
[quote="janychile"]O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe[/quote]
Te falta el SP3 y parches posteriores. Haz un "windows update" e instálalos.

Luego de reiniciar nos comentas.



P.D. Y postea los resultados del Elistara y el Elitriip

Luego, para ver los procesos bájate el [b][url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[msc hotline sat]

Aparte de lo correctamente indicado por julibaga, es muy recomendable que vacune su PC y todos los pendrives que tenga, con el ELIPEN, para evitar la propagacion de virus de pendrive, tan comunes actualmente:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y ademas del fichero que pide que nos envies, como que la clave junta a la del lanzamiento del mismo, tampoco es normal:



O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe



O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe



ya que el regedit del sistema está en C:\windows, no en la ruta indicada, por lo que este que lanza en la primera clave puede ser malicioso, envianoslo tambien (pero fijate que sea el de C:\WINDOWS\system32\regedit.exe , no el de C:\windows\regedit.exe



saludos



ms, 10-12-2009





NOTA: y a estos dos, les añades .VIR a su extension,. para que no se pongan en marcha a partir del proximo reinicio...





C:\WINDOWS\system32\regedit.exe ----> cambias su nombre a C:\WINDOWS\system32\regedit.exe



C:\WINDOWS\system32\av_md.exe ----> cambias su nombre a C:\WINDOWS\system32\av_md.exe.VIR

[janychile]

Hola

Ingrese al ELIMOVER, y puse la ruta C:\WINDOWS\system32\av_md.exe, y me dice que no existe el fichero, pero al verlo en el Log todavia esta. ¿Que hago?.

Ah, y tambien desinstale el Ad Aware.



Espero sus Respuestas: Tengan Paciencia conmigo porque soy una mamá inexperta cibernetica, GRACIAS!!!!!!! :oops:

[janychile]

Hola



Me acabo de dar cuenta, el archivo Av_md.exe, esta el la carpeta de cuarentena de mi antivirus Eset Nod32.

Se que esta ahi ¿Como hago para sacarlo y enviarselos a Uds.?



Gracias!!!!!!!!!!

[lucl]

Hola, mira no se como va le nod32 pero imagino que como todos los antivirus tendras una forma de ir a la boveda o carpeta de cuarentena y tratar de restaurar el archivo. Mira si puedes seleccionarlo y te da alguna opcion que no sea eliminar o borrar , que se llame restaurar o similar, o simplemente mover. Si te deja nos lo comentas saludos.

[janychile]

Hola

Ingrese al ELIMOVER, y puse la ruta C:\WINDOWS\system32\av_md.exe, y me dice que no existe el fichero, pero al verlo en el Log todavia esta. ¿Que hago?.

Ah, y tambien desinstale el Ad Aware.



Espero sus Respuestas: Tengan Paciencia conmigo porque soy una mamá inexperta cibernetica, GRACIAS!!!!!!!

[julibaga]

Abre el Nod32. Te vas a Tools en el panel de la izquierda. Aparecerá Quarantine. Seleccionas todos y la das a la tecla Supr.

Con eso lo eliminas.

[msc hotline sat]

Si todavía está a tiempo, antes de borrarlo mire de enviarnoslo como le pedíamos, esté donde esté.



Y sepa que en la carpeta de cuarentena ya no molesta, y lo podrá eliminar en cualquier momento, como le indica julibaga.



saludos



ms, 11-12-2009

[janychile]

Hola!!!



Ya envie 2 muestras

av_md.exe

wind7upd.exe



Ademas tengo varias dudas:

1 cada vez que inicio el sistema, mi antivirus detecta una infeccion en un archivo llamado "ATAPI.SYS", y la infeccion se llama Win32/Wigon.MM o algo asi, el problema es que no puede ser desinfectado ni puesto en cuarentena ¿Que puedo hacer?



2 cuando paso el elistara me dice que necesito un parche (servidor) M SO8-067 de Microsoft. donde lo encuentro y que es eso?...



PORFAVOR AYUDA!!! Y MUCHAS GRACIAS...



Ah y aqui posteo el Sproclog:



(18-12-2009 14:19:53 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: WINDOWS-ZDBE1W9

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\VTTIMER.EXE

C:\WINDOWS\SYSTEM32\VTTRAYP.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\APPS\ABOARD\ABOARD.EXE

C:\APPS\ABOARD\AOSD.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD8\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



21 Servicios.

5 de Carga Automatica.

15 de Carga Manual.

1 Deshabilitados.





MIL GRACIAS !!!!!!!!!!!!!!!! :roll:

[lucl]

Ve a inicio-------todos todos los programas-------windows update y pica ahi , te dirigira directamente a una pagina de explorer que te actualizara el pc, eso hazlo urgente!!!

Y sobre el archivo que te detecta el antivirus que no puede reparar mira de enviarnoslo para analizarlo como hiciste con los otros dos que enviaste tambien. Y nos comentas como te fue saludos.

[msc hotline sat]

Efectivamente, como bien indica lucl, te faltan muchos parches de seguridad que debes instalar:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.



falta el SP3 y los posteriores, como el MS08-067, tan importante contra el Conficker !



y eso con el windowsupdate indicado los podrás instalar.



Y además de lo ficheros que nos has enviado y del que dices que detecta tu antivirus, ATAPI.SYS, y que ya te dice lucl que nos envies tambien, vemos esta clave atípica, que lanza un regedit.exe de la carpeta de sistema (que no es el normal que está en c:\windows):



O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe



envianos tambien este fichero, pero fijate que se el de la carpeta de sistema, o sea: C:\WINDOWS\system32\regedit.exe



Con todo ello el lunes procederemos a su analisis y control



saludos



ms, 12-12-2009

[msc hotline sat]

Y buscando informacion sobre este AV_MD.EXE, hemos encontrado esta:



http://www.threatexpert.com/report.aspx?md5=aa038886295734c4753adfb49dfb128e



y tratandose de un CUTWAIL, como que ayer incluimos el control de nuevas variantes de dicho malware en la ultima version del ELISTARA 19.87, descargue dicha nueva veriosn y pruebela, por si es el mismo...


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 12-12-2009

[janychile]

Hola



Gracias a sus instrucciones, actualice el equipo y una herramienta de limpieza de windows me limpio el archivo atapi del virus que tenia.

Luego pase el elistara y todo bien.



aqui va el Log.





(16-12-2009 15:15:14 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(16-12-2009 15:15:59 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 3101

Nº Total de Ficheros: 35433

Nº de Ficheros Analizados: 7309

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(16-12-2009 15:23:17) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\wind7upd.exe"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Reinicie para Completar la Limpieza.



(16-12-2009 15:23:39) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3100

Nº Total de Ficheros: 35435

Nº de Ficheros Analizados: 6874

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-12-2009 15:24:26) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Administrador\Escritorio\Respaldo archivos"



Nº Total de Directorios: 722

Nº Total de Ficheros: 18934

Nº de Ficheros Analizados: 463

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-12-2009 15:26:43) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Eliminado

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(16-12-2009 15:27:42) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3143

Nº Total de Ficheros: 35436

Nº de Ficheros Analizados: 6872

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-12-2009 16:04:49)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



(16-12-2009 19:48:35 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(16-12-2009 19:49:07 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3262

Nº Total de Ficheros: 36222

Nº de Ficheros Analizados: 7625

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-12-2009 22:35:25 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(17-12-2009 17:28:42 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(17-12-2009 17:29:00 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3518

Nº Total de Ficheros: 37258

Nº de Ficheros Analizados: 8203

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-12-2009 17:37:33) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\LOGFILE32.TXT --> Eliminado

C:\WINDOWS\SYSTEM32\I --> Eliminado

Entrada Eliminada [HKLM\...\Run] "av_md"="C:\WINDOWS\system32\av_md.exe"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(17-12-2009 17:37:52) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3518

Nº Total de Ficheros: 37259

Nº de Ficheros Analizados: 7722

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-12-2009 19:07:37 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



(17-12-2009 19:07:50 (GMT))

EliStartPage v19.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3599

Nº Total de Ficheros: 37280

Nº de Ficheros Analizados: 8203

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-12-2009 19:12:14) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(17-12-2009 19:12:20) (GMT)

EliTriIP v6.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3599

Nº Total de Ficheros: 37280

Nº de Ficheros Analizados: 7721

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-12-2009 13:31:00)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\av_md.VIR" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\av_md.VIR" -> Renombrado a .VIR

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\av_md.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\av_md.exe" -> Renombrado a .VIR



(18-12-2009 14:13:22)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\wind7upd.exe" -> NO pudo ser Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\wind7upd.exe" -> Renombrado a .VIR

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\wind7upd.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\wind7upd.exe" -> Renombrado a .VIR



(18-12-2009 19:27:32)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\atapi.sys" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\atapi.sys" -> Renombrado a .VIR



(19-12-2009 15:55:56 (GMT))

EliStartPage v19.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



(19-12-2009 15:56:05 (GMT))

EliStartPage v19.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3853

Nº Total de Ficheros: 42370

Nº de Ficheros Analizados: 11160

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(13-12-2009 00:58:17)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Tengo otra duda, el Pendrivve de mi hijo aun esta contaminado, como puedo hacer para limpiarlo con el Elipen sin que el virus vuelva a mi pc.



Muchas GRACIAS!!!!!!

[msc hotline sat]

Pues visto que copiaste varios ficheros sospechoso en C:\muestras\ , envianos todos los que tengas en dicha carpeta, para analizarlos:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 13-12-1009

[msc hotline sat]

Solo recibimos el ATAPI.SYS , cuyo control y eliminacion pasamos a implementar en el ELISTARA de hoy como ROOTKIT PROTECTOR.C


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 14-12-2009