Aviso en msn que no se va.

[Renata]

Buen día, mi inquietud en esta mañana viene a causa de un mensaje que me sale en msn cada que me conecto. Por supuesto nunca le he dado clic para entrar a la página sugerida.



El mensaje dice.

audreysupnu (omito más detalles) dijo (03:24 a.m.):

Online Jobs - How to Make Money Online Without Spending Money

http://www.101waysmakemoney.com/?p=2301?

Sospecho que es un virus. Acabo de eliminar ese contacto para ver si de esa manera deja de llegar.



Lo dejo acá considerando necesario que ustedes lo detecten, puede que solo sea el temor a ser atacada de nuevo que me lleva a sospechar de cada cosa rara que me llega a través de la Web.



Una vez más mil gracias por su apoyo.



Renata.

[msc hotline sat]

Aparentemente se trata de un spam comercial, uno mas de los tan molestos que recibimos diariamente...



Lo extraño es que lo hayas recibido por MSN, pero vamos, hoy en día los envian por cualquier medio... Y de los 1500 millones de mails diarios, 1250 millones diarios son spams, alucinante, no ?



Si persiste en cada reinicio es que tienes alguna clave de registro que lanza su carga, trataremos de encontrarla para eliminarla, primero con el ELISTARA y si no es suficiente, con el SPROCES:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



y si en el informe no detecta nada ni pide el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema



saludos



ms, 13-12-2010

[Renata]

msc, razón tenias, he pasado solo el ELISTARA estando en MODO A PRUEBA DE ERRORES.... acá te dejo el INFO: Gracias, espero tus sugerencias...





(14-12-2010 02:31:56 (GMT))

EliStartPage v22.18 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKCU) "{58ba374f-d9ea-4f27-bb8f-519b84820cc1}"] -> C:\ARCHIVOS DE PROGRAMA\MAX_ES_ATUBE\TBMAX_.DLL

C:\ARCHIVOS DE PROGRAMA\MAX_ES_ATUBE\TBMAX_.DLL --> Eliminado TBConduit(tb)

Eliminada Class, "{58ba374f-d9ea-4f27-bb8f-519b84820cc1}" -> C:\Archivos de programa\Max_ES_Atube\tbMax_.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-12-2010 02:37:59 (GMT))

EliStartPage v22.18 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\ConduitEngine\CONDUITENGINE.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Softonic_Espana_FF\TBSOFT.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 5370

Nº Total de Ficheros: 47032

Nº de Ficheros Analizados: 17606

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(14-12-2010 02:40:24 (GMT))

EliStartPage v22.18 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 689

Nº Total de Ficheros: 5289

Nº de Ficheros Analizados: 1088

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Ahora hay que ver si con ello ha sido suficiente o no.



Tras reiniciar, mira si persiste el problema, y si asi fuera, lanza el SPROCES, luego le das a SALIR y nos posteas el informe resultante (C:\sproclog.txt)



Sino, nos conformas que está solucionado y listos.



saludos



ms, 14-12-2010

[Renata]

Msc, gracias, el computador se está bloqueando mucho, y el msn abre a paso lento, muy lento.



Pasaré el SPROCES, dame un rato y regreso.



Buen día, gracias,

Renata

[msc hotline sat]

De acuerdo, en cuanto puedas, despues de probar el SPROCES.EXE, posteanos el contenido de C:\sproclog.txt a ver si aparece la causa, y te informaremos



saludos



ms, 14-12-2010

[Renata]

Hecho. Este es el Info del SPROCES:



Espero sus indicaciones y gracias msc.





(14-12-2010 17:32:00 GMT)

SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: WINDOWS-BA61CDE

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

R3 - URLSearchHook: Softonic Espana FF Toolbar - {0558df35-d276-4dfb-88d9-c6398aeedf91} - C:\Archivos de programa\Softonic_Espana_FF\tbSoft.dll (file missing)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Softonic Espana FF Toolbar - {0558df35-d276-4dfb-88d9-c6398aeedf91} - C:\Archivos de programa\Softonic_Espana_FF\tbSoft.dll (file missing)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\ConduitEngine.dll (file missing)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG10\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\ConduitEngine.dll (file missing)

O3 - Toolbar: Softonic Espana FF Toolbar - {0558df35-d276-4dfb-88d9-c6398aeedf91} - C:\Archivos de programa\Softonic_Espana_FF\tbSoft.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKLM\..\Run: [AVG_TRAY] C:\Archivos de programa\AVG\AVG10\avgtray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG10\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: RAILNOTIFICATION - WINLOGONNOTIFICATION.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 457216 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 576512 bytes) () Microsoft Corporation

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

O23 - Service: WatchDog de AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG10\avgwdsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SeaPort - Microsoft Corp. - C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: AVGIDSDriver - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSDriver.Sys

O23 - Service: AVGIDSFilter - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSFilter.Sys

O23 - Service: AVGIDSShim - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\AVGIDSShim.Sys

O23 - Service: STK016 Camera (DCamUSBSTK016) - Syntek Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\STK016W2.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



21 Servicios.

8 de Carga Automatica.

12 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Tienes claves que podrías eliminar:



R3 - URLSearchHook: Softonic Espana FF Toolbar - {0558df35-d276-4dfb-88d9-c6398aeedf91} - C:\Archivos de programa\Softonic_Espana_FF\tbSoft.dll (file missing)



O2 - BHO: Softonic Espana FF Toolbar - {0558df35-d276-4dfb-88d9-c6398aeedf91} - C:\Archivos de



O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)



O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\ConduitEngine.dll (file missing)





O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab





Como que son muchas, mejor eliminalas con el HJT, segun indicamos en:





>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 15-12-2010





NOTA: Aparte podrías reinstalar el MSN, no sea que esté dañado... ms.

[Renata]

Buen día msc, solo pude eliminar dos:



R3 - URLSearchHook: Softonic Espana FF Toolbar - {0558df35-d276-4dfb-88d9-c6398aeedf91} - C:\Archivos de programa\Softonic_Espana_FF\tbSoft.dll (file missing)



O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Archivos de programa\ConduitEngine\ConduitEngine.dll (file missing)



Lo hice manualmente... lo que pasa es que no se que el HJT del que hablan que se pasa en Modo de errores... no entiendo que es eso y como lo encuentro en mi pc.Estuve en: https://foros.zonavirus.com/viewtopic.php?f=5&t=14253 pero no entiendo.. por favor me puedes orientar?



Gracias.

[msc hotline sat]

Sí, una vez pulsas en el enlace que indicas, si vas al final del Tema (último post del mismo), verás:



[size=150][b][i]ELIMINACION DE CLAVES[/i][/b][/size]



Y como que el link de envio de muestras y eliminacion de claves lleva a este TEMA, para lo segundo:


[quote]Para eliminar las claves que se indiquen, arrancar en modo seguro, lanzar el HJT y escoger la segunda opcion (DO A SYSTEM SCAN ONLY), marcar la casilla de la izquierda de las claves a eliminar y pulsar FIX CHECKED



Es importante que el HJT esté en una carpeta del disco duro, no en temporal, para que guarde un UNDO con el que poder deshacer lo hecho en caso de interés[/quote]



Espero que lo veas fácil.



Estamos haciendo, en momentos de poca saturación, cambios en el SPROCES para que pueda eliminar algunas claves, al estilo del HJT, pero esto lleva tiempo, y mientras, puede aprovechar el HJT para ello.



saludos



ms, 15-12-2010

[Renata]

¡Hecho! Instalé el HJT, lo lancé y señalé los archivos en el Info... NO ENCONTRÉ ESTOS:



O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab





[img]http://i200.photobucket.com/albums/aa119/ojosdemar05/Afiches%20mi%20trabajo/hjt.jpg[/img]





¡Gracias, quedo a la espera de tu mensaje.



Buen día,



Renata.

[msc hotline sat]

Sí, es que el HJT no llega tan a fondo como el SPROCES, pero ya estamos haciendo la version potente que permita eliminar claves...



Con lo que has hecho, si tras reiniciar persiste el problema, o es un problema de hardware, o hay algun RootKit, o hay degradada alguna aplicacion, incluso del sistema operativo...



Pero crucemos los dedos y dame la respuesta, a ver si con lo hecho es suficiente, sino seguiremos...



saludos



ms, 15-12-2010

[Renata]

msc, al reiniciar sigue muy demorado en abrir el internet, cuando minimizo alguna ventana baja en cámara lenta... demasiado lenta y sale el reloj de arena como anunciando que trabaja en algo... sin dar resultados sobre eso.



De todas maneras ha mejorado un poco, solo queda el problema de la lentitud.



Una pregunta... por favor dime en términos Informáticos ¿qué es un demonio de caché?



Gracias.



Renata.

[msc hotline sat]

Vaya, lo había contestado ya, seguro, pero habrá quedado guardado en borrador.



Voy a ver si lo recupero y te envio la respuesta, o la editaré de nuevo, claro !



ms. 16-12-2010

[msc hotline sat]

Pues no sé donde fue a parar la respuesta. Es igual, la escribo de nuevo:



Y si aun hay algo pululando, puede ser algun RootKit operando en proceso oculto. Para descubrirlo lanza el McAfee ROOTKit Detective:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



y posteanos el informe resultante.



Si vemos lo que está operando en proceso oculto, te pediremos que nos lo envies para analizar y controlar, y sino, seguiremos con un FIXMBR desde Consola de Recuperacion, pero tiempo al tiempo.



Y sobre lo del "demonio de caché",



Son aplicaciones corriendo en segundo plano, sin intervención del usuario.



La palabreja viene de la traduccion literal de DAEMON, abreviación de "Disk And Execution MONitor" y cuyo significado puede malinterpretarse por los demonios del infierno, pero no, no se trata de eso



Bien por preguntarlo, mejor aclarar las cosas antes que malinterpretarlas. A mi tambien me sorprendió en su momento, y recuerdo que alguien me dijo que era una traduccion de una palabra parecida en griego, una especie de angel protector de ayuda a los usuarios, pero me convenció mas la explicación tecnica que te he indicado.



Y como comentario, en LINUX a los residentes se les llama Daemons, o demonios, claro :)



Bueno, a ver si solucionamos lo tuyo, a pesar de los "angeles y demonios" (buen libro, de los que me gustan a mí)



saludos



ms, 16-12-2010

[Renata]

Buen día msc, gracias por despejar el temor que me asaltó cuando leí "demonio de caché" en el HJT... de inmediato se va a la mente al mismo infierno y por supuesto ¿quién no le teme a tener uno de estos en su pc? Ahora todo me queda claro gracias a ti, quien eres nuestro ángel protector a rescatarnos.



Te dejo el resultado del MCafeee detective.





McAfee(R) Rootkit Detective 1.1 scan report

On 16-12-2010 at 08:46:43

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\drivers\AVGIDSShim.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\WINDOWS\system32\drivers\AVGIDSShim.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateThread

Object-Path: C:\WINDOWS\system32\drivers\AVGIDSShim.sys



Object-Type: SSDT-hook

Object-Name: ZwWriteVirtualMemory

Object-Path: C:\WINDOWS\system32\drivers\AVGIDSShim.sys



Object-Type: IAT/EAT-hook

PID: 3896

Details: Import : Function : ole32.dll:KERNEL32.dll!TerminateProcess Should be : KERNEL32.dll:7C801E1A But is : :03E07580

Object-Path: :03E07580

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 3896

Details: Import : Function : ole32.dll:KERNEL32.dll!FindFirstFileW Should be : KERNEL32.dll:7C80EF81 But is : :03E09772

Object-Path: :03E09772

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 3896

Details: Import : Function : ole32.dll:KERNEL32.dll!LoadLibraryW Should be : KERNEL32.dll:7C80AEEB But is : :03E0698E

Object-Path: :03E0698E

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 3896

Details: Import : Function : ole32.dll:KERNEL32.dll!LoadLibraryA Should be : KERNEL32.dll:7C801D7B But is : :03E067A9

Object-Path: :03E067A9

Status: Hooked



Object-Type: IAT/EAT-hook

PID: 3896

Details: Import : Function : ole32.dll:ADVAPI32.dll!RegQueryValueA Should be : ADVAPI32.dll:77DCBB8D But is : :03E0A371

Object-Path: :03E0A371

Status: Hooked



Object-Type: Process

Object-Name: svchost.exe

Pid: 1208

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: igfxpers.exe

Pid: 2448

Object-Path: C:\WINDOWS\system32\igfxpers.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1860

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1024

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 932

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: avgemcx.exe

Pid: 1924

Object-Path: C:\Archivos de programa\AVG\AVG10\avgemcx.exe

Status: Visible



Object-Type: Process

Object-Name: avgcsrvx.exe

Pid: 3784

Object-Path: C:\Archivos de programa\AVG\AVG10\avgcsrvx.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: services.exe

Pid: 748

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: avgnsx.exe

Pid: 1804

Object-Path: C:\Archivos de programa\AVG\AVG10\avgnsx.exe

Status: Visible



Object-Type: Process

Object-Name: AVGIDSMonitor.e

Pid: 3292

Object-Path: C:\Archivos de programa\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1340

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 2456

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: ONENOTEM.EXE

Pid: 3076

Object-Path: C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE

Status: Visible



Object-Type: Process

Object-Name: NMBgMonitor.exe

Pid: 2860

Object-Path: C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

Status: Visible



Object-Type: Process

Object-Name: searchindexer.e

Pid: 2024

Object-Path: C:\WINDOWS\system32\SearchIndexer.exe

Status: Visible



Object-Type: Process

Object-Name: soundman.exe

Pid: 2272

Object-Path: C:\WINDOWS\SOUNDMAN.EXE

Status: Visible



Object-Type: Process

Object-Name: avgrsx.exe

Pid: 3760

Object-Path: C:\ARCHIV~1\AVG\AVG10\avgrsx.exe

Status: Visible



Object-Type: Process

Object-Name: RichVideo.exe

Pid: 1716

Object-Path: C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 664

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: mDNSResponder.e

Pid: 1656

Object-Path: C:\Archivos de programa\Bonjour\mDNSResponder.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 696

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 2680

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 1564

Object-Path: C:\Documents and Settings\Administrador\Mis documentos\Downloads\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 760

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1536

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Object-Type: Process

Object-Name: GoogleUpdate.ex

Pid: 2776

Object-Path: C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 3896

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: hkcmd.exe

Pid: 2408

Object-Path: C:\WINDOWS\system32\hkcmd.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 456

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: avgchsvx.exe

Pid: 488

Object-Path: C:\ARCHIV~1\AVG\AVG10\avgchsvx.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1108

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1388

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: avgwdsvc.exe

Pid: 1636

Object-Path: C:\Archivos de programa\AVG\AVG10\avgwdsvc.exe

Status: Visible



Object-Type: Process

Object-Name: msmsgs.exe

Pid: 2816

Object-Path: C:\Archivos de programa\Messenger\msmsgs.exe

Status: Visible



Object-Type: Process

Object-Name: avgtray.exe

Pid: 1608

Object-Path: C:\Archivos de programa\AVG\AVG10\avgtray.exe

Status: Visible



Object-Type: Process

Object-Name: SeaPort.exe

Pid: 1764

Object-Path: C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

Status: Visible



Object-Type: Process

Object-Name: AVGIDSAgent.exe

Pid: 648

Object-Path: C:\Archivos de programa\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

Status: Visible



Scan complete. No hidden processes/files found.

Total files scanned: 48520

[msc hotline sat]

Pues no hay ficheros corriendo en procesos ocultos... Si hay rootkit, estará en el MBR.



Arrancar con el CD de instalación, pulsar R para entrar en Consola de Recuperación y desde allí ejecutar FIXMBR <ENTER> , tras lo cual reiniciar normalmente y sin rootkit en MBR ni ficheros, y sin malwares ni claves maliciosas en el registro, si persiste la anomalía será de alguna aplicación que utilizas y que lleva consigo dicha historia...



A ver si con lo indicado es suficiente.



saludos



ms, 16-12-2010

[Renata]

Ops... esta noche me acerco donde el técnico, él tiene el CD... espero y me lo preste.



Apenas realizada esta maniobra regreso.



Seguramente es lo que dices, puesto que cuando estuve de viaje a este pobre computador le subieron una serie de programas... y creo que son los de diseño que maneja mi hija.... mmm...



¡Gracias!

[msc hotline sat]

Lo malo no es solo lo que le suben, sino lo que se baja él. como por ejemplo el Downloader Bredolab que descarga el RootKit Sinowal en el MBR...



Y me temo algo similar ...



Hasta luego, Renata



saludos



ms, 16-12-2010

[Renata]

Buenas tardes msc. No sabía si dejarlo acá o abrir un tema nuevo...



Total mi pc sigue lenta, muy lenta. hoy pasé el antivirus y me salió un archivo infectado es este: wdfcoinstaller01007.dll



Solo pasé el antivirus que poseo en mi equipo, no he pasado ELISTARA ni otro de los recomendados.



¿Qué hacer por favor? El Técnico no apareció con el CD...



Estuve leyendo como es mi costumbre las noticias de Satinfo y leí sobre las nuevas prestaciones de la nueva version 5.0 del SPROCES. ¿Será tiempo de pasarlo?



Quedo a la espera de tu respuesta.



Feliz inicio de año.



Renata.

[msc hotline sat]

El fichero que dices, wdfcoinstaller01007.dll , no tiene porqué ser virus, pero cualquier nombre puede esconder un troyano, incluso el SVCHOST.EXE, que es el lanzador del windows...



Dices que no has probado el ELISTARA, PUES HAZLO Y POSTEANOS EL INFORME RESULTANTE



Y sobre el SPROCES 5.0 ofrece con el boton de SCAN nuevas posibilidades, pero basicamente el informe es el mismo.



Y me voy a cenar, que ya me han llamado ! :)



saludos



ms, 6-1-2011

[Renata]

[quote="msc hotline sat"]El fichero que dices, wdfcoinstaller01007.dll , no tiene porqué ser virus, pero cualquier nombre puede esconder un troyano, incluso el SVCHOST.EXE, que es el lanzador del windows...



saludos



ms, 6-1-2011[/quote]



En el informe de mi antivirus sale esto:



"Nombre de objeto";"C:\WINDOWS\system32\wdfcoinstaller01007.dll"

"Nombre de la detección";"El archivo está firmado con una firma digital rota, emitida por: Microsoft Windows Component Publisher."

"Tipo de objeto";"archivo"

"Tipo de SDK";"Programa principal"

"Resultado";""

"Historial de acción";""



====================================================================



Acá dejo el INFO de ElISTARA:



(7-1-2011 03:00:09 (GMT))

EliStartPage v22.34 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-1-2011 03:06:48 (GMT))

EliStartPage v22.34 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5821

Nº Total de Ficheros: 50397

Nº de Ficheros Analizados: 18471

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(7-1-2011 03:08:53 (GMT))

EliStartPage v22.34 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 697

Nº Total de Ficheros: 5430

Nº de Ficheros Analizados: 1090

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



msc, espero su asesoría que siempre me ha sido muy útil.



Gracias.

Renata.

[msc hotline sat]

Ya ves lo que te dice del fichero, que está corrupto, no necesariamente infectado:


[quote]"Nombre de objeto";"C:\WINDOWS\system32\wdfcoinstaller01007.dll"

"Nombre de la detección";"El archivo está firmado con una firma digital rota, emitida por: Microsoft Windows Component Publisher."

"Tipo de objeto";"archivo"

"Tipo de SDK";"Programa principal"

"Resultado";""

"Historial de acción";""[/quote]

No se ve nada anormal en el informe del ELISTARA y creo que ya dije que sugería lanzar un FIXMBR desde Consola de Recuperacion, arrancando con el CD de instalacion y pulsando R



Mientras esperas dicho CD, recuerdame si el PC tiene disquetera, de disquetes de 3 1/2, pues en tal caso probaremos lanzar un COPYS /SEGU , y veremos lo que hay en el MBR y sectores reservados.



En funcion de ello, con un COPYS /MAST implementaremos nuevo codigo del MBR, sin necesidad del CD...



Ya sé que los disquetes son cosa del pasado, pero nosotros todavía tenemos disquetera en algunos PC.



A ver si hay suerte.



saludos



ms, 7-1-2011

[Renata]

msc, buen día, el más bello de los días.



Si Señor, mi PC tiene disquetera, de disquetes de 3 1/2.



¡Gracias! Quedo a la espera.

[msc hotline sat]

Pues descarga el COPYS.EXE :



http://www.zonavirus.com/datos/descargas/101/COPYS.asp



luego ejecutas COPYS /SEGU y te pedirá un disquete donde grabar los datos (copia de seguridad)



A continuacion ejecuta COPYS /MAST y ello sobreescribirá el MBR



Tras ello arranca normalmente y cuentanos como va de rápido...



Si por alguna causa conviniera retroceder lo hecho, con un COPYS /RMBR volverá a pedir el disquete donde se salvaron los datos y se restaurará la copia.



La diferencia de hacer esto o hacerlo con el CD de instalacion es que con el CD podríamos arrancar desde él mismo, sin necesidad del disco duro, el cual si lo que tiene en el MBR tiene tecnicas stealth, podría impedir que la operacion no pudiera realizarse satisfactoriamente, pero mientras no tengas el CD, prueba lo indicado.



saludos



ms, 8-1-2011

[Renata]

msc, hace tantos años que no veo un disquete. Saldré esta tarde al comercio, seguro lo he de encontrar.



¡Gracias por tu asesoría y apoyo! Regreso.

[msc hotline sat]

Seguro que no tienes ninguno antiguo ??? ... lo formateas y listos ! Incluso si lo puedes conseguir de algun amigo que tenga PC, y te lo da formateado y con sistema, mucho mejor, porque arrancaríamos con él y te ahorrarías el arranque desde un posible MBR alterado...



Si es el caso, que tu amigo vaya a MIPC, pulse boton derecho sobre unidad A:, indique formatear con sistema y una vez hecho te lo llevas a casa y arrancas con él puesto. Luego ejecutas el COPYS /SEGU y a continuacion el COPYS /MAST , y a continuacion scas el disquete y reinicias...



Yo ya no compro desde hace años, pero los uso reciclando los antiguos, ya que para guardar pequeñas utilidades, muestras viricas y demás, nos son útiles.



A ver si lo encuentras, sino espera al CD de instalacion, claro. Era para ganar tiempo al tiempo



saludos



ms, 8-1-2011