troyano en reproductor mp3 (SOLUCIONADO)

[godfather]

Que tal amigos , tengo un problema con un troyano que me detecto panda antivirus,ya que el mio ( nod32) no lo detecta y si lo hhace no lo elimina por completo,panda me dice que es un troyano win32/injector.cnn

este hace que mis canciones empiezen ala mitad y que otras se empalmen una con otra diferente. me xtraño porque cuando lo recien lo compre lo vacune con elipen y aun asi se colo.

bueno en espera de su ayuda,saludos!!

[msc hotline sat]

Si tenías instalado el ELIPEN, no se coló por autoejecución del AUTORUN.INF, como hacen los clásicos infectores de pendrive, sino por ejecutar voluntariamente algun fichero de dicho pendrive, seguramente pensando que era una carpeta, como hace este que puede ser parecido al que tienes:



http://www.zonavirus.com/noticias/2011/nueva-variante-de-malware-autorunvbml.asp



En este caso ocultan las carpetas de los pendrives y crean links, con su apariencia, para que al pulsar en ellos, se cargue el malware y luego se acceda a dicha carpeta, pero ya con el troyano en memoria.



Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 8-6-2011

RMXGUAD

[godfather]

ya pase elistara y sprocess, pero en elistara en la mayoruia de las carpetas al momento de analizar me apaerecian mensajes de que se denegaba el acceso a algunas carpetas, luego de esto fui accedi alas carpetas y me di cuenta que tengo muchas duplicadas con simbolos y numero raros y no tengo mi musica mas que solo en algunas carpetas.

de todos modos aqui dejo re resultado de elistara y sprocess, para que me digan que hacer. (15-4-2011 05:54:57 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(15-4-2011 05:55:21 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=BACKUP\RESTORE\DRIVER.EXE



F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



(15-4-2011 05:55:27 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ YA esta Protegida



(19-5-2011 19:02:41 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



(19-5-2011 19:02:55 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ YA esta Protegida



(25-5-2011 14:42:24 (GMT))

EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ YA esta Protegida



(8-6-2011 20:26:12 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Windows Services"="service.exe"

Entrada Eliminada [HKUS\S-1-5-21-1993962763-884357618-725345543-500\...\Run] "Windows Update"="C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\service.exe"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-6-2011 20:32:57 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:44:31 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-6-2011 22:47:10 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:47:33 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:47:54 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:48:17 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:48:41 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:49:03 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:49:24 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:50:11 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 22:51:17 (GMT))

EliStartPage v23.38 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Junio del 2011)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1993962763-884357618-725345543-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 600

Nº Total de Ficheros: 1334

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2011 23:26:41 GMT)

SProces v5.6 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Equipo: EMPRESARIAL

Usuario: Administrador

Sesión de Usuario: Administrador



26 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WDFMGR.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE4\OPWARESE4.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [HP Start] C:\Archivos de programa\Archivos comunes\explorer.exe

O4 - HKLM\..\Run: [Office Loader] C:\Archivos de programa\Archivos comunes\svchost.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe -hx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1307113801562

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HCF_MSFT.sys (de 908064 bytes) () Conexant

WinSys\Drivers\ialmnt5.sys (de 773565 bytes) () Intel Corporation

WinSys\Drivers\mrxsmb.sys (de 451456 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574592 bytes) () Microsoft Corporation

WinSys\Drivers\smwdm.sys (de 553624 bytes) () Analog Devices, Inc.



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: HCF_MSFT - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HCF_MSFT.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: NMIndexingService - Unknown owner - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



15 Servicios.

3 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues aunque ya ves que el ELIPEN te protege de los tìpicos virus de AUTORUN.INF, pueden haber en los pendrives ficheros, que pueden haber sido creados con icono de carpeta, o de links, que pueden ser maliciosos





Aparte, aparcaste este virus, que quizas no conocemos, pues los nombres son aleatorios. Envianos este fichero junto con el AUTORUN.INF.OLD para ver si los controlamos, y si no, para proceder a ello:



Detectado F:\Autorun.inf

OPEN=BACKUP\RESTORE\DRIVER.EXE





y de C: el infosat detectó este que aparcó, si lo tienes envianoslo tambien:



"C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\service.exe"



y lo que es muy grave:



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)





Faltan muchos parches (mas de 1000 , pues solo el SP3 contiene ya 1027...) lanza un windowsupdate e instale los que detecte que faltan.







Y por último, esto seguramente es un malware:



O4 - HKLM\..\Run: [Office Loader] C:\Archivos de programa\Archivos comunes\svchost.exe



ya que el SVCHOST.EXE del sistema está en la carpeta de sistema, y este otro puede llamarse igual, pero no es oro todo lo que reluce !



Envianos este fichero y de momento ya puedes añadirle .VIR a su extension, para que no se cargue a partir del proximo reinicio









>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-6-2011

[godfather]

intente buscar los ficheros que me señalan, busco de acuerdo las rutas que me pones en c: y no consigo hubicar ninguna ni en las crapetas de temp, ni la clave svchos.exe en systema, cheque porque pense que podian star ocultos y no me arroja achvos ocultos,bien referente a l del reproductor

esta carpeta si me aparece AUTORUN.INFy dentro mucha mas y fichas con numeros rarosy simbolos ( me imagino q son las q stan dañadas ya q la musica no aperece) , pero la que me señalas de que dice back up driver.exe, esa si la logro ver atraves del reproductor encendido, junto con las demas carpetas y tamien cuando le pase el asntivirus por primera vez,pero entre en la unidad para buscarla y enviarla y no la logro ver. saludos

[msc hotline sat]

Me parece que lo has entendido mal: El SVCHOST.EXE de la carpeta de sistema (C:\windows\system32) es correcto, el que es malo es este que lanza la clave que indicabamos:



C:\Archivos de programa\Archivos comunes\svchost.exe



Añade .VIR a la extension de este fichero (no al del sistema, ojo !!!) y envianoslo para analizar



Aparte recuerda actualizar los parches con un windowsupdate, es muy importante !



recuerda:







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-6-2011

[godfather]

pues sigo sin entender, disculpa mi ignorancia, pero ya intente buscar en esta ruta como quedamos c:/archivos de progrma/archivos comunes/svchost.exe.

entro en cada una de las carpetas como lo marca la ruta y al llegar ala de archivos comunes no veo el archivo svchot.exe ( se supone que deberia star ala vista al abrir la carpet archivos comunes) ahora dentro de la carpeeta archivos comunes me aparecen mas carpetas, (me imagino que son las quue van por defecto ahi ),pues tambien busque dentro de ellas y nada ,probe archivos ocultos y no tengo nada.

en epera para ver que mas podemos hacer, saludos

[msc hotline sat]

Asegurate que en opciones de carpeta, tengas configurado "ver ficheros ocultos" y desmarcado "ocultar ficheros de sistema", pues sino es muy fácil que tenga atributos de S y/o H y no lo verías.



Si ya estás viendo los indicados ficheros y no ves este, quizas lo borró alguna utilidad que se olvidó de eliminar su clave de carga



O4 - HKLM\..\Run: [Office Loader] C:\Archivos de programa\Archivos comunes\svchost.exe



Mira si con el BUSCAREG.EXE encuentras la secuencia Office Loader y eliminas la clave que la contenga.



saludos



ms, 9-6-2011





ANEXO:



BUSCAREG





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite

borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la

exportacion de las claves eliminadas por si se necesitan restaurar las claves

borradas.





[url=http://www.zonavirus.com/descargas/descargar-buscareg.asp][b]Descargar

BuscaReg[/b][/url]

[godfather]

ya pude hacerlo con el buscaregy elimine la clave como me decias, aqui te pego el resultado, ahora quisiera saber que parte me estaba afectando de el sistema( que sintomas mas bien)



y por otra parte me gustaria saber como vamos a resolver lo de el virus mi mp3 ya que como te decia anteriormente cuando lo conecto entro y mi musica desaparecio o se convirtio en todas esas de cientos de carpetas con codigos y numeros xtraños ,o si tengo que volver a bajar musica nuevamente, aparte recuerda que te decia que el sintoma era que las canciones empezaban a escucharse ala mitady no desde el principio. bueno aqui te djo el post de busca reg

saludos!! (10-6-2011 03:43:17 (GMT))

BuscaReg v1.1 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

LISTADO de Entradas de Registro Eliminadas a petición del Usuario.



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]



"Office Loader"="C:\\Archivos de programa\\Archivos comunes\\svchost.exe"

[godfather]

encontre unos ficheros que me parecen xtraños en el reproductor , los puedo tambien enviar en un zip que trae por defecto windows ( carpeta comprida en zip) o tiene que ser con algun otro?

saludos

[msc hotline sat]

Si no los conoces ni los has instalado voluntariamente y dudas de ellos, envianoslos y los analizaremos con los otros.



A la vista de la monitorizacion del SVCHOST de C:\Archivos de programa\Archivos comunes\svchost.exe" , informaremos al respecto.



saludos



ms, 13-6-2011

[msc hotline sat]

Se ha recibido en SATINFO una muestra tuya que no es el SVCHOST que pedimos, sino de solo 1 KB y su extension es .DF ??? ...



Explique lo que es dicha muestra, y envienos lo que pedimos !!!



Y el acceso a SATINFO para los foreros de zonavirus se limita a envio de muestras para analizar. No se mantiene correspondiencia con usuarios no asociados a sus servicios.



saludos



ms, 15-6-2011

[godfather]

ok, una disculpa por haber enviado ee fichero con.df,pero recuerda que ene un mensaje anterior ,te comente que me parecio extraño ese fichero y me dijiste que si me parecia xtraño y no lo he puesto voluntariamanet en el mp3, te lo mandara para que lo analizaras .

2_ no tengo conocimiento en cuanto alos tipos de extenciones que existen ( no estoy muy enterado bien te puedo confundir un.exe.df,o algo asi.por eso dude de ese fichero dentro de mi mp3.

3_ la muesta de svchost.exe ,anteriormente en los primeros mensajeste comente que lo buscaba enla ruta que me decias:"C:\\Archivos de programa\\Archivos comunes\\svchost.exe" y te dije que no la encontraba para poderte manda el fichero, entoces me dices , que pase el buscareg y elimine la clave,asi lo hice, n y pege el logf de busca reg, que dice claramente que se elimino la entrada.,no se porque te sorprende que no te haya mandado el svchost.exe,cuando anteriormente me diste la instruccion de eliminarlo con el buscareg .

4-una disculpa por el correo y su contenido,no volvera a pasar.

5_ en vista de que nunca se entendio bien mi problema del virus que tenia en mi reproducctor mp3,( porque lo que yo queria eliminar esos ficheros con simbolos y numeros raros que se pusieron en lugar de los iconos de la musica que tenia y que regresara mi musica como normalmete la tenia.)

y ante tal frustacion y deseperacion ,,formatie el mp3,vacune con elipen ,baje nuevamente mis archicvos de musica y asunto arreglado como si nada hubiese pasado.



6- de antemano muchas gracias por su ayuda como siempre y un saludo cordial.

[msc hotline sat]

pues respondiente a tus puntos:



1.- La extension .DF no es ejecutable, asi que dicho fichero puede ser de datos o complementario, pero no nos sirve para monitorizarlo.



2.- Entiendo que eres usuario, no técnico informático, y que puedes tener dudas al respecto, pero para esto estamos :)



3.- Con el BUSCAREG se encuentran las claves en el registro, y se pueden eliminar, pero los ficheros quedan, salvo que los borres especificamente, si bien ya no son lanzados por las claves correspondientes, si estas han sido eliminadas.



4.- Aclarado.



5.- Entonces, muerto el perro se acabó la rabia. Posiblemente no era ningun virus sino anomalía en los datos de Root y FAT del pendrive.



y 6.- Pues damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 18-6-2011