escritorio bloqueado (explorer bloquea?) (TERMINADO)

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 02:01

Buenas noches, hoy he llegado a mi casa y estaba en el PC el "reincidente" spysheriff (lo digo porque ya lo he tenido otras veces), asi que me he puesto a quitarlo con las herramientas necesarias.

Una vez hecho, he pasado el panda on-line, ha detectado 3 virus y los ha eliminado (a dia de ayer yo no tenia virus por cierto) y unos cuantos spywares (uno de ellos un dialer que lleva semanas resistiendoseme, no lograba quitarlo).

Pues bien, me he puesto a quitar esos spy, y he eliminado varios archivos y registros (todo bien), he reiniciado (quitando programas que se iniciaban al arrancar el PC deseleccionandolos en al ventana que sale con lo de "msconfig") y al reiniciar todo bien. Y aqui vien lo raro. He ido a pasar el panda de nuevo y mientras lo pasaba he eliminado 3-4 registros que cierto programa (easy cleaner) daba como que no se usaban.

Pues despues de eliminar esos registros (10-15 minutos) el panda se ha cortado, asi que he reiniciado. Y he puesto tan solo el panda on-line y se ha vuelto a parar a mitad del escaneo. Y he reiniciado de nuevo y desde ahi se bloquea.

Y el PC arranca, y sale el escritorio, pero acto seguido se bloquea, entero, no puedo seleccionar nada ni ir a inicio. Al dar al "reset" saca una ventana diciendo que explorer.exe no responde y su correspondiente "finalizar programa", que si le doy se para el PC.

He arrancado en Modo seguro y pasa exactamente lo mismo.

A veces el fondo se queda en negro o azul y un par de veces a salido algo de "restaurar active desktop" en fondo blanco.

Si fuese el PC desde el que escribo no me importaria, pero en el que le pasa hay informacion importante, os agradeceria comentarios.

Perdonad la extension, pero he dicho todo por si algo es el desencadenante y puede ayudar.

Salu2, y gracias de antemano.

Edito:en modo de fallos no se abre, pero en MSDOS si, y puedo moverme por windows ejecutando programas, el hijackthis lo pasa, no se como copiarlo, para ponerlo aqui, pero lo pasa, no se que puede fallar al arrancar.

Edito2: en MSDOS (simbolo de sistema) puedo darle a ejecutar "explorer.exe" y es cuando falla el escritorio, creo que es un paso, quizas se pueda arreglar x ahi.salu2

Mensaje por **msc hotline sat** » 27 Oct 2005, 10:54

Bajese el ELISTARA.EXE 10.50 a la carpeta raiz C:\

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Luego arranque en modo seguro con solo simbolo de sistema y ejecute:

C:\ELISTARA.EXE

Luego copiese el EXPLORER.EXE de otra máquina con el mismo sistema operativo y parches al disquete (cabe en uno de 1M4) u lo copia a este ordenador, entrando :

COPY A:\EXPLORER.EXE C:\WINDOWS\

(entendiendo que el S.O. es XP, claro, sino donde corresponda)

Y cientenos el resultado como respuesta de este Tema, gracias

saludos

ms, 28-10-2005

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 12:28

Buenos dias, he pasado el programa (antes de pasarlo ah dicho que habia encintrado un troyano y era necesario reiniciar) y ha detectado 6 cosas 5 las ha borrado, la ultima no, y el nombre del .dll me suena haberlo visto por algun registro de windows o algo x el estilo (me acoste a las 7, asi que no lo recuerdo muy bien jejejeje)

[url=http://img479.imageshack.us/my.php?image=elistara9sz.jpg]

[img]http://img479.imageshack.us/img479/6146/elistara9sz.th.jpg[/img][/url]

Lo del explorer.exe de este portatil pasarlo al de sobremesa (que es el que no va) ya lo habia pensado, pero no se que actualizaciones y demas tiene el anterior que tenga este y viceversa, no es arriesgado?

El SO es XP en efecto con SP2(se me olvido decirlo)

Añado el log del hijack por si puede servir:

-----------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 12:16:34, on 27/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cmd.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

K:\EliStarA.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\HJT\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKLM\..\RunOnce: [ReEXEc] K:\EliStarA.exe

O4 - HKCU\..\Run: [SNInstall] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\t.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .png: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin5.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB1A31A-FC28-4B76-B278-CA73FF6CC738}: NameServer = 62.14.63.145,62.14.2.1

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: st3i - C:\WINDOWS\q3707625.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--------------------

El winrar esta abierto porque lo ejecuto desde MSDOS xa que me sea mas facil buscar carpetas (asi no tener que escribirlas constantemente) y el disco K: es la unidad del USB no uso A:.

Salu2 y gracias por tu ayuda.

edito:el O17 HKLM o algo asi ese no me da buena espina

y el O20 pone st3i sera eso algo del st3.dll?

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 12:52

[size=150]ya a borrado el st3.dll[/size] por eso y no hay problema, a ver si meto el explorer.exe y funiona (lo pongo x si lo lees antes, xa que no pierdas tu tiempo. luego pongo el resultado e este mismo post.

Mensaje por **maura63** » 27 Oct 2005, 12:53

Elimina estas entradas, marcandolas y pulsando en FIX

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll -

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE -

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe -

O4 - HKCU\..\Run: [SNInstall] C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\t.exe -

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) -

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll -

O20 - Winlogon Notify: st3i - C:\WINDOWS\q3707625.dll -

Que antivirus usas???? No lo veo

Comprueba que se muestren archivos y carpetas ocultos del sistema.

Saludos

maura63

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 13:12

Hola, uso el "panda platunim internet security center" (O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe") creo que es algo de eso. firewall, el de windows sin mas.

He borrado todo lo que dices excepto dos O4, el de KBD (esq venia de serie con el PC :? y la verdad, no esq no me fie, esq me da miedo quitarlo) y el PS2 (que es el programa que controla los botones de acceso directo del teclado que tb viene, ahora mismo no esta configurado, pero es eso, y tb me da cosa)

Al quitar los otros me han salido dos lineas O15 de *coolbar.com y *searchmeup.com que tambien he eliminado.

Pero nada, he cambiado el explorer.exe como dijo msc hotline sat y nada sigue =, despues de los pasos, es muy cabezota el PC este.

Hay algun sistema xa acceder a la papelera de reciclaje que no sea desde el escritorio? quizas restaurando los elementos eliminados manualemnete ayer con los spys, me ayude.

Salu2 y mil gracias

Mensaje por **maura63** » 27 Oct 2005, 13:16

No veo tu antivirus residente

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Dinos si detecta algo.

Saludos

maura63

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 13:21

No puedo pasar eso en el PC "dañado" internet no funciona. Solo puedo ver lo que hay en el PC mediante MSDOS, pero internet no lo habre, "no puede abrir la pagina de busqueda"

Respecto al HJT, el: O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB1A31A-FC28-4B76-B278-CA73FF6CC738}: NameServer = 62.14.63.145,62.14.2.1

no te parece raro? esq eso no es mi IP, seguro.

salu2, el antivirus si o puedo abrir desde MSDOS, si quieres lo ejecuto y pongo el log, xa que lo veas:

Logfile of HijackThis v1.99.1

Scan saved at 13:22:59, on 27/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cmd.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\IFACE.EXE

C:\Archivos de programa\HJT\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: C:\WINDOWS\adsldpbc.dll - {B7C29251-4277-4AE6-81C9-76F6651B240D} - C:\WINDOWS\adsldpbc.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .png: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin5.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB1A31A-FC28-4B76-B278-CA73FF6CC738}: NameServer = 62.14.63.145,62.14.2.1

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

No se ejecuta al iniciar el PC porque tardaba mucho en enchufarse, lo ponia despues de encender.

Mensaje por **msc hotline sat** » 27 Oct 2005, 15:08

Tienes una clave que llama a ST3.DLL , virus DELF para el que ya implementamos su eliminacion en el ELISTARA 10.48:

https://foros.zonavirus.com/viewtopic.php?t=8985&highlight=st3+dll

Descargala, y pruebala como indicamos en este Tema ya solucionado

saludos

ms, 27-10-2005

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 15:35

hola, msc hotline sat, si eso ya lo hizo el programa la segunda vez que lo pase (lo digo en mi tercer post, el cuarto en orden de este hilo) por ese archivo creo que ya no hay problemas, pero explorer.exe sigue bloqueandose, pasa si arranco el PC en modo normal o aprueba de fallos, y pasa si lo arranco en modo MSDOS y entro a C:\windows\explorer.exe, mientras no ejecuto explorer (logicamente no hay escritorio, pero lo que es el PC funciona)

podria ser que he borrado alguna clave de registro de windows? tipo esas de "HKEY_CURRENT_USER"???

Salu2 y gracias a ambos.

Mensaje por **msc hotline sat** » 27 Oct 2005, 15:43

A ver, en tu ultimo log del HJT aparece la clave:

O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll

y esta no estarñia si el ELISTARA hubiera eliminado el DELF, y si lo elimino, volvio a entrar posteriormente

Mejor apaga, arranca en modo seguro en solo simbolo de sistema y ejecuta asi el ELISTARA 10.50

En la misma sesion, desde MSDOS copia el fichero EXPLORER.EXE de otro ordenador con el mismo sistema operativo y parches aplicados, a este, desde disquete, ejecutando:

COPY A:\EXPLORER.EXE C: \WINDOWS

y tras ello reinicias y nos cuentas...

saludos

ms, 27-10-2005

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 16:29

Ok, digo lo que he hecho, paso a paso:

Arranco el PC (F8 F8 F8 F8, hasta que puedo elegir arrancar en "modo prueba de fallos en simbolo de sistema", acepto y acepto el SO Xp Sp2)

carga y aparece la pantalla de MSDOS, voy a C:\elistara.exe: (version 10.50) y sale:

"quiere limpiar el fichero HOST?"---------------------->Si

"quiere eliminar las paginas de inicio y busqueda..."---->Si

"quiere eliminar los ficheros temp de IE?"-------------->Si

Se abre la ventana del EliStarA y pincho en "explorar"

Al rato sale un aviso:

"acceso denegado a la carpeta: C:\WINDOWS\$NTUnisntallKB833330$\Blastcln(2064)" al que solo me deja dar "aceptar", luego, acepto y sigue con el analisis:

------estadisticas------

Nº directorios: 7095

Nº Ficheros: 92821

Nº ficheros analizados: 18302

Nº ficheros infectados 0

Nº ficheros eliminados: 0

Tiempo transcurrido: 1117

---------------------

y pulso en "salir"

(como veis ya no localiza el st3.dll, que si lo hizo la segunda vez que lo pase, y puso que lo habia eliminado)

y dice: "para mas informacion, una lista de acciones ha sido añadida en el fichero "C:\InfoSAT.txt", acpeto y no pongo pagina de inicio se cierra el elistara.

(adjunto el info de cuando lo borro:

Thu Oct 27 13:45:50 2005

EliStartPage v10.50 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\ST3.DLL --> Eliminado Delf

Eliminada Class, "{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE)

Segun termina el EliStarA, voy a K: y pongo: "copy explorer.exe C:\WINDOWS" y me pasa el explorer de este PC mediante el USB, al PC dañado.

Una vez pasado, he probado a hacer 2 cosas:

1.- Doy al boton de reset, el PC se apaga y luego lo enciendo--> el PC sigue bloqueado

2.- Doy ctrl+alt+supr y doy, nueva tarea;msconfig;bot.ini;\safebot\aplicar, reiniciar-----<el PC sigue bloqueado

No se que hago mal y creo que os estoy empezando a cansar ya, pero esq en estas cosas me pierdo.

salu2 y mil gracias de nuevo

Mensaje por **msc hotline sat** » 27 Oct 2005, 18:10

Es que no tiene disquetera? copie el explorer.exe a un disquete pues al arrancar en modo seguro en solo simbolo de sistema no sé lo que puede pasar copiando de esta manera no sé si lo hace bien. Yo lo probaróa desde disquete, que cabe en uno de 1M4 y esto estña probado, sin querer decir que lo otro por USB no vaya, solo que no lo he probado...

Aparte, podróa ser necesario copiarlo simultaneamente en dos sitios, no solo en C:\windows sino tambien en c:\windows\system32\dllcache para que nonos lo sobreescribiera con el alli existene en el proximo arranque

Podrías probar a tu manera, con USB, arrancando en modo seguro en solo simbolo de sistema, copiarlo en las dos carpetas y reiniciar, a ver si es suficiente.

saludos

ms, 27-10-2005

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 19:32

Hola msc hotline sat, ya he copiado el explorer.exe desde un disket a esas dos ubicaciones, el PC que no tenia disketera es este(el portatil) por eso usaba USB.

El PC sigue sin funcionar a partir del escritorio, lo que si he podido comprobar, esq dando ctrl+alt+supr y terminar el proceso e explorer.exe, puedo medienta "tarea nueva" abrir iexplore y demas programas, los que quiera, todos! y funcionan bien, puedo hacer todo, navegar por internet, abrir documentos... todo pero sin escritorio.

Salu2 y gracias por tus ayudas

chisco · Mensaje por **chisco** » 27 Oct 2005, 19:37

Hola a todos...a mi me está pasando lo mismo...he hecho todo lo que decis arriba pero el explorer sigue bloqueandose al pasar 5 o 6 segundos desde que arranca...yo si estaba trabajando con el administrador de tareas...pero es un rollo...tengo muhca información inportante que no puedo perder y quisiera poder solucionarlo sin perder información..

he tratado muchas veces de ejecutar el explorer.exe pero se vuelve a bloquear a los pocos segundos...una de las mil millones de veces funcionó, reincié y volvio a funcionar..pero al dia siguiente dejó de funcionar y asi hasta hoy...

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 19:46

Hola chisco, la verdad esq es un peñazo esto que pasa.

Yo lo que voy ha hacer es mediante MSDOS ir pasando datos al pendrive de 1Gb mediante el USB xa sacar informacion importante, y despues de haber salvado todo, quizas haya alguna solucion formateando, reparando y depurando windows.

Yo si fuese tu, ya que dices que un dia te fue, arrancaria el PC, das Ctrl+Alt+Supr, en la pestaña de "aplicaciones" abajo pone "tarea nueva" dale y escribe "msconfig" y una vez abierto eso, en la primera pestaña "general" abajo, dale a "iniciar restaurar sistema" a ver si tienes suerte y tienes algun punto de restauracion anterior ;), pero vamos que todo lo que tengas despues de ese dia de informacion sino creo mal se te borra, asi que copia todo lo que puedas (en mi caso, como tuve que quitar espias, tuve que desactivar la restauracion de sistema, por lo que no tengo punto anterior a ayer para restaurar) pero si tu lo tienes, graba la info que puedas e intenta eso, quizas te funcione.

salu2 y suerte, yo sigo intentando todo jejejeje a ver si estos autenticos expertos saben algo mas con lo que les vamos diciendo

Mensaje por **msc hotline sat** » 27 Oct 2005, 20:13

Si deteniendo el proceso del EXPLORER, volviendolo a lanzar va bien, es probbale que en la carga del inicio del EXPLORER haa un Shell cargando un modulo malware, que debería ser controlado por los antivirus o antispywares, pero cada día hat 50 nuevos...

Copianos un log del HiJackThis y apuesto a que veremos que en la carha del EXPLORER hay un Shell ccargando algo...

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Con ello sabremos a qué atenernos

saludos

ms, 27-10-2005

Comwir · Mensaje por **Comwir** » 27 Oct 2005, 22:06

Bueno, mil gracias por toda vuestra ayuda, pero la situacion ha cambiado radicalmete, alguien de casa ha cometido un "error" y ha intentado recuperar el sistema mediante F10 (luego al ver que iba a perder la info a alagao del enchufe) y se han borrado arhivos, ya no se inicia windows, voy a recuperar el sistema, o a formtear.

MIL Gracias de todos modos.

Salu2

chisco · Mensaje por **chisco** » 27 Oct 2005, 23:37

Hola de nuevo...si es un coñazo gordo...pero quisiera acalar un asunto, cargar el explorer.exe de nuevo y que funcioanra solo ha pasado una vez...el resto de las veces se vuelve a bloquear...

por cierto...ya habia comprobado tambien el msconfig y quitado muchos programas del inicio por si acaso..pero sigue iguall...menudo rollo

adjunto el log:

Logfile of HijackThis v1.97.7

Scan saved at 23:34:56, on 27/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\crypserv.exe

C:\ARCHIV~1\NORTON~2\NORTON~4\GHOSTS~2.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\XISCO\Mis documentos\solución\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095414533733

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4613/mcfscan.cab

a ver si hay suerte y alguien detecta algo....porque trabajar con el administrador de tareas es un autentico peñazo...jaja

chisco · Mensaje por **chisco** » 27 Oct 2005, 23:42

ah..por cierto la herrmienta para restaurar sistema no funciona..jajaj no me acepta ningun punto de restauración...asi que nada...

si intento restaurar la instalación de win perderé archivos o solo me machacará el win encima del otro?? que pasaria con las actualizaciones de seguridad?

por cierto...muchas gracias de antemano por vuestro tiempo

Mensaje por **msc hotline sat** » 28 Oct 2005, 05:59

Si arrancas con el CD de instalacion y tras aceptar contrato de microsoft, una vezte detecte la particion instalada, le indicas REPARAR (no reinstalar) solo reescribe los ficheros de sistema, manteniendo todas las aplicaciones instaladas, y al final se deben actualizar los parches con windowsupdate y reiniciar.

Voy a ver el log del HJT que has puesto y te digo algo.

saludos

ms, 28-10-2005

Mensaje por **msc hotline sat** » 28 Oct 2005, 06:06

La version que utilizaste del HJT no está actualizada.

Actualiza y postea de nuevo por si mostrara algo mas, pues lo que jay en este está limpio:

http://www.hijackthis.de/downloads/hijackthis_199.zip

saludos

ms, 28-10-2005

chisco · Mensaje por **chisco** » 28 Oct 2005, 10:32

ahi va el nuevo log con el hjt actualizado:

Logfile of HijackThis v1.99.1

Scan saved at 10:30:24, on 28/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\crypserv.exe

C:\ARCHIV~1\NORTON~2\NORTON~4\GHOSTS~2.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\ARCHIV~1\NORTON~2\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe

C:\WINDOWS\system32\wuauclt.exe

C:\ARCHIV~1\MOZILL~2\FIREFOX.EXE

C:\Documents and Settings\XISCO\Escritorio\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095414533733

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4613/mcfscan.cab

O20 - AppInit_DLLs: MsgPlusLoader.dll

O20 - Winlogon Notify: st3i - C:\WINDOWS\q21713890.dll

O20 - Winlogon Notify: style32 - C:\WINDOWS\q3707281_disk.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\NORTON~2\NORTON~4\GHOSTS~2.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~2\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

y si...cuando cargo el explorer de nuevo sigue fallando no recarga adecuadamente...sigue bloqueandose

chisco · Mensaje por **chisco** » 28 Oct 2005, 10:55

otra cosa: he observado que hay procesos que me aparecen el administrador que no aparecen en el log de hjt...te escribo todos los que me aparecen y me dices algo:

alg.exe

ati2evxx.exe

ati2evxx.exe

CCEVTMGR.EXE

CCSETMGR.EXE

CDANTSRV.EXE

Crypserb.exe

csrss.exe

firefox.exe

GHOST-2.EXE

Isass.exe o Lsass.exe(creo que hay gran diferencia...en el administrador aparece como un palito vertical, creo qeu es una i)

mdm.exe

msnmsgr.exe

NAVAPSVC.EXE

NOPDB.EXE

NPROTECT.EXE

Proceso inactivo del sistema (bueno eso siempre esta de 92 a 99 con algun pico hacia abajo...esta mu libre el sistema me parece a mi)

SAVSCAN.EXE

Services.exe

smss.exe

spoolsv.exe

svchost.exe (aparece 7 veces)

SymWSC.exe

System

taskmgr.exe

thunderbird.exe

wdfmgr.exe

winlogon.exe

wscntfy.exe

ahi van , es que algunos no aparecen en el log de hjt...gracasid e nuevo por tu tiempo

_____________________________________

cimentario de zonavirus:

No, el lsass es con l, pues le aparece en el HJT:

C:\WINDOWS\system32\lsass.exe

Y efectivamente el isass o Isass es un virus. ms.

______________________________________

Mensaje por **msc hotline sat** » 28 Oct 2005, 10:59

Efectivamente, de 16 grupos de visualizacion hemos pasado a 23, con nuevas claves en ellos:

Se deben eliminar estas claves:

O20 - Winlogon Notify: st3i - C:\WINDOWS\q21713890.dll

O20 - Winlogon Notify: style32 - C:\WINDOWS\q3707281_disk.dll (file missing)

O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)

Pero como que la primera es un Winlogon Notify, no la podrá eliminar en modo normal.

Pruebelo arrancando en modo seguro y si asi no pudiera tampoco, envienos el fichero q21713890.dll para que implementemos su control en la proxima version del ELISTARA, y asi poderio eliminar automaticamente fichero y clave.

Envienos dicho fichero a zonavirus@satinfo.es anexado a un mail en cuyo texto indiqyes como referencia REF CHISCO y le mantendremos informado

saludos

ms, 28-10-2005

Mensaje por **msc hotline sat** » 28 Oct 2005, 11:17

Sobre el fichero EXPLORER.EXE que nos ha enviado, no es malware, pues coincide byte a byte con el original de Windows XP profesional, asi que no es por el fichero en cuestion, sino por algo que se carga simultaneamente, como es el caso de lo indicado en el post anterior sobre la carga de la DLL que le hemos solicitado, que al estar en una clave cuyo valor es ST3i, se supone que es una variante del DELF que iinstala cklabe con valor ST3 y que es controlado con el ELISTARA actual, pero que no conocemos este, por lo que le pedimos dicha muestra.

Ya creemos tener el origen del problema, a ver si tirando del hilo...

saludos

ms, 28-10-2005

chisco · Mensaje por **chisco** » 28 Oct 2005, 11:20

hola..acabo de hacer lo qu eme indicais...he ido a modo seguro y he escaneado con el hjt y eliminado los dos winlogon y el security agent...he vuelto a escanear y los win logon ya no aparecen

pero el security ageent continua

he vuelto a win en modo normal y he escaenado otra vez..los win logon siguen sin aparecer

pero el security agent sigue estando..en hjt no puede elminarlo

Mensaje por **msc hotline sat** » 28 Oct 2005, 12:18

Justamente por eso la intentamos eliminar, porque aparentemente llama a un fcihero inexistente, inocentemente, pero en cambio está siendo protegida contra eliminacion, lo cual hacen algunos gusanos a base de dos aplicaciones residentes que si eliminas una es restaurada por la otra y viceversa.

En particular sobre el fichero de sta clave, inicialmente eliminado, hay la siguiente informacion:

http://www.doxdesk.com/parasite/SCAgent.html

Buscaré mas informacion

saludos

ms, 28-10-2005

Mensaje por **msc hotline sat** » 28 Oct 2005, 12:45

Hay buena informacion para eliminacion manual de este backdoor en:

http://labs.paretologic.com/spyware.aspx?remove=SCAgent

pero no veo en el HJT los ficheros que indican se eliminen, por lo que igual ya se han eliminado y lo unico que queda es esta clave, que al ser yb servicio nose deja eliminar???

Vea cimi se comporta ahora el ordenador y nos informa, gracias

saludos

ms, 28-10-2005

chisco · Mensaje por **chisco** » 29 Oct 2005, 11:24

El ordenador sigue igual....he ido a la pagina que me indicas en el ultimo post...y he descargado el antivirus que ofrecen a ver si lo elimina...y s i no seguiré las instrucciones qeu dan acerca de como quitarlo manualmente...a ver si hay suerte...ya os cuento