Hola a todos , algo raro le pasa a mi ordenador , hace dos dias formatee , tengo placa base nueva y ram nueva , y el ordenador algunas veces , por ejemplo cuando uso el winrar 3.51 se me queda congelado , no puedo mover el raton y tengo que resetearlo , alguna vez se me ha reiniciado solo ( imagino que por algun error ) , no se si tendre algun virus pero tengo el norton y el ad-aware y no me detectan nada , pero el ordenador no anda como deberia .
He instalado el Hijackthis y esto es lo que me sale .
Me gustaria saber si ven algo extranio o si saben a que se puede deber esto y como arreglarlo.
Muchas gracias y un saludo.
Logfile of HijackThis v1.99.1
Scan saved at 3:35:20 PM, on 28/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\spm\spmd.exe
C:\Program Files\Matrox X.tools\System\digisc.exe
C:\Program Files\Alias\Maya7.0\docs\wrapper.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Alias\Maya7.0\docs\jre\bin\java.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Softimage\XSI_5.0\Application\bin\raysatxsi5_0server.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\WMP54GS Wireless Network Monitor\WLService.exe
C:\Program Files\WMP54GS Wireless Network Monitor\WMP54G.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Matrox X.tools\DSOutputEnabler.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\SuperRam\SuperRam.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\HAL-9000\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DSOutputEnabler] "C:\Program Files\Matrox X.tools\DSOutputEnabler.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SuperRam] "C:\Program Files\SuperRam\SuperRam.exe" /start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: DigiCtrl - Matrox Electronic Systems - C:\Program Files\Matrox X.tools\System\digisc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Common Files\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Program Files\Alias\Maya7.0\docs\wrapper.exe" -s "C:\Program Files\Alias\Maya7.0\docs\Wrapper.conf (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RaySatxsi5_0 Server (RaySatxsi5_0Server) - Unknown owner - C:\Softimage\XSI_5.0\Application\bin\raysatxsi5_0server.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SPM License Server (spmd) - mental images GmbH - C:\WINDOWS\system32\spm\spmd.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: WMP54GSVC - Unknown owner - C:\Program Files\WMP54GS Wireless Network Monitor\WLService.exe" "WMP54G.exe (file missing)
Problemas -imagen se congela (TERMINADO)
Mas datos , el spybot search and destry y ad-aware no me detectan nada , el norton antivirus tampoco .
Pero el ordenador se congela a veces o se reinicia.
Otro dato curioso , caundo se reinicia , aunque yo tengo la opcion de apariencia de windows para " best performance " con la barra de inicio gris ,el ordenador se me reinicia , con la barra de inicio azul , he chequeado y la opcion sigue marcada como " best performance " pero la barra de inicio de presenta azul.
Una pregunta que tengo es puede haber virus en ram , y si existe esa posibilidad , puede quedar residente en memoria , o por el contrario , cuando apagamos el ordenador desaparece.
He echo una limpieza con una aplicacion del norton y hay dos archivos temporales que no me borra , no se si tendra algo que ver pero ahi van .
Son los siguientes :
C:\Documents and Settings\HAL-9000\Local Settings\Temp\BCG2.Temp
y
C:\WINDOWS\Temp\hsperfdata_SYSTEM\680
Todo esto es muy extranio , alguien puede ayudarme.
Gracias y un saludo.
Pero el ordenador se congela a veces o se reinicia.
Otro dato curioso , caundo se reinicia , aunque yo tengo la opcion de apariencia de windows para " best performance " con la barra de inicio gris ,el ordenador se me reinicia , con la barra de inicio azul , he chequeado y la opcion sigue marcada como " best performance " pero la barra de inicio de presenta azul.
Una pregunta que tengo es puede haber virus en ram , y si existe esa posibilidad , puede quedar residente en memoria , o por el contrario , cuando apagamos el ordenador desaparece.
He echo una limpieza con una aplicacion del norton y hay dos archivos temporales que no me borra , no se si tendra algo que ver pero ahi van .
Son los siguientes :
C:\Documents and Settings\HAL-9000\Local Settings\Temp\BCG2.Temp
y
C:\WINDOWS\Temp\hsperfdata_SYSTEM\680
Todo esto es muy extranio , alguien puede ayudarme.
Gracias y un saludo.
Ah se me olvidaba tengo otra pregunta , antes de instalar windows xp , utilice una aplicacion llamada fdisk para borrar el mbr ( boot sector ) del disco duro , mi pregunta es cuando borramos el mbr , puede un virus camuflarse en alguna parte de este o es imposible que un virus resida en un disco duro si borramos el boot sector ?
Gracias y un saludo.
Gracias y un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Vamos por partes, que son muchas preguntas:
Cuando se apaga el ordenador, los residentes, sean virus o aplicaciones, se borran de la memoria RAM
Los ficheros que indica no haberle borrado la utilidad de Norton, estan en carpetas temporales. Elimine temporales.
El sector MBR no es el Boot Sector sino el Master Boot Record, en el que se indica las particiones y datos de cada una, y donde está el sector Boot de ellas, y envia el proceso al sector Boot de la particion de arranque.
El MBR está fixicamente en el sector 1 de la cara 0 del cilindro 0, y los sectores Boot donde empiece cada particion logica. En particular el Boot de la primera particion acostumbra a estar en el sector 1 de la cara 1 del cilindro 0.
Con un FDISK - borrar particion, se borran las marcas de cada particion, preparando el disco duro para un nuevo particionado y formateo de cada uno de las particiones creadas, lo cual sobreescribe los sectores BOOT de cada particion y deja la informacion existente anteriormente a punto de ser sobreescrita, con lo que se elimina cualquier virus de la zona de datos, PERO NO el que pudiere haber el el propio sector de particion o MBR !!!
De los 512 bytes que hay en un sector, los primeros 446 del sector MBR son codigo que no se borra con un FDOSK -> Borrar particion no con un Fdisk -> Crear particion. Ello solo borra los 66 bytes ultimos de dicho sector, que son los datos de principio, fin, número de sectores, particion de inicio, tipo de particion, indicador de sistema, etc.
Los virus de particion se instalan en el codigo de la misma, pudiendo seguir en cualquier sevtor fisico o logico del disco duro, segun extension, pero hay muchos que caben en dicho sector o que siguen en la zona fisica de sectores del disco duro reservados a la partcion, zona que no tocael formateo de cada particion, y que acostumbra a ser todos los sectores de la cara 0 del cilindro 0.
Para sobreescribir el código puede hacerse con las utilidades correspondientes o con la opcion /MBR del Fdisk, la cual, al reves de un "Borrars particion" sobreescribe el código existente en los primeros 446 bytes de dicho sector, eliminando el virus que hubiera allí si fuera el caso.
Y sobre el log del HJT:
Tienes que borrar estas dos claves, lanzando el HJT, marcandolas y eliminandolas con FIX:
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Program Files\Alias\Maya7.0\docs\wrapper.exe" -s "C:\Program Files\Alias\Maya7.0\docs\Wrapper.conf (file missing)
O23 - Service: WMP54GSVC - Unknown owner - C:\Program Files\WMP54GS Wireless Network Monitor\WLService.exe" "WMP54G.exe (file missing)
Y estas otras son aplicaciones que no son del sistema ni típicas. Si las conoces y las has instalado no las toques, sino elimina su clave:
O4 - HKLM\..\Run: [DSOutputEnabler] "C:\Program Files\Matrox X.tools\DSOutputEnabler.exe"
O4 - HKLM\..\Run: [SuperRam] "C:\Program Files\SuperRam\SuperRam.exe" /start
O23 - Service: DigiCtrl - Matrox Electronic Systems - C:\Program Files\Matrox X.tools\System\digisc.exe
O23 - Service: RaySatxsi5_0 Server (RaySatxsi5_0Server) - Unknown owner - C:\Softimage\XSI_5.0\Application\bin\raysatxsi5_0server.exe
O23 - Service: SPM License Server (spmd) - mental images GmbH - C:\WINDOWS\system32\spm\spmd.exe
Tras ello reinicie el ordenador y vea si han desaparecido las anomalías, y sino, lance el ELISTARA que es un complemento de antivirus y antispywares, buscando otras historias no visibles en los log del HJT, como HSA instalados en OPanel de Control, lases sospechosas, posibles ficheros sospechosos contenidos en ellas -de los cuales pedimos muestra para su analisis y posterior control, etc.:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Y nos informa del resultado, como respuesta de este Tema, gracias
saludos
ms, 29-10-2005
Cuando se apaga el ordenador, los residentes, sean virus o aplicaciones, se borran de la memoria RAM
Los ficheros que indica no haberle borrado la utilidad de Norton, estan en carpetas temporales. Elimine temporales.
El sector MBR no es el Boot Sector sino el Master Boot Record, en el que se indica las particiones y datos de cada una, y donde está el sector Boot de ellas, y envia el proceso al sector Boot de la particion de arranque.
El MBR está fixicamente en el sector 1 de la cara 0 del cilindro 0, y los sectores Boot donde empiece cada particion logica. En particular el Boot de la primera particion acostumbra a estar en el sector 1 de la cara 1 del cilindro 0.
Con un FDISK - borrar particion, se borran las marcas de cada particion, preparando el disco duro para un nuevo particionado y formateo de cada uno de las particiones creadas, lo cual sobreescribe los sectores BOOT de cada particion y deja la informacion existente anteriormente a punto de ser sobreescrita, con lo que se elimina cualquier virus de la zona de datos, PERO NO el que pudiere haber el el propio sector de particion o MBR !!!
De los 512 bytes que hay en un sector, los primeros 446 del sector MBR son codigo que no se borra con un FDOSK -> Borrar particion no con un Fdisk -> Crear particion. Ello solo borra los 66 bytes ultimos de dicho sector, que son los datos de principio, fin, número de sectores, particion de inicio, tipo de particion, indicador de sistema, etc.
Los virus de particion se instalan en el codigo de la misma, pudiendo seguir en cualquier sevtor fisico o logico del disco duro, segun extension, pero hay muchos que caben en dicho sector o que siguen en la zona fisica de sectores del disco duro reservados a la partcion, zona que no tocael formateo de cada particion, y que acostumbra a ser todos los sectores de la cara 0 del cilindro 0.
Para sobreescribir el código puede hacerse con las utilidades correspondientes o con la opcion /MBR del Fdisk, la cual, al reves de un "Borrars particion" sobreescribe el código existente en los primeros 446 bytes de dicho sector, eliminando el virus que hubiera allí si fuera el caso.
Y sobre el log del HJT:
Tienes que borrar estas dos claves, lanzando el HJT, marcandolas y eliminandolas con FIX:
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Program Files\Alias\Maya7.0\docs\wrapper.exe" -s "C:\Program Files\Alias\Maya7.0\docs\Wrapper.conf (file missing)
O23 - Service: WMP54GSVC - Unknown owner - C:\Program Files\WMP54GS Wireless Network Monitor\WLService.exe" "WMP54G.exe (file missing)
Y estas otras son aplicaciones que no son del sistema ni típicas. Si las conoces y las has instalado no las toques, sino elimina su clave:
O4 - HKLM\..\Run: [DSOutputEnabler] "C:\Program Files\Matrox X.tools\DSOutputEnabler.exe"
O4 - HKLM\..\Run: [SuperRam] "C:\Program Files\SuperRam\SuperRam.exe" /start
O23 - Service: DigiCtrl - Matrox Electronic Systems - C:\Program Files\Matrox X.tools\System\digisc.exe
O23 - Service: RaySatxsi5_0 Server (RaySatxsi5_0Server) - Unknown owner - C:\Softimage\XSI_5.0\Application\bin\raysatxsi5_0server.exe
O23 - Service: SPM License Server (spmd) - mental images GmbH - C:\WINDOWS\system32\spm\spmd.exe
Tras ello reinicie el ordenador y vea si han desaparecido las anomalías, y sino, lance el ELISTARA que es un complemento de antivirus y antispywares, buscando otras historias no visibles en los log del HJT, como HSA instalados en OPanel de Control, lases sospechosas, posibles ficheros sospechosos contenidos en ellas -de los cuales pedimos muestra para su analisis y posterior control, etc.:
ELISTARA:
Y nos informa del resultado, como respuesta de este Tema, gracias
saludos
ms, 29-10-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola , primero darte las gracias por las respuestas y tu ayuda.
Te cuento , lo primero que he echo es borrar las entradas que venian marcadas en el hijackthis , las que me comentabas que no sabias que eran eran drivers de la capturadora de video y una aplicacion 3d.
Seguidamente he instalado el elistarA y me ha detectado un archivo infectado , concretamente el OBC.exe , (con el virus o spyware Sbsoft o ToolBand ), perteneciente a una aplicacion de Norton Sistem works .
El programa ha borrado dicho archivo y he desinstalado los archivos que quedaban de este programa , he reiniciadfo el ordenador y he vuelto a pasar el elistarA
En esta segunda vez el programa me ha detectado otro archivo infectado con el nombre 0045606.exe , infectado con el mismo virus o spyware ( SBsoft o Toolband ).
El programa lo ha desinfectado he vuelto a reiniciar el ordenador y he escaneado el ordenador otra vez con el ElistarA , esta ultima vez no me ha detectado nada.
De momento las veces que he reiniciado el ordenador , la barra de inicio aparece gris y no azul como otras veces , por lo que es buena senial.
Tengo un par de ultimas preguntas , me dices que borre los temporales que norton no podia borrar , los he intentado borrar manualmente pero no me deja , imagino que tendre que hacerlo desde el modo seguro , no ?
Si estan en la carpeta Temp , puedo borrarlos sin ningun problema o quizas es que sean de alguna aplicacion que los necesite ?
Y la segunda pregunta es cuando anteriormente utilice la aplicacion FDisk ( que no es la de windows ) , la opcion que utilice es borrar MBR , y cuando instale xp , el sistema me aviso ( mediante bios ) que el boot sector iba a ser cambiado , ahora me he liado un poco , entonces si alguna vez quiero borrar el boot sector como lo deberia hacer , con que aplicacion ,y que pasos he de seguir ? y sobreescribiendo el boot sector perderia el resto de programas instalados , o por el contrario puedo sobreescribir el boot sector , sin que afecte al resto de aplicaciones instaladas ?
Bueno muchisimas gracias otra vez, por tus respuestas , tiempo y tu ayuda.
Un saludo.
Te cuento , lo primero que he echo es borrar las entradas que venian marcadas en el hijackthis , las que me comentabas que no sabias que eran eran drivers de la capturadora de video y una aplicacion 3d.
Seguidamente he instalado el elistarA y me ha detectado un archivo infectado , concretamente el OBC.exe , (con el virus o spyware Sbsoft o ToolBand ), perteneciente a una aplicacion de Norton Sistem works .
El programa ha borrado dicho archivo y he desinstalado los archivos que quedaban de este programa , he reiniciadfo el ordenador y he vuelto a pasar el elistarA
En esta segunda vez el programa me ha detectado otro archivo infectado con el nombre 0045606.exe , infectado con el mismo virus o spyware ( SBsoft o Toolband ).
El programa lo ha desinfectado he vuelto a reiniciar el ordenador y he escaneado el ordenador otra vez con el ElistarA , esta ultima vez no me ha detectado nada.
De momento las veces que he reiniciado el ordenador , la barra de inicio aparece gris y no azul como otras veces , por lo que es buena senial.
Tengo un par de ultimas preguntas , me dices que borre los temporales que norton no podia borrar , los he intentado borrar manualmente pero no me deja , imagino que tendre que hacerlo desde el modo seguro , no ?
Si estan en la carpeta Temp , puedo borrarlos sin ningun problema o quizas es que sean de alguna aplicacion que los necesite ?
Y la segunda pregunta es cuando anteriormente utilice la aplicacion FDisk ( que no es la de windows ) , la opcion que utilice es borrar MBR , y cuando instale xp , el sistema me aviso ( mediante bios ) que el boot sector iba a ser cambiado , ahora me he liado un poco , entonces si alguna vez quiero borrar el boot sector como lo deberia hacer , con que aplicacion ,y que pasos he de seguir ? y sobreescribiendo el boot sector perderia el resto de programas instalados , o por el contrario puedo sobreescribir el boot sector , sin que afecte al resto de aplicaciones instaladas ?
Bueno muchisimas gracias otra vez, por tus respuestas , tiempo y tu ayuda.
Un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Bueno, pues parece que el Elistara ha llegado donde no había llegado nadie, y solucionado el problema por lo que indicas...
Sobre los temporales, deberían ppoderse borrar, pero mira que no tengan atribitos que lo impidan, y como muy bien dices, arranca en modo seguro, pues aunque no deben estar en uso, algunos bichos guardan el gusano como remporales y mientras estan en usowindows no deja eliminarlos.
Puedes complementar con la eliminacion de temporales de Internet con nuestro ELITEMPO:
ELITEMPO
http://www.zonavirus.com/datos/descargas/70/EliTempo.asp
Y por ultimo, cuidado con todo esto que son sectores muy delicados, pues un cambio inapropiado impediría el acceso a la zona de programas del disco duro !!! : BOOT SECTOR es el BOOT de la particion (hay uno para cada particion) mientras que MASTER BOOT RECORD o Sector de Arranque Maestro es el sector de la Tabla de particion, donde se guardan los datos de comienzo y final de cada particion, numero de sectores, sector de poricion del Boot -dinde empieza- , indicador de sistema (si es FAT32, NTFS, etc) , particion activa (la que contiene el sistema operativo con el que se quiere arrancar), etc
El sector BOOT o sector de Arranque )no Maestro) es el inicio de cada particion y en él hay la rutina de arranque y la llamada a los ficheros de arranque del sistema operativo. Evidentemente tambien hay caracteristicas de dicha particion, como numero de sectores u sector final.
Son dos sectores totalmnente diferenes pero relacionados.
Y hay virus que infectan el de MBR,(Telecom o Antitel) virus que infectan el BOOT (el primero, el PING PONG, italian virus o ·de la pelotita") , virus que infectan ambos sectores (como el WYX), y virus que infectan además de alguno de ellos, ficheros, como el NATAS. el JUNKIE, etc
De esto tivimos que llegar hasta el fondo, pues especialmente en la primera mitad de los 90 abundaron y nos hacian ir de boliudo con las tecnicas Sthealth o de engaño, que hacen que cuando está el vorus en memoria, al mirar un sector MBR (0,0,1) para ver si habia infeccion, nos enseña ptrp reserbado (por ejemplo el 0.0.7 en el casp del antitel o Telecom), en el que previamente el virus ha giardado una copia de la particion biena de antes de infectar, con lo que nos muestra esta biena y nos despista de verdad!!!
Historias... (si te contara nmis batallitas al respecto no ibamos a acabar nunca:lol: :lol: :lol:
saludos
ms, 29-10-2005
Sobre los temporales, deberían ppoderse borrar, pero mira que no tengan atribitos que lo impidan, y como muy bien dices, arranca en modo seguro, pues aunque no deben estar en uso, algunos bichos guardan el gusano como remporales y mientras estan en usowindows no deja eliminarlos.
Puedes complementar con la eliminacion de temporales de Internet con nuestro ELITEMPO:
ELITEMPO
Y por ultimo, cuidado con todo esto que son sectores muy delicados, pues un cambio inapropiado impediría el acceso a la zona de programas del disco duro !!! : BOOT SECTOR es el BOOT de la particion (hay uno para cada particion) mientras que MASTER BOOT RECORD o Sector de Arranque Maestro es el sector de la Tabla de particion, donde se guardan los datos de comienzo y final de cada particion, numero de sectores, sector de poricion del Boot -dinde empieza- , indicador de sistema (si es FAT32, NTFS, etc) , particion activa (la que contiene el sistema operativo con el que se quiere arrancar), etc
El sector BOOT o sector de Arranque )no Maestro) es el inicio de cada particion y en él hay la rutina de arranque y la llamada a los ficheros de arranque del sistema operativo. Evidentemente tambien hay caracteristicas de dicha particion, como numero de sectores u sector final.
Son dos sectores totalmnente diferenes pero relacionados.
Y hay virus que infectan el de MBR,(Telecom o Antitel) virus que infectan el BOOT (el primero, el PING PONG, italian virus o ·de la pelotita") , virus que infectan ambos sectores (como el WYX), y virus que infectan además de alguno de ellos, ficheros, como el NATAS. el JUNKIE, etc
De esto tivimos que llegar hasta el fondo, pues especialmente en la primera mitad de los 90 abundaron y nos hacian ir de boliudo con las tecnicas Sthealth o de engaño, que hacen que cuando está el vorus en memoria, al mirar un sector MBR (0,0,1) para ver si habia infeccion, nos enseña ptrp reserbado (por ejemplo el 0.0.7 en el casp del antitel o Telecom), en el que previamente el virus ha giardado una copia de la particion biena de antes de infectar, con lo que nos muestra esta biena y nos despista de verdad!!!
Historias... (si te contara nmis batallitas al respecto no ibamos a acabar nunca
saludos
ms, 29-10-2005
Última edición por msc hotline sat el 29 Oct 2005, 13:29, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Hola de nuevo y gracias por la ayuda.
Despues de reiniciar varias veces y probar el ordenador parecia que todo iba de perlas , pero ahora de repente cuando intento reiniciar el ordenador , windows cierra los programas , y se queda en la pantalla que dice windows se esta cerrando , con el logo , pero finalmente no lo hace , al final tengo que reiniciar manualmente y cuando empieza otra vez windows , la barra de inicio otra vez aparece azul , algo extranio sigue pasando .
He vuelto a pasar el programa Elistara , pero no detcta nada , ni el norton , ni el ad-aware , ni el spy search and destroy .
Los archivos que me decia el HJT que estban missing , aunque le digo fix , cuando vuelvo a pasr el HJT , me vuelve a enseniar los misms archivos missing como la primera vez.
Lo que es extranio es que siuiendo la ruta he podido comprobar que los archivos si que estan .
Ya no se que hacer por que he descartado que sea hardware , y los discos duros aunque anteriormente le borre el mbr con el fdisk , siempre tengo el mismo problema.
A que puede ser debido esto ?
A mi me da la sensacion que es un virus que aunque formatee , o borre el mbr siempre aparece .
Podrias explicarme coomo puedo hacer para dejar un disco duro como cuando salen de fabrica ?
Un low level format quizas ?
O hay alguna manera mas rapida de hacerlo ?
La vedad este problema ya viene de lejos y lo unico que se me ocurre es que sea eso , o virus en bios ?
Aunque virus en bios imagino que es menos probable , no?
Un saludo y muchas gracias
Despues de reiniciar varias veces y probar el ordenador parecia que todo iba de perlas , pero ahora de repente cuando intento reiniciar el ordenador , windows cierra los programas , y se queda en la pantalla que dice windows se esta cerrando , con el logo , pero finalmente no lo hace , al final tengo que reiniciar manualmente y cuando empieza otra vez windows , la barra de inicio otra vez aparece azul , algo extranio sigue pasando .
He vuelto a pasar el programa Elistara , pero no detcta nada , ni el norton , ni el ad-aware , ni el spy search and destroy .
Los archivos que me decia el HJT que estban missing , aunque le digo fix , cuando vuelvo a pasr el HJT , me vuelve a enseniar los misms archivos missing como la primera vez.
Lo que es extranio es que siuiendo la ruta he podido comprobar que los archivos si que estan .
Ya no se que hacer por que he descartado que sea hardware , y los discos duros aunque anteriormente le borre el mbr con el fdisk , siempre tengo el mismo problema.
A que puede ser debido esto ?
A mi me da la sensacion que es un virus que aunque formatee , o borre el mbr siempre aparece .
Podrias explicarme coomo puedo hacer para dejar un disco duro como cuando salen de fabrica ?
Un low level format quizas ?
O hay alguna manera mas rapida de hacerlo ?
La vedad este problema ya viene de lejos y lo unico que se me ocurre es que sea eso , o virus en bios ?
Aunque virus en bios imagino que es menos probable , no?
Un saludo y muchas gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No se recomoienda aplicar low level format en los dicos actuales, pues se borran las marcas de fabrica y el disco duro pierde su estructura.
Y no, los virus no entran en el Bios, todo lo mas lo sobreescriben con basura como el CIH los 26 de Abril
Y con un FDISK /MBR + un FDISK ->borrar particion y luego Fdisk -> crear particion y formateo de cada una, además de luego instalar el windows, del disco duro anterior no queda ningun virus, si acaso de los que le pongas por estar en las aplicaciones que utilices para el proceso...
Si dice que tienes los ficheros que las claves indicas FILE MISSING, has dado en el clavo !
Arranca en modo seguro y mira si los puedes mover a un disquete o a otra carpeta de disco duro, y si no, en modo seguro con solo simbolo de sistema, desde DOS, y en el peor de los casos arranca con el CD de instaacion y pulsa R para entrar en consola de recuperacion, y asi seguro!
Reinicias, borras las claves y nos envias los ficheros en cuestion azonavirus@satinfo.es anexados a un mail en cuyo texto indiques referencia REF FREAKIE y tras analizarlos informaremos indicando lo que eran y la utilidad que hagamos de eliminacion
saludos
ms, 29-10-2005
Y no, los virus no entran en el Bios, todo lo mas lo sobreescriben con basura como el CIH los 26 de Abril
Y con un FDISK /MBR + un FDISK ->borrar particion y luego Fdisk -> crear particion y formateo de cada una, además de luego instalar el windows, del disco duro anterior no queda ningun virus, si acaso de los que le pongas por estar en las aplicaciones que utilices para el proceso...
Si dice que tienes los ficheros que las claves indicas FILE MISSING, has dado en el clavo !
Arranca en modo seguro y mira si los puedes mover a un disquete o a otra carpeta de disco duro, y si no, en modo seguro con solo simbolo de sistema, desde DOS, y en el peor de los casos arranca con el CD de instaacion y pulsa R para entrar en consola de recuperacion, y asi seguro!
Reinicias, borras las claves y nos envias los ficheros en cuestion a
saludos
ms, 29-10-2005
Última edición por msc hotline sat el 30 Oct 2005, 10:30, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Muchas gracias por toda la info , y tu tiempo , asi da gusto , el ordenador de momento no me ha vuelto a congelar la imagen aunque es un poco pronto para decir que el problema ha desaparecido , pero si intento reiniciar o apagar el ordenador , nada se queda con la pantalla de : windows se esta cerrando y tengo que apagarlo manualmente.
Ahora mismo te mando los archivo para que le eches un vistazo , en principio los archivos pertenecen a los drivers de una tarjeta wireless y a una aplicacion 3d mas concretamente alias maya.
Gracias de nuevo y un saludo
Ahora mismo te mando los archivo para que le eches un vistazo , en principio los archivos pertenecen a los drivers de una tarjeta wireless y a una aplicacion 3d mas concretamente alias maya.
Gracias de nuevo y un saludo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues estos ficheros o no estaban donde los buscaban las claves o tienen algo mas que los drivers que indicas...
Los analizaremos el miercoles en cuanto los recibamos (en SATINFO hacemos puente mañana), pero mientras arranca en modo seguro y lanza un scandisk o Comprobar Errores, pues que no se apague puede ser de cualquier proceso que no se pueda terminar)
saludos
ms, 30-10-2005
Los analizaremos el miercoles en cuanto los recibamos (en SATINFO hacemos puente mañana), pero mientras arranca en modo seguro y lanza un scandisk o Comprobar Errores, pues que no se apague puede ser de cualquier proceso que no se pueda terminar)
saludos
ms, 30-10-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Analizados los ficheros recibidos, vemos que corresponden a un paquete de dricers de CISCO posiblemente de un router de voz y wireless, que al ser residentes pueden colisionar con otras aplicaciones y provocarle los problemas, pero no porque sean malwares, sono por quedar residentes.
Resumiendo, no son nalwaresm y so le molestan puede mirar de moverlas a otra carpeta y tras apagar la maquina, ver si en el proximo inicio le persisten los problemas, para saber a que atenerse.
Luego, si le hacen falta, vuelva a moverlas a la carpeta original
Y ya com esto damos por finalizado el Tema, y si desea seguir sobre estos ficheros, puede hacerlo posteando un nuevo Tema en el apartado de Problemas con el Software.
saludos
ms, 3-11-2005
Resumiendo, no son nalwaresm y so le molestan puede mirar de moverlas a otra carpeta y tras apagar la maquina, ver si en el proximo inicio le persisten los problemas, para saber a que atenerse.
Luego, si le hacen falta, vuelva a moverlas a la carpeta original
Y ya com esto damos por finalizado el Tema, y si desea seguir sobre estos ficheros, puede hacerlo posteando un nuevo Tema en el apartado de Problemas con el Software.
saludos
ms, 3-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online