Bueno, la cosa comenzó con el Freeprod, que se instalaba solo y para evitarlo solo podía hacerlo con ctrl+alt+supr. No siempre podía hacerlo ya que ejecutaba un juego que no me dejaba hacerlo.
El Freeprod creo que se ejecutaba a raiz de una entrada de system32, que ahora lo tengo inhabilitado con el msconfig. Se instalaba el freeprod, varios mc-110-xxxx-xxx, por ahí, toolbar888, que aún en ver>barra de herramientas, system32, cosas en c: como a.exe y pequeñas variantes en el nombre.
Todas esas cosas los eliminé buscándolos con f3, ya que con el ad-aware y el spybot no podía, pero aún figura el system32 y el toolbar. Todo eso cesó por suerte, pero hay huellas aún. También al apretar ctrl+alt+supr aparecía "xx", y ahora el zonealarm me notificó del explorer.exe.
También varias veces (aún con mucho espacio en el disco duro) de repente se ponía negra, volvía a windows, pero casi todo negro se veía, y tenía que reiniciar.
También (jeje) al apagar la pc, en vez de hacerlo, quedaba todo negro y quedaba un guión bajo titilando.
No se si todo es de un mismo problema, espero que sí.
system32, freeprod, explorer, pantalla negra (SOLUCIONADO)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Tras eliminar lo detectado por antivirus y antispywares, si persisten los problenas, procede indicarnoslos y postear el log del HJT...
Veamos si no ha sido peor el remedio que la enfermedad...
Sigue las instrucciones:
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
saludos
ms, 7-3-2006
Veamos si no ha sido peor el remedio que la enfermedad...
Sigue las instrucciones:
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
saludos
ms, 7-3-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
*no es system32, es services32
Bueno, entré en modo seguro, y corrí el ad-aware, elistara, elitrip, elitiempo y spybot. Este último encontró un gif en la carpeta de Download Acelerator Plus, y lo eliminé.
Al ir a ver>barra de herramientas ya no está toolbar888. Pero al ir a msconfig services32 aún está. El comando es c:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000140.exe
Pero al a Archivos comunes, teniendo deshabilitado ocultar archivos y carpetas, no veo Windows. Y como no se eliminó services32 procedo con el hjt
Logfile of HijackThis v1.99.1
Scan saved at 03:18:41 a.m., on 07/03/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\WINLOGI.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\ZYXEL\ACCESSRUNNER ADSL USB\CNXDSLTB.EXE
C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE
C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\ARCHIV~1\FRESHD~1\FRESHD~1\FDCATCH.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\ARCHIVOS DE PROGRAMA\DAP\DAPBHO.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\ARCHIVOS DE PROGRAMA\DAP\DAPIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\ARCHIVOS DE PROGRAMA\ROLPLAY\MSDXM.OCX (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [virtual-ie] WINLOGI.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [virtual-ie] WINLOGI.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download using FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm
O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FLASHGET.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} -http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_ES.cab
O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} -http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1071.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) -http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} -http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
Bueno, entré en modo seguro, y corrí el ad-aware, elistara, elitrip, elitiempo y spybot. Este último encontró un gif en la carpeta de Download Acelerator Plus, y lo eliminé.
Al ir a ver>barra de herramientas ya no está toolbar888. Pero al ir a msconfig services32 aún está. El comando es c:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000140.exe
Pero al a Archivos comunes, teniendo deshabilitado ocultar archivos y carpetas, no veo Windows. Y como no se eliminó services32 procedo con el hjt
Logfile of HijackThis v1.99.1
Scan saved at 03:18:41 a.m., on 07/03/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\WINLOGI.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\ZYXEL\ACCESSRUNNER ADSL USB\CNXDSLTB.EXE
C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE
C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\ARCHIV~1\FRESHD~1\FRESHD~1\FDCATCH.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\ARCHIVOS DE PROGRAMA\DAP\DAPBHO.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\ARCHIVOS DE PROGRAMA\DAP\DAPIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\ARCHIVOS DE PROGRAMA\ROLPLAY\MSDXM.OCX (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [virtual-ie] WINLOGI.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [virtual-ie] WINLOGI.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download using FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_link.htm
O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIVOS DE PROGRAMA\FLASHGET\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIVOS DE PROGRAMA\FLASHGET\FLASHGET.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} -
O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} -
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) -
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Es ue el DAP es lo primero que has de eliminar !!!
Ademas tienes un bicho residente en memoria:
C:\WINDOWS\SYSTEM\WINLOGI.EXE : ENVIANOS MUESTRA DE ESTE FICHERO !!!
anexalo a un mail dirigido azonavirus@satinfo.es con la referencia REF WINLOGI y lo analizaremos y procederemos a implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos
Aparte , arranca en modo a Prueba de fallos, ya que usas aun Me (!!!), lanza el HJT y marca estas ckaves y eliminalas con FIX:
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\ARCHIV~1\FRESHD~1\FRESHD~1\FDCATCH.DLL (file missing)
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\ARCHIVOS DE PROGRAMA\DAP\DAPBHO.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\ARCHIVOS DE PROGRAMA\ROLPLAY\MSDXM.OCX (file missing)
O4 - HKLM\..\Run: [virtual-ie] WINLOGI.EXE
O4 - HKLM\..\RunServices: [virtual-ie] WINLOGI.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} -http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_ES.cab
O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} -http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1071.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) -http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} -http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
Por cierto, me extraña que nuestras utilidades no pidieran muestras de este WINLOGI.EXE como sospechoso, Posteanos el C:\INFOSAT.TXT como respuesta de este Tema, para ver el informe del mismo. gracias
Tras ello, reinicia y nos comentas el resultado.
saludos
ms, 7-3-200
Ademas tienes un bicho residente en memoria:
C:\WINDOWS\SYSTEM\WINLOGI.EXE : ENVIANOS MUESTRA DE ESTE FICHERO !!!
anexalo a un mail dirigido a
Aparte , arranca en modo a Prueba de fallos, ya que usas aun Me (!!!), lanza el HJT y marca estas ckaves y eliminalas con FIX:
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\ARCHIV~1\FRESHD~1\FRESHD~1\FDCATCH.DLL (file missing)
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\ARCHIVOS DE PROGRAMA\DAP\DAPBHO.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\ARCHIVOS DE PROGRAMA\ROLPLAY\MSDXM.OCX (file missing)
O4 - HKLM\..\Run: [virtual-ie] WINLOGI.EXE
O4 - HKLM\..\RunServices: [virtual-ie] WINLOGI.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} -
O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} -
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) -
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
Por cierto, me extraña que nuestras utilidades no pidieran muestras de este WINLOGI.EXE como sospechoso, Posteanos el C:\INFOSAT.TXT como respuesta de este Tema, para ver el informe del mismo. gracias
Tras ello, reinicia y nos comentas el resultado.
saludos
ms, 7-3-200
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
DAP eliminado (T_T)
No se cómo mandarle una muestra del fichero. Traté de mandarle el archivo pero el antivirus del correo no me dejó.
Tiene algo de malo el Me? Con el hjt procederé luego de enviar esta respuesta.
InfoSat.txt:
Mon Mar 06 14:23:14 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado
C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)
C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> Eliminado FlashGet (BHO)
Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL
Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Mar 06 14:26:19 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Mis documentos\Programitas\programas varios\StepMania 3.95 CVS (06-19-2005).exe --> AutoExtraible
C:\Mis documentos\Programitas\programas varios\CEDP4-Stealer-Setup.exe --> AutoExtraible
Tue Mar 07 02:57:51 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Mar 07 02:59:32 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Mis documentos\Programitas\programas varios\StepMania 3.95 CVS (06-19-2005).exe --> AutoExtraible
C:\Mis documentos\Programitas\programas varios\CEDP4-Stealer-Setup.exe --> AutoExtraible
No se cómo mandarle una muestra del fichero. Traté de mandarle el archivo pero el antivirus del correo no me dejó.
Tiene algo de malo el Me? Con el hjt procederé luego de enviar esta respuesta.
InfoSat.txt:
Mon Mar 06 14:23:14 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado
C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)
C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> Eliminado FlashGet (BHO)
Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL
Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}" -> C:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Mar 06 14:26:19 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Mis documentos\Programitas\programas varios\StepMania 3.95 CVS (06-19-2005).exe --> AutoExtraible
C:\Mis documentos\Programitas\programas varios\CEDP4-Stealer-Setup.exe --> AutoExtraible
Tue Mar 07 02:57:51 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Tue Mar 07 02:59:32 2006
EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Mis documentos\Programitas\programas varios\StepMania 3.95 CVS (06-19-2005).exe --> AutoExtraible
C:\Mis documentos\Programitas\programas varios\CEDP4-Stealer-Setup.exe --> AutoExtraible
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Para enviar muestras, primero desactiva tu antivirus residente, luego la empaquetas en unn ZIP con password VIRUS, y ya puedes activar el antivirus que no la detectará en el fichero ZIP, el cual podrás enviarmos conforme indicado.
Es como se envian las muestras viricas, los ZIP con password van encriptados y no los detectan los antivirus.
Sobre el Windows Me está obsoleto y abandonado de Microsoft desde hace años, como el W98
Los unicos en vigor son el W2000, el XP. el Server 2003 y la version Beta del VISTA
Con el Me no estas protegido de vulberavilidades que se van controlando con parches para otros sistemas, ya que microsoft ya no hace nada para los obsoletos.
Por esto, en cuanto puedas, debes migrar a un sistema actual !
(Ademas muchas aplicaciones nuevas ya no te iran en sistemas basados en MSDOS, como era el Me, en el que windows era un entorno grafico en un shell, pero la base era MSDOS, mientras que en XP el windows es la base y el DOS es un shell))
Y en este Infosat no aparece el informe del ELITRIIP. Es que no lo pasaste o es que borraste el informe ??? Los informes se van acumulando en dicho fichero, y a no ser que escojas solo una parte, debe aparecer todo el historico de todas nuestras utilidades que se han ejecutado...
saludos
ms, 7-3-2006
Es como se envian las muestras viricas, los ZIP con password van encriptados y no los detectan los antivirus.
Sobre el Windows Me está obsoleto y abandonado de Microsoft desde hace años, como el W98
Los unicos en vigor son el W2000, el XP. el Server 2003 y la version Beta del VISTA
Con el Me no estas protegido de vulberavilidades que se van controlando con parches para otros sistemas, ya que microsoft ya no hace nada para los obsoletos.
Por esto, en cuanto puedas, debes migrar a un sistema actual !
(Ademas muchas aplicaciones nuevas ya no te iran en sistemas basados en MSDOS, como era el Me, en el que windows era un entorno grafico en un shell, pero la base era MSDOS, mientras que en XP el windows es la base y el DOS es un shell))
Y en este Infosat no aparece el informe del ELITRIIP. Es que no lo pasaste o es que borraste el informe ??? Los informes se van acumulando en dicho fichero, y a no ser que escojas solo una parte, debe aparecer todo el historico de todas nuestras utilidades que se han ejecutado...
saludos
ms, 7-3-2006
Última edición por msc hotline sat el 07 Mar 2006, 18:57, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Claro, si las claves lanzan un fichero inexistente en la ruta que indican, ya se entiende que estñá eliminado y no se va a pedir muestra. Solo cuando se conoce y se detecta por cadenas de deteccion, la exploracion encontraría el ficheo donde estuviera, pero no es el caso porque todavía no lo contempla al no tener la muestra
Pero bien hecho, ya que asi ya no se pone en uso cuando reinicia y el virus estña aparcado, sin entrar en memoria.
Mañana lo minitorizarenis y pasarenos a controlarlo en la ytilidad corresopondiente, que ya indicaremos. (Aqui ya hemos cerrado, aunque a vosotros os queden muchas horas...)
saludos
ms, 7-3-2006
saludops
ms, 7-3-2006
Pero bien hecho, ya que asi ya no se pone en uso cuando reinicia y el virus estña aparcado, sin entrar en memoria.
Mañana lo minitorizarenis y pasarenos a controlarlo en la ytilidad corresopondiente, que ya indicaremos. (Aqui ya hemos cerrado, aunque a vosotros os queden muchas horas...)
saludos
ms, 7-3-2006
saludops
ms, 7-3-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Se ha subido a esta web la nueva version del ELITRIIP que controla el winlogi.exe por cadenas, ademas de eliminar todas las claves que modifica.
https://foros.zonavirus.com/viewtopic.php?p=52872#52872
Descargala y priebala y tras reiniciar, indicanos si
ya se han solucionado todos los problemas
saludos
ms, 8-3-2006
Descargala y priebala y tras reiniciar, indicanos si
ya se han solucionado todos los problemas
saludos
ms, 8-3-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema
saludos
ms 9-3-2006
saludos
ms 9-3-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online