problema *

[mindtram]

desde hace dos dias el ordenador se me reinicia en cualquier momento.PAso el antivirus y nnca lo termina pues se reinicia.He pasado el elistara y me dice que mande un archivo llamado atmtd.dll ¿lo mando?

[msc hotline sat]

Envianoslo a zonavirus@satinfo.es anexado a un mail en el que el texto indiques referencia REF ATMTD y lo examinaremos e informaremos a l respecto



Pero no es probable que sea lo que te causa los reinicios.



Mira temperatura de CPU con el AIDA32, en Ordendor -> Sensor y nos la indicas:



_________



AIDA32 (EVEREST)





http://www.zonavirus.com/datos/descargas/28/EVEREST_Home_Edition.asp



_________



aparte, comprueba que el enchufe a la corriente eléctrica esté bien sujeto, sin falsos contactos, y qie sea en un sector donde no haya caudas de tension, ni microcortes.



Aparte de ello, las memorias tambien pueden causar problemas de reinicios, pero antes miremos todo lo demas, y la temperatura es lo primero !



saludos



ms, 22-3-2006

[mindtram]

me pone temperatura placa base 32ºC y procesador 31ºC.¿mando elinforme completo?

[msc hotline sat]

nO, NO TIENE FIEBRE :lol: :lol: :lol: !



Por debajo de los 50 ºC no hay problema.



Entonces mira vien lo de la corriente electrica, y si tienes otros ordenadores dinos si te pasa en algun otro, aunquie hay máquinas que son mas sensibles que otras, y las subidas y bajadas de tension lo acusan mas, asi como los microcortes



Tambiem podrias ir mirandom si tienes otras maquinas similares para poderekles intercambiar la memoria, por si fuera el caso, poder constatarlo



Y cuando recibamos el fichero en cuestion,. lo analizaremos aunque sea menos probable...



saludos



ms, 22-3-2006

[mindtram]

cuando se reinicia me sale una pantalla azul de volcado dememoria y me dice que el que origino el error es el archivo AavmKer4.sys busco este archivoy me salen 3 iguales pero de distinta capacidad y elnombre varia,donde hay mayusculas en el otro no hay.Dos ocupan los mismos ks y elotro no.Pero ninguno es exactamente igual.¿que hago?

[msc hotline sat]

Posiblemente sea por problema de los chips de memoria. Haga lo indicado en mi post anterior



saludos



ms, 23-3-2006

[mindtram]

he vuelto a pasar el elistara y me pide que envie otro archivo que ya he mandado

[msc hotline sat]

Pues hazlo y tras examinarlop, si procvede, lo implementaremos en la proxima version



saludos



ms, 23.3.2006

[msc hotline sat]

Recibidas las dos muestras.



La primera no es operativa, quizas corrupta o dañada, pero no funciona, asi que se prescinde de ella



La segunda sí que es malware. Ya McAfee detecta en ella un spyware Webhancer y pasamos a implementar su control y eliminacion en la proxima version del ELISTARA, que estamos haciendo hoy, la 11.40



De todas formas no es probable que sea causa de reinicios...



Tan pronto esté terminada la subiremos a esta web para que puedas probarla y nos comentes el resultado



saludos



ms, 24-3-2006

[msc hotline sat]

Al respecto de esta muestra, anexo resultado del,escaneo de VIRUSTOTAL:


[quote="VIRUSTOTAL"]Este es el resultado de analizar el archivo "Whiehlpr.dll" que VirusTotal ha procesado el dia 24/03/2006 a las 11:20:33 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.34.0.14 24.03.2006 ADSPY/WebHancer.2

Avast 4.6.695.0 23.03.2006 no ha encontrado virus

AVG 386 23.03.2006 Adware Generic.GAG

Avira 6.34.0.54 24.03.2006 ADSPY/WebHancer.2

BitDefender 7.2 24.03.2006 Adware.Webhancer.M

CAT-QuickHeal 8.00 23.03.2006 AdWare.WebHancer.381 (Not a Virus)

ClamAV devel-20060126 23.03.2006 no ha encontrado virus

DrWeb 4.33 24.03.2006 no ha encontrado virus

eTrust-InoculateIT 23.71.110 23.03.2006 no ha encontrado virus

eTrust-Vet 12.4.2133 24.03.2006 no ha encontrado virus

Ewido 3.5 24.03.2006 Adware.WebHancer

Fortinet 2.71.0.0 24.03.2006 Adware/WebHancer

F-Prot 3.16c 23.03.2006 no ha encontrado virus

Ikarus 0.2.59.0 23.03.2006 AdWare.WebHancer.381

Kaspersky 4.0.2.24 24.03.2006 not-a-virus:AdWare.Win32.WebHancer.381

McAfee 4725 23.03.2006 potentially unwanted program Spyware-WebHancer

NOD32v2 1.1456 23.03.2006 no ha encontrado virus

Norman 5.70.10 23.03.2006 W32/Agent.IZO

Panda 9.0.0.4 24.03.2006 Adware/WebHancer

Sophos 4.03.0 24.03.2006 no ha encontrado virus

Symantec 8.0 24.03.2006 no ha encontrado virus

TheHacker 5.9.7.119 24.03.2006 Adware/WebHancer.381

UNA 1.83 23.03.2006 Adware.WebHancer.381

VBA32 3.10.5 23.03.2006 AdWare.Win32.WebHancer.381







VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.[/quote]

La mayoria de antivirus lo detectan, pero algunos, como AVAST, DrWeb, NOD, Sophos, entre otros, no. Cuandpo nos informe del resultado del ELISTARA, comentenos el antivirus que usa, para constatar los hechos, gracias



Con la utilidad ELISTARA 10.40 esta tarde podrá eliminar ficheros fijos, claves, class, carpetas especificas y los ficheros en los que se detecte el control por cadenas



saludos



ms, 24-3-2006

[mindtram]

tambien me pasa otra cosa.cuando enciendo el ordenador se conecta internet directamente sin acerlo yo.y el avest me detecta un monton de bichillos que me los manda al baul hasta que llega uno que dice que no puede acceder a el porque lo esta usando otro.De todas formas esto pasa siempre que reinicio.No entiendo como puede meterse tanta basura si tengo el avast,que me detecta todo.

[msc hotline sat]

Así que usa el AVAST, pues ya ve que no lo controla, como le indicamos en mi post anterior



Además los antivirus muchas veces no son suficientes para controlar los spywares



Recuerde:





[url=http://foros.zonavirus.com/viewtopic.php?p=52059#52059][b]NAVEGA PROTEGIDO[/b][/url]





Si tiene algun problema en la deteccion o eliminacion de alguno, comentenoslo especificamente, gracias



saludos



ms, 24-3-2006



[b]NOTA: Y RECUERDA [/b]



https://foros.zonavirus.com/viewtopic.php?t=1307

[msc hotline sat]

Disponible nuevo ELISTARA.EXE para control y eliminacion de la variante que nos ha enviado con la muestra.



https://foros.zonavirus.com/viewtopic.php?t=11114&highlight=



Tras descargarlo y probarlo, comentenos los resultados, gracias



saludos



ms, 24-3-2006

[mindtram]

sigo teniendo muchos problemas.Al reiniciar sigue conectandose directamente a internet.Mando unos archivos que cada vaz que reinicio los detecta y los mando al baul,pero al reiniciar vuelven a salir los mismos.Tiene que haber algo que los genere

[msc hotline sat]

Dos cosas: Con el bloc de notas, abres el fichero C:\infosat.txt lo seleccionas todo (ALT-E) lo copias (ALT-C) u nos lo pegas en tu proximo post (ALT-V), asi verenos lo que ha detectado la 11.40 del ELISTARA y lo que ja hecho en consecuencia.



Aparte, tras ello analizaremos el log del HJT que nos postees de la siguiente forma:





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]







saludos



ms, 26-3-2006

[mindtram]

Wed Feb 22 17:34:07 2006

EliTriIP v1.90 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "WINDOWSZ")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rwnt.exe

a "virus@satinfo.es". Gracias.



Wed Feb 22 18:13:32 2006

EliTriIP v1.90 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\mandar\rwnt.exe --> Eliminado, SdBot.worm.gen.H



Wed Feb 22 18:15:03 2006

EliStartPage v11.21 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE



Wed Feb 22 18:15:21 2006

EliStartPage v11.21 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Thu Feb 23 19:19:31 2006

EliTriIP v1.92 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado



Thu Feb 23 19:20:09 2006

EliTriIP v1.92 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\virus\icom.exe --> Eliminado, SdBot.worm.gen



Thu Feb 23 19:22:10 2006

EliStartPage v11.22 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sat Feb 25 16:08:04 2006

EliStartPage v11.22 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 01 21:29:24 2006

EliStartPage v11.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 01 21:30:35 2006

EliStartPage v11.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Tue Mar 21 20:26:08 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\ATMTD.DLL.Muestra EliStartPage v11.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ATMTD.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Mar 21 20:26:21 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Wed Mar 22 21:30:05 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 22 21:30:07 2006

EliStartPage v11.36 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Thu Mar 23 19:00:04 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\KEYBOARD5.EXE --> Eliminado DCToolBar

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\WHIEHLPR.DLL.Muestra EliStartPage v11.38

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\WEBHANCER\PROGRAMS\WHIEHLPR.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "KEYBOARD"="C:\windows\keyboard5.exe"

Entrada Eliminada [HKLM\...\Run] "webHancer Agent"="C:\Archivos de programa\webHancer\Programs\whagent.exe"

Entrada Eliminada [HKLM\...\Run] "webHancer Survey Companion"="C:\Archivos de programa\webHancer\Programs\whsurvey.exe"

Eliminada Class, "{C900B400-CDFE-11D3-976A-00E02913A9E0}" -> C:\Archivos de programa\webHancer\programs\whiehlpr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Mar 23 19:00:38 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\drsmartload46a.exe --> Eliminado, DollarRevenue (dldr)

C:\\WHCC2.exe --> AutoExtraible

C:\\WinFrgn.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Fri Mar 24 09:49:20 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 24 09:49:23 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\\WHCC2.exe --> AutoExtraible

C:\\WinFrgn.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Fri Mar 24 11:17:17 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 24 11:17:20 2006

EliStartPage v11.38 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\\WHCC2.exe --> AutoExtraible

C:\\WinFrgn.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Fri Mar 24 22:33:55 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 24 22:33:59 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\drsmartload46a.exe --> Eliminado, DollarRevenue (dldr)

C:\\WHCC2.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Archivos de programa\webHancer\Programs\whiehlpr.dll.VIR --> Eliminado, WebHancer

C:\Documents and Settings\yolanda\Escritorio\WHIEHLPR.DLL.Muestra EliStartPage v11.38 --> Eliminado, WebHancer

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible

C:\RECYCLER\S-1-5-21-746137067-1682526488-1957994488-1003\Dc1.exe --> AutoExtraible

C:\WINDOWS\keyboard5.exe --> Eliminado, DCToolBar



Sat Mar 25 01:13:00 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\KEYBOARD5.EXE --> Eliminado DCToolBar

Entrada Eliminada [HKLM\...\Run] "KEYBOARD"="c:\windows\keyboard5.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 25 01:13:07 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Sat Mar 25 14:29:31 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\KEYBOARD5.EXE --> Eliminado DCToolBar

C:\ARCHIVOS DE PROGRAMA\WEBHANCER\PROGRAMS\WHIEHLPR.DLL --> WebHancer Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "KEYBOARD"="c:\windows\keyboard5.exe"

Entrada Eliminada [HKLM\...\Run] "webHancer Agent"="C:\Archivos de programa\webHancer\Programs\whagent.exe"

Entrada Eliminada [HKLM\...\Run] "webHancer Survey Companion"="C:\Archivos de programa\webHancer\Programs\whsurvey.exe"

Eliminada Class, "{C900B400-CDFE-11D3-976A-00E02913A9E0}" -> C:\Archivos de programa\webHancer\programs\whiehlpr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 25 14:29:37 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\drsmartload46a.exe --> Eliminado, DollarRevenue (dldr)

C:\\WHCC2.exe --> AutoExtraible

C:\\WinFrgn.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible



Sat Mar 25 14:51:45 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 25 14:51:47 2006

EliStartPage v11.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\DR140306.exe --> AutoExtraible

C:\\WHCC2.exe --> AutoExtraible

C:\\WinFrgn.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\haali\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Matroska Pack\provo\MatroskaSplitter.exe --> AutoExtraible

C:\Archivos de programa\webHancer\Programs\whiehlpr.dll.VIR --> Eliminado, WebHancer

C:\Documents and Settings\yolanda\Mis documentos\Matroska.Pack.-.Lite.[22-03-2005].exe --> AutoExtraible

y ahora el hjk

Logfile of HijackThis v1.99.1

Scan saved at 21:49:32, on 26/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Network Monitor\netmon.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\windows\mousepad5.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Documents and Settings\yolanda\Mis documentos\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname5.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad5.exe

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard5.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140610004396

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{46246E6C-9594-49E7-B619-AC46E990B164}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

[msc hotline sat]

Lo primero es actualizar los parches de microsoft. Faltan todos los del SP2 y posteriores, Lanza un windowsupdate !!!





Luego arranca en modo seguro, lanza el HJT marca estas claves y eliminalas con FIX:





O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll (file missing)



O10 - Hijacked Internet access by WebHancer



O10 - Hijacked Internet access by WebHancer



O10 - Hijacked Internet access by WebHancer



O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)



O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)



O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



O23 - Service: Microsoft Dynamic Network (MDNetwork) - Unknown owner - C:\WINDOWS\system32\MDN.exe (file missing)



O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)







este fichero puede ser malware, enviarnoslo para su analisis:



C:\windows\mousepad5.exe


[quote="en Internet se"]
C:\windows\mousepad5.exe <--- delete any files using the starting with the text mousepad and ending in .exe (like mousepad1.exe, mousepad2.exe...et

c)



http://fileinfo.prevx.com/fileinfo.asp?PXC=f2f615233296-MOUS12282509
[/quote]

y lo mismo con estos otros, por lo que de entrada mover los tres ficheros a una carpeta de cuarentena, reiniciar y enviarnmos los tres ficheros anexados a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiques como referencia "REF MOUSE$"



O4 - HKLM\..\Run: [newname] C:\windows\newname5.exe



O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad5.exe



O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard5.exe





Tras recibirlos, los examinaremos e implementaremos su control y eliminacio, si es el caso, tamto de claves como de ficheros, en nuevas versiuones de nuestras utilidades, de lo cual informaremos.







Vemos por otra parte que tiene el Webhancer, del que ya eliminamos claves, pero para el que ademas convendría lanzar el ELISTARA arrancando en modo seguro:



elistara.exe:

http://www.zonavirus.com/descargas/elistara.asp



y tras reiniciar nos cuentas el resultado, gracias



saludos



ms, 27-3-2006

[msc hotline sat]

Hemos recibido con referencia a este Tema muestra de Agentsvr.exe que no hemos solicitado. A qué se debe su envio ???



La informacion de dicho fichero no tiene relacion con malwares:



http://www.auditmypc.com/process/agentsvr.asp



Dinos quien o qué te ha notivado enviarlo, pues no sabemos a qué se debe, gracias



Sobre los otros tres ficheros que te pedíamos nos enviaras, mousepad5.exe, keyboard5.exe, etc, no hemos recibido nada. Los has enviado ???



saludos



ms, 27-3-2006

[mindtram]

ya no se conecta solo.Algo he mejorado.Lo delsp2 no tengo muy claro querer instalarlo.ahora aparte del avasttambien he instalado zone alarm

[msc hotline sat]

Mira yolanda, a estas alturas no nos vengas con esto ! Ya se te ha indicado repetidamente en anteriores Temas! lanza un windoswupdate !!!



Y contesta las preguntas que te hacemos en el ultimo post, gracias.



saludos



ms. 28-3-2006