Virus: icono junto al reloj que cambia de color(SOLUCIONADO)

[fherbus]

Hola, aparecio un icono junto al reloj que cambia de circulo cerrado (raya en la mitad) de color rojo a circulo con signo de pregunta azul. Al pulsar sobre el sele un mensaje de fondo gris on filos rojos con un mensaje qie comienza con "Your computer is infected! System detected virus activities...." y al dar clic sobre este mensaje me envia a la siguiente dirección: http://www.spywarequake.com/?aff=251. Les pido ayuda ya que es muy molesto este mensaje. Aqui esta mi log de HijackThis:



Logfile of HijackThis v1.99.1

Scan saved at 21:33:58, on 14/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft Encarta\Biblioteca de Consulta Encarta 2005\EDICT.EXE

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUNOTIFY.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\DAP\DAP.EXE

C:\Archivos de programa\HJT\HijackThis.exe



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [f1caf8b4.exe] C:\Documents and Settings\Ale\Configuración local\Datos de programa\f1caf8b4.exe

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winprq32 - C:\WINDOWS\SYSTEM32\winprq32.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe





Muchas gracias de antemano por la pronta ayuda

[msc hotline sat]

El SPYWAREQUAKE es un viejo conocido, aunque van apareciendo a menudo variantes que hemos de ir controlando.



Pruebe el ELISTARA y si kle indica envuiar muestras, env¡enoslas, pero probablemente ya sea de los que controlamos y eliminamos:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Aparte, tienes instalado el Antivir de AVIRA y el Norton de SYMANTEC, y no debe haber mas de uno, desinstala el otro





Luego elimina estas claves:



O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll



O4 - HKCU\..\Run: [f1caf8b4.exe] C:\Documents and Settings\Ale\Configuración local\Datos de programa\f1caf8b4.exe



O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE



Tras ello reinicia y nos comenta el resultado, gracias



saludos



ms, 15-6-2006

[fherbus]

Gracias por responder, segui sus pasos pero nada sigue ese molesto mensaje. Baje el programa ELISTARA que me recomendaron, lo hize correr pero se me quedo en el mensaje "restaurando el registro", paso meda hora y nada seguia ese mensaje. Al reiniciar se creo un archivo de texto con el siguiente mensaje:





Thu Jun 15 17:30:04 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINPRQ32]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\WINPRQ32.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\Documents and Settings\Ale\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).

Eliminada Class, "{BD2572C3-91F3-D764-96F0-7518D05E9428}" -> NULL1



Thu Jun 15 17:35:52 2006

EliStartPage v11.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WINPRQ32] -> C:\WINDOWS\SYSTEM32\WINPRQ32.DLL

C:\WINDOWS\SYSTEM32\WINPRQ32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR





Ahora este es el nuevo log:



Logfile of HijackThis v1.99.1

Scan saved at 18:38:20, on 15/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUNOTIFY.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

d:\Ale\fher\Software\EliStarA.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\HJT\HijackThis.exe



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winprq32 - winprq32.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe



Con respecto a los antivirus, cual de los dos me aconseja desinstalar.



Gracias por su ayuda

[msc hotline sat]

Remata la faena eliminando esta clave, que no sé porqué no la borró el ELISTARA, si dijo que lo hacía ??? debió crearse de nuevo por estar el proceso residente ...:



O20 - Winlogon Notify: winprq32 - winprq32.dll (file missing)



y sobre cual desinstalar, el que menos te guste, los dos son parecidos en cuanto a seguridad.



Tras hacer lo indicado, reinciia y cuentanos si persiste algun probvlema, gracias



saludos



ms, 16-6-2006

[fherbus]

Disculpa el abuso, pero nada sigue el molesto icono con el mensaje. Este es el nuevo log:



Logfile of HijackThis v1.99.1

Scan saved at 22:52:43, on 15/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HJT\HijackThis.exe



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe



Te agradezco muchisimo la ayuda que me estas dando.

[msc hotline sat]

Pues elimina esta clave, es ya la unica que puede ser del log posteado:



O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123



Y, tras reiniciar, nos comentas el resultado, gracias



saludos



ms, 16.6.2006

[msc hotline sat]

Efectivamente, hemos descargado el .cab de este acceso y resulta contener un Downloader-EV ya detectado por McAfee, que salta al descargarlo, por lo que seguro que es bicho y se si`ppne que al eliminar dicha clave se solucionará el problema



Comentenos el resultado de todos modos, gracias



saludpos



ms, 16-6-2006

[fherbus]

Disculpa nuevamente, te cuento que nada. este es el nuevo log:



Logfile of HijackThis v1.99.1

Scan saved at 7:15:02, on 16/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HJT\HijackThis.exe



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe



Gracias nuevamente por la ayuda que me estan dando.

[msc hotline sat]

Oyes el log del HJT aparece limpio...



Posteanoslo arrancando en modo seguro por si hubiera algun rootkit que nos escondiera cñaves, procesos y ficheros maliciosos al estar en uso.



Lo analizaremos de nuevo y espero encontremos algo



saludos



ms, 16-6-2006

[msc hotline sat]

Diosssss!!!



Al buscar cinco pies al gato se los he encontrado !!!





Venga ya hombre, que tienes el Norton y el ANTIVIR simultaneos !!!



Desinstala uno que no debe haber mas que uno por las colisiones, como ya hemos dicho muchas veces !!!



Bueno, aparte, despues de desinstalar el antivirus de sobras, posteanos el log del HJT pero arrancando en modo seguro, y dinos si tras dicha desinstalacion persiste el problema !



saludos



ms, 16-6-2006



nota : Y no será que no haya pasado veces por estas claves... :oops:

[fherbus]

Imaginate... tu buscando cinco pies al gato y yo más perdido que Adán en el día de las madres.



Segui tu consejo y desinstale el norton, pero sigue ese molesto icono con el mensaje, este es el log en modo seguro:



Logfile of HijackThis v1.99.1

Scan saved at 19:46:15, on 16/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: SAVScan - Unknown owner - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe (file missing)



Muchas gracias por la mano que me estas dando

[msc hotline sat]

Hay novedades !!!



Elimina esta clave que no aparecia antes:



R3 - Default URLSearchHook is missing



y esta otra tambien, que es un resto de Norton:





O23 - Service: SAVScan - Unknown owner - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe (file missing)



Si es necesario, arranca para ello en modo seguro, y comprueba tu mismo con el HJT que tras reiniciar el log del HJT ya no las contenga, y nos comentas el resultado, gracias





saludos



ms, 17-6-2006

[fherbus]

Te cuento nada que ver. Me ingrese el registro y encontre algunos con "URLSearchHook", son normales estas entradas o debo eliminarlas, igual con algunas de norton. Al desinstalar el norton me doy cuenta de unos iconos que hay en el menu inicio: "Security Troubleshooting" como URL http://freetestonline.net/, y Online Security Guide http://onlinesecuritysolution.net/. Este es el nuevo log en modo seguro:



Logfile of HijackThis v1.99.1

Scan saved at 13:25:15, on 18/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)



Gracias por tu paciencia y ayuda.

[msc hotline sat]

Felicidades !!! su log ya está limpio.



Sobre las claves, las que hay deben estar



Confirmenos que ya no persista ningun problema para poder considerar solucionado el tema



saludos



ms, 20-6-2006

[fherbus]

Persiste el proble, sigue ese icono junto al reloj con ese molesto mensaje

[msc hotline sat]

Pues olvide el HJT y pruebe dia a dia las nuevas versiones del ELISTARA, qiue tarde o temprano caerá !



saludos



ms, 21-6-2006

[MAGO OSCURO]

pq no pones una imagen del icono para dar una idea de lo que es.

[fherbus]

Estos son los iconos y mensaje

[msc hotline sat]

Sí. son los típicos "FAKE ALERT" con los que hacen picar a los incautos para que compren productos que publicitan con ello.



Ya hay muchos de controlados, Spy Sheriif, Spy Axe. Winfixer, Spy Gold, Spy Guard etc, los cuales utilizan varios medios para lanzar estos falsos mensajes y presentar los iconos, estos yltimos generalmente a traves de DLL, pero adivirnar cuales es la cuestion.



Sigue probando las nuevas versiones del ELISTARA, que tarde o temprano caerá...



Si quieres probar antivirus ONLINE, si alguno te detectara algo, dinoslo para obrar en consecuencia:







· [url=http://es.mcafee.com/root/mfs/default.asp][b]Antivirus Online McAfee[/b][/url]

· [url=http://www.bitdefender-es.com/scan8/ie.html][b]Antivirus Online Bitdefender[/b][/url]

· [url=http://www.pandasoftware.es/activescan/es/activescan_principal.htm][b]Antivirus Online Panda Software[/b][/url]

· [url=http://www.commandondemand.com/eval/index.cfm][b]Antivirus Online Command on demand[/b][/url]

· [url=http://security.symantec.com/sscv6/default.asp][b]Antivirus Online Symantec[/b][/url]

· [url=http://www.freedom.net/viruscenter/index.html][b]Antivirus Online Freedom[/b][/url]

· [url=http://www.ravantivirus.com/scan/][b]Antivirus Online RAV Antivirus[/b][/url]

· [url=http://es.trendmicro-europe.com/enterprise/products/housecall_launch.php][b]Antivirus Online Trend Micro[/b][/url]

· [url=https://www.eset.es/analisis-online/][b]Antivirus Online Computer Associates[/b][/url]

· [url=http://www2.globalhauri.com/html/onlineservice/livecall_service.html][b]Antivirus Online Hauri[/b][/url]





O con antispywares, desde Spybot y Adaware, hasta el ewido.



A ver si hay suerte



saludos



ms, 21-6-2006

[fherbus]

Analice con ActiveScan de Panda Online y arrojo este resultado:





Incidencia

Estado

Elemento



Adware:adware/searchaid

No desinfectado

c:\windows\system32\sdkrq32.exe



Adware:adware/spywarequake

No desinfectado

c:\windows\system32\1024\ld4AE8.tmp



Herramienta potencialmente no deseada:application/regclean32

No desinfectado

c:\archivos de programa\Registry Cleaner Trial



Adware:adware/powerstrip

No desinfectado

Registro de Windows



Herramienta potencialmente no deseada:Application/RegClean32

No desinfectado

C:\Archivos de programa\Registry Cleaner Trial\regclean.dll





Espero su respuesta y ayuda gracias por todo

[**(FuLgoRe)**]

primero Descarga estas herramientas

[url=http://www.hoverdesk.net/freeware.htm][b]RegSeeker[/b][/url]

[url=http://www.filehippo.com/download_ccleaner/][b]Ccleaner[/b][/url]

[url=http://pocket-killbox.softonic.com/ie/46370][b]KillBox[/b][/url]

:arrow: Desabilita Restaurar Sistema

:arrow: ver [url=http://office.microsoft.com/es-es/assistance/hp051955243082.aspx][b]Archivos Ocultos[/b][/url]

:arrow: entra a [url=http://www.configurarequipos.com/doc250.html][b]Modo Seguro[/b][/url]



Elimina manualmente estos archivos , si no se pueden eliminar utiliza [b]KillBox[/b]



TuTorial

[color=green]Eliminar archivos utilizando KillBox[/color]

Para eliminar tanto librerías .DLL, .EXE u otros archivos que no se dejen eliminar normalmente, vamos a utilizar una herramienta llamada KillBox.

Iniciar el [b]KillBox.exe[/b] y seleccionar la opción [color=green][b] "Delete on reboot"[/b][/color] (Eliminar al reiniciar).

En el recuadro etiquetado como [color=green][b] "Full path of file to delete"[/b][/color] (Ruta completa del archivo a eliminar).



Ahi poner el nombre del archivo que queremos eliminar y la ruta de donde se encuentra por ej: si queremos eliminar el archivo Bad.dll y se encuentra en la carpeta System32 ponemos:



[color=red][b]C:\WINDOWS\System32\Bad.dll[/b][/color]



Luego pulsar el botón que parece un circulo rojo con una X blanca. Cuando pregunte si se quiere reiniciar ahora [color=green]("Reboot now"),[/color] ponerle que [b]Yes[/b] (SI) .



Si tenemos mas de un archivo para eliminar le ponemos que NO a reinicia y repetimos los procesos para luego si ponerle que reinicie y ahi eliminara estos archivos.



repito,busca e elimina estos archivos si no se pueden eliminar utiliza [b]KillBox[/b]



[color=red]c:\windows\system32\sdkrq32.exe[/color]

[color=red]c:\windows\system32\1024\ld4AE8.tmp [/color]



anda a Agregar o quitar Programas y desintala estos programas



[b]RegClean32 [/b]



y elimina este archivo y todo su contenido

[color=red]C:\Archivos de programa\Registry Cleaner Trial[/color]



luego sin reinicias el pc



limpia el pc con [b]Ccleaner[/b]

limpia el registro con [b]RegSeeker[/b]



despues de hecho todo eso reinicias el pc normalmente



salu2

[msc hotline sat]

Mas que eliminar los dos ficheros indicados por Panda. conviene que nos los envies a zonavirus@satinfo.es para poder controlarlos en la proxima version del ELISTARA



c:\windows\system32\sdkrq32.exe



c:\windows\system32\1024\ld4AE8.tmp



Para ello anexalos a un mail o haz de ello un ZIP con password VIRUS y nos anexas este indicando en el mail como referencia "REF searchaid" y tras analizarlos implementaremos , si procede, la eliminacion de claves y ficheros vinculados, en la proxima version del ELISTARA para facilitar su eliminacion a todos los que se encuentren con dicho problema, como hacemos con todas las muestras recibidas.



Se agradece la buena intencion de **(FuLgoRe)** copiando instrucciones típicas de otros foros, pero se le recomienda vea la politica de este foro y se abstenga de dar instrucciones contrarias al interes de envio de muestras, ya que eliminando los ficheros no sirve para los intereses de este foro, que ademas de solucionar los problemas planteados, dispone de un servicio de analisis de muestras y desarrollo de utilidades para evaluar, exclusivo de este foro, que permite mejorar las utilidades y facilitar comodamente la eliminacion de los malwares, controlando cada día los reportados



saludos



ms, 25-6-2006

[fherbus]

Les pido mil disculpas por no haber leido d quien venia ese mensaje, pero ya segui esos pasos y sigue el problema. Nuevamente pase por el panda online y me arrojo este otro resultado:



Incidencia

Estado

Elemento



Adware:adware/searchaid

No desinfectado

c:\windows\crtp32.exe



Herramienta potencialmente no deseada:application/regclean32

No desinfectado

C:\Documents and Settings\Ale\Datos de programa\Registry Cleaner



Adware:adware/powerstrip

No desinfectado

Registro de Windows



Pero ahora si les envio via email ese archivo para que lo analisen, nuevamente les pido mil disculpas y muchas gracias por la ayuda que me estan dando.



PD: Este es el ultimo lag en modo seguro:



Logfile of HijackThis v1.99.1

Scan saved at 14:13:20, on 02/01/2003

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://adserver.sharewareonline.com/adserver/uninstallregclean

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

[msc hotline sat]

Su log esta limpio.



Quedamos pendientes de los ficheros



saludos



ms, 25-6-2006

[msc hotline sat]

Lamentablemente hemos recibido un ZIP en el que los EXE que contenía estaban a 0 bytes, con lo cual, si no hay donde mirar, no hay nada que poder hacer.



Mire si los ficheros antes de empaquetar son de 0 bytes o tienen contenido, y en el segundo caso repita la operacion. gracias.



Si ya antes son de 0 bytes, no hace falta que los empaquete ni lo envie, se ha perdido la informacion.



Pero espero que tengan tamaño. Enm tal caso, desactive el antivirus y proceda como ya sabe.



saludos



ms, 26-6-2006

[fherbus]

Lastimosamente ya borre ese archivo, pero nuevamente le pase el panda online y mcafee online y me dieron los siguientes resultados:



Panda Online:

Incidencia Estado Elemento



Adware:Adware/SpywareQuake

No desinfectado

C:\WINDOWS\system32\erxbx.dll



Adware:adware/searchaid No desinfectado c:\windows\sdkbe32.exe Herramienta potencialmente no deseada:application/regclean32

No desinfectado

hkey_current_user\software\Registry Cleaner

Adware:adware/powerstrip

No desinfectado

Registro de Windows





McAfee Online:



C:\RECYCLER\...\Dc11.url Adware-Url.gen

C:\WINDOWS\system32\



P.D: Les envio estos archivos adjuntos por correo.



Gracias por la ayuda

[msc hotline sat]

Se recuerda que todas las muestras que se envien al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias



saludos



ms, 4-7-2006

[msc hotline sat]

Subida la nuieva version 12.01 del ELISTARA:



https://foros.zonavirus.com/viewtopic.php?p=61198#61198



SALUDOS



MS, 4-7-2006

[fherbus]

Gracias por toda la ayuda brindada, les informo que ya desaparecio ese molesto virus. Nuevamente gracias por todo

[msc hotline sat]

Pues lo celebnramos, y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 9-7-2006