Bugbear???? y doble acento (SOLUCIONADO)

[yosi666]

Muy buenas, tengo el dichoso problemita del doble acento (maldici´´on) y tras haber probado y leido un monton d foros y soluciones a mi problema me he decidido a escribir ya que no se resuelve.

En un primer momento le pase la herramienta de panda pqremover, me detecto el bugbear y pense que todo estaba arreglado. Para nada, ahi seguia el problema.

Me fui al modo a prueba de fallos, le pase el antivirus avg que es el que tengo, el adaware, el regcleaner, el spybot y el ccleaner ademas de varias herramientas para eliminar los virus bugbear y badtrans.

Alguna otra idea????

Much´´isimas gracias

[novatillo]

Pasa este av online



https://www.eset.es/analisis-online/



Hazlo en modo seguro con funciones de red y nos cuentas el resultado.





Saludos.

[msc hotline sat]

Aparte de notarlo cuando estan residentes algunos virus, spywares y KEYLOGGERS, es un bug de programacion debido a que en ingles no se usan estos acentos. por lo que se lo puede producir alguna aplicacion residente instalada

viewtopic.php?f=5&t=13025

Vea los residentes y prescinda de algunos no imprescindibles. y vea que arracando en modo seguro no le pasa

Pero nos sorprende que tuviera un virus como el BUGBEAR y no lo detectara tu antivrus residente, por lo que pensamos que pudiera ser una variante mal controlada y que dejara restos

Mire de localizar al residente que lo causa y nos lo envia y lo analizaremos:

PERO PODRIA SER UN KEYLOGGER NO CONTROLADO !!!

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias




Saludos

ms, 24-8-2006

[yosi666]

con el escaner online me dijo q nada.

para ver los residentes y despues d leer el post q m envian le paso el hjt y les envio los resultados?

[msc hotline sat]

Si quieres enviar el log del HJT, sigue lo indicado:

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis



Pero es desactivando algunos de los residentes que tienes como podrás saber el que te lo causa

saludos

ms. 25-8-2006

[yosi666]

entonces l paso el hjt y os mando el log o lo pego en algun post?

y como hago lo d los residentes?

muchas gracias x la ayuda, llevo varios dias sin poder escribir documentos x el dichoso virus

[yosi666]

ahi va el log, y como hago lo d los residentes?
Logfile of HijackThis v1.99.1
Scan saved at 10:13:35, on 25/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe
C:\WINDOWS\Mixer.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\windows\hffext\hffsrv.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\El Punto\Mis documentos\Miguel\programas\seg\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DC1300 Monitor] C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [hffsrv] c:\windows\hffext\hffsrv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149865055931
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[msc hotline sat]

Tan solo hay este residente desconocido:



C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe





Renombralo a extension .VIR y reinicia, y si ya no salen los dobles acentos, habremos acertado-



En tal caso elimina esta clave:



O4 - HKLM\..\Run: [DC1300 Monitor] C:\Archivos de programa\DC1300\DCMnt1_0\DC1300mi.exe







y dinos si sabes qué es esto ?



O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE



porque ya usas AVG, no será otro antivirus verdad ??? (aunque parece de seguridad, tambien podría ser el causante)





saludos



ms, 25-8-2006

[yosi666]

la entrada q corresponde a dc1300 es de mi webcam q la tengo desde hace tiempo



la carpeta avpersonal es dl anterior antiviurs personal edition xp q desintalaron pero q la carpeta sigue ahi (yo pensaba q era la dl avg, pero esa esta en la carpeta d grisoft). la intento eliminar pero no m deja xq m dice q este archivo no se puede borrar "avshlext.dll".

[msc hotline sat]

Pruebelo de hacer arrancando en modo seguro, asi no estará en uso...



saludos



ms, 25-8-2006

[yosi666]

pues no, no m deja borrarlo en modo a prueba d fallos. pero si m h dado cuenta d q ahi si funcionan los acentos perfectamente



otro par d dudas q igual tienen q ver: l instale el zonealarm version gratuita y todo el rato m pide al iniciar permiso a traves dl proceso svchost.exe (yo le permito), igual tiene algo q ver.

y xq ahora con este programa ya no puedo compartir mis archivos en red?? :?



voy a empezar a considerar cambiar d navegador...

[msc hotline sat]

Claro que funcionan bien los acentos en modo seguro, porque no está nada residente aparte del S.O. !



Si tienes el instalador, desinstala la cámara, o sino, simplemente renombra el fichero DC1300mi.exe a extension .VIR y reinicia, como que no lo encontrará no lo cargará en memoria, y tras reiniciar veamos lo de los acentos...



Es que podría ser un keylogger profesional, de los que no se ven ni en el administrador de tareas, y se ha de localizar el causante o te arriesgas a que TODO lo que haces, incluso estos post, y las comunicaciones con tu banco por ejemplo, esten siendo recibidas por un "amigo"



Centra tu atencion en ello que va en serio !



Comentanos el resultado, gracias



saludos



ms, 25-8-2006

[yosi666]

desinstalado los controladores de mi web cam (d verdad m pueden entrar x ahi??? eran los oficiales del fabricante benq descagados d la pagina oficial)

sigo sin poder borrar la carpeta dl antivirus

[msc hotline sat]

Veo que no me has entendido: Si renombrando el fichero de la camara, para no desinstalarla, tras reiniciar ya no pasa, era debido a dicho driver y ningun problema.



Lo grave es que no sea eso, sino algo no controlado que pudiera ser un keylogger



Haz la prueba y comentanos el resultado, gracias



saludos



ms, 25-8-2006

[msc hotline sat]

Y ya que dices que no puedes eliminar la clave del antivirus, haz lo mismo con el fichero que lanza, renombralo a .VIR:



C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE



no sea que sea este el marrano !



Luego, tras reiniciar, prueba de eliminarla



saludos



ms,25-8-2006

[yosi666]

bueno q l vamos a hacer, ya esta desinstalado (no importa mucho xq tengo el instalador). el caso es q ya no esta ni en el registro ni en el inicio d windows ni en ninguna parte pero no se soluciona el problemilla.

q mas l hago?

y q hago con la carpeta esta dl antivirus?

[msc hotline sat]

Se ha cruzado un post que no has visto. Mira mi post anterior a este



ms,

[yosi666]

pues no, todavia no m deja eliminarlo, m da el mismo error d antes. no sera mejor q pruebe a eliminar esa carpeta con alguna herramienta d borrado?? el spybot creo q trae una , pruebo a ver? al fin y al cabo ese programa ya no lo utilizo

[msc hotline sat]

Pero el fichero lo tienes renombrado o no te ha dejado ?



En el uiltimo caso eliminalo con el KILLBOX

__



KILLBOX POCKET



Para eliminacion de ficheros que se resistan_



http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp



(no precisa instalacion)



saludos



ms, 25-8-2006

[yosi666]

ya lo renombre de extension .exe a .vir y no lo pude eliminar. asi q vamos a darle con el killbox

me dice q no puede suprimir este archivo con el killbox



ay dios, estoy x destruir mi ordenador e irme a vivir a un monasterio en tibet (pinche cosa extraña, seguro q es un virus y no un espiritu q ha poseido mi pc???)

[yosi666]

he conseguido eliminar con el killbox el archivo avwupsrv.vir y el .dll q no m dejaba desinstalar la carpeta.

pero ahora no m deja borrar la carpeta xq dice q esta siendo utilizada x otro programa

[msc hotline sat]

Pero si los monjes tibetanos rezan con ordenador... !!!



Debes tener mas restos de este antivirus en zonas del registro no mostradas por el HJT



Prueba con el BUSCAREG palabras de dicho AV como



Datentechnik



AVWUpSrv



H+BEDV



y AntiVir pero cuidado con esta, mira bien la clave antes de elimiarla :lol: :lol: :lol:



Pruebala y nos dices si al final ...





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



saludos



ms, 25-8-2006

[yosi666]

a ver, l estoy probando el regseeker

[yosi666]

bueno, el regseeker ha encontrado 800 entradas extrañas q h suprimido. d momento hasta el lunes lo dejo q ya m toca descansar y este es el ordenador dl trabajo (y con la tonteria llevo un buen rato sin currar, aunq no se q tan malo sea esto).



gracias a todos x la ayuda, a ver q pasa el lunes!!!

[msc hotline sat]

No se te decía esto, pero si es lo que has querido hacer y te ha ido bien, lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 26-8-2006