ayuda TR/DROP y sus derivados , Gracias antemano (TERMINADO)

[Responsa]

NO muevo un dedo hasta que no me digais, espero no ser pesado, un ssaludo

[MrKogoyo]

Si exacto, haz exactamente lo que dijo msc, con mayuscula o minuscula es lo de menos, pero lo tienes que renombrar con la extensio .VIR (eso es lo importante)

Slds. ¡¡
Mr.

[Responsa]

Pues lo he cambiado y ahora en lugar de poner SlowDown.exe pone SlowDown.VIR,



El resultado? parece que quedo el archivo inutilizado porque ya no aparece la forma tridimensional de cubitos, bueno yo lo he hecho y ya esta,



Me podriais decir porque el cambio este y cuales son sus consecuencias?, y que paso debo dar ahora



Un saludo

[msc hotline sat]

Justamente es para dejar al fichero fuera de circulacion hasta que lo analicemos, y segun lo que sea, lo eliminaremos del todo o lo volveremos a renombrar a EXE para volverlo a dejar operativo, y apuntaremos a otro lado, ya veremos... :lol:



saludos



ms, 4-02-2007

[Responsa]

Ok perfecto , sigo entonces a la espera de análisis,

muchísimas gracias

[msc hotline sat]

Bien, pero mientras, mira si pasando el antivir sigue detectando el problema o ya no, y nos lo cuentas, pues igual es otra cosa y asi lo sabremos.



Con lo hecho es como si ya no tuvieras dicho fichero, pero sin perderlo del todo.



saludos



ms, 4-02-2007

[Responsa]

Esto es muy raro, antes de pasar el antivir he pasado el antysy de la barra de yahoo y me pillo 3 , despues de usar la tele de ppmate, no se si la conocereis los he eliminado y ahora siguiendo tus intrucciones paso el antivir y no da nada malo salvo una cosa que pone Warnigs:1 , esto es, supongo que habra y que eso significara warnin que hay algo que pudiera ser conflictivo no lo sé pero no se ni lo que es ni donde esta, no obstante eso lo tengo hace siglos y no me dio mayor problema,

aqui dejo el reporter de antivir, si quereis que haga alguna otra cosa con elistrata o con hj y lo paste me decis, sigo esperando,

GRACIAS;
Version information:

Código: Seleccionar todo

BUILD.DAT    : 217           12749 Bytes  05/12/2006 17:00:00
AVSCAN.EXE   : 7.0.3.5      208936 Bytes  03/02/2007 00:11:23
AVSCAN.DLL   : 7.0.3.1       35880 Bytes  05/12/2006 16:00:22
LUKE.DLL     : 7.0.3.2      143400 Bytes  31/10/2006 16:07:46
LUKERES.DLL  : 7.0.2.0        9256 Bytes  05/12/2006 16:00:22
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31/05/2006 15:30:06
ANTIVIR1.VDF : 6.37.0.153  3131392 Bytes  12/01/2007 00:11:24
ANTIVIR2.VDF : 6.37.0.235   374784 Bytes  29/01/2007 00:11:24
ANTIVIR3.VDF : 6.37.1.28    113152 Bytes  04/02/2007 17:11:23
AVEWIN32.DLL : 7.3.1.34    2290176 Bytes  03/02/2007 00:11:24
AVPREF.DLL   : 7.0.2.0       23592 Bytes  03/11/2006 10:53:44
AVREP.DLL    : 6.37.1.1    1105960 Bytes  03/02/2007 00:11:24
AVRPBASE.DLL : 7.0.0.0     2162728 Bytes  30/03/2006 08:43:31
AVPACK32.DLL : 7.2.0.5      368680 Bytes  23/10/2006 15:21:31
AVREG.DLL    : 7.0.1.2       30760 Bytes  03/02/2007 00:11:23
NETNT.DLL    : No Information!
RCIMAGE.DLL  : 7.0.1.3     2097192 Bytes  08/11/2006 12:26:26
RCTEXT.DLL   : 7.0.12.1      77864 Bytes  05/12/2006 16:00:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: C:\Archivos de programa\AntiVir PersonalEdition Classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Expanded search settings.........: 0x00007000

Start of the scan: domingo, 04 de febrero de 2007  22:53

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Modules have been scanned
Scan process 'avcenter.exe' - '1' Modules have been scanned
Scan process 'iexplore.exe' - '1' Modules have been scanned
Scan process 'ppmate.exe' - '1' Modules have been scanned
Scan process 'p2psvr.exe' - '1' Modules have been scanned
Scan process 'msnmsgr.exe' - '1' Modules have been scanned
Scan process 'iexplore.exe' - '1' Modules have been scanned
Scan process 'hprblog.exe' - '1' Modules have been scanned
Scan process 'hpqste08.exe' - '1' Modules have been scanned
Scan process 'AimMon.exe' - '1' Modules have been scanned
Scan process 'hpqtra08.exe' - '1' Modules have been scanned
Scan process 'ctfmon.exe' - '1' Modules have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Modules have been scanned
Scan process 'Mini20.exe' - '1' Modules have been scanned
Scan process 'msmsgs.exe' - '1' Modules have been scanned
Scan process 'avgnt.exe' - '1' Modules have been scanned
Scan process 'WinCinemaMgr.exe' - '1' Modules have been scanned
Scan process 'realsched.exe' - '1' Modules have been scanned
Scan process 'jusched.exe' - '1' Modules have been scanned
Scan process 'hpwuSchd2.exe' - '1' Modules have been scanned
Scan process 'PDVDServ.exe' - '1' Modules have been scanned
Scan process 'VTTimer.exe' - '1' Modules have been scanned
Scan process 'VTTrayp.exe' - '1' Modules have been scanned
Scan process 'alg.exe' - '1' Modules have been scanned
Scan process 'wscntfy.exe' - '1' Modules have been scanned
Scan process 'explorer.exe' - '1' Modules have been scanned
Scan process 'wdfmgr.exe' - '1' Modules have been scanned
Scan process 'MDM.EXE' - '1' Modules have been scanned
Scan process 'avguard.exe' - '1' Modules have been scanned
Scan process 'sched.exe' - '1' Modules have been scanned
Scan process 'spoolsv.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'lsass.exe' - '1' Modules have been scanned
Scan process 'services.exe' - '1' Modules have been scanned
Scan process 'winlogon.exe' - '1' Modules have been scanned
Scan process 'csrss.exe' - '1' Modules have been scanned
Scan process 'smss.exe' - '1' Modules have been scanned
41 processes with 41 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( 24 files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
Begin scan in 'D:\'
The path D:\ could not be found!
El dispositivo no está listo.



End of the scan: domingo, 04 de febrero de 2007  23:31
Used time: 37:23 min

The scan has been done completely.

   4623 Scanning directories
 249270 Files were scanned
      0 viruses and/or unwanted programs were found
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 249270 Files not concerned
   6906 Archives were scanned
      1 Warnings
      0 Notes

[msc hotline sat]

Solo te dice que no tiene acceso al pagefile.sys , ficheros reservado del sistema para el paginado de memoria, y lo otro de la unidad D: igual ni la tienes... Nada virico



En 4 o 5 horas entraremos en Satinfo y procederemos a analizar las muestras del fin de semana, que a veces son centenares...



ya informaremos al respecto



saludos



ms, 5-02-2007

[Responsa]

LES ACABO de enviar el archivo por correo en zip , con la extensin exe inicial , me podrian confirmar si llego bien porque antes la habia enviado mal , venga un saludo y gracias

[Responsa]

les he mandado el archivo en zip y me piden unos datos de no sq que asociado y sistma operativo, mi sistema operativo es win xp home , no sabia que habia que hacer todo eso yo he mandado lo que buenamente he podido dados mis parcos conocimientos informaticos, no se si pueden diganme que tengo que hacer mas ,

gracias

[msc hotline sat]

No sé si has seguido las indicaciones, pero si lo has enviado a zonavirus@satinfo.es y como referencia has indicado tu nick en el foro, como se debe hacer según: viewtopic.php?f=2&t=45334

los técnicos de la web reciben las muestras y según sean las pasan a proceso y monitorizacion, para desarrollo de utilidades, en tres grupos:

asociados a SATINFO, usuarios que pagan por el contrato de asistencia técnica y tienen todos los servicios. Se envían indicando numero de asociado de SATINFO y se contesta por mail
foreros de zonavirus, exclusivamente para analisis de muestras y posterior solución en el foro - se envían según pauta indicada en el foro
usuarios sin identificar, que envian muestras solicitadas por las utilidades o por sospechar que son malwares. - Se analizan e implementan en las utiliaddes si procede, pero no se ofrece respuesta

Se reciben cientos de muestras que se asignan a uno de los tres tipos, pero se supone que Vd siendo forero no lo hizo segun indicaciones del foro...

Por alguna razon no encaja. Vea de repetir el envio debidamente, de lo contrario se ignora.

saludos
ms, 5-02-2007

[msc hotline sat]

Pues recibido el fichero y analizado, no resulta ser virico.



Por otra parte, revisando de nuevo el log del HJT, vemos estas claves que parecen estar dañadas, eliminalas:



O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) -



O16 - DPF: {FEBC17AE-10CC-49D9-969C-8745EB53F8FF} (FIRMARECIBIS.Signer) -



y tras reiniciar, informenos del resultado, gracias



saludos



5-02-2007

[Responsa]

Disculpe, en primer lugar procedo a darle la extension exe inicial al archivo y luego si es usted tan amable me podria decir como eliminar las claves, psando el HJT y marcando las casillas me lo pdroia indicar brevemente si es tan amable un saludo



gracias

[Responsa]

Las he eliminado, las que me dijo, tengo una duda, que quiso decir usted dañinas o dañadas? es que no es lo mismo, bueno ahora voy a investigar a ver como funciona, gracias , no doy por concluido no? debo asegurarme antes pasando alguna herramienta mas? no me fio nada,



Un saludo

[msc hotline sat]

Realmente no es lo mismo dañinas que dañadas!, pero hemos dicho bien dañadas, pues no indican ninguna accion ni ruta para estos dos DPF.



Y como que no había nada mas, aunque esto pudiera no ser dañino, pero incompleto, podía dar algun mensaje de error o provocarlo



Hubiera sido mas logico para la primera, por ejemplo, en lugar de:



O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) -



una completa como



O16 - DPF: {B0862117-8110-4CBA-B488-8DE204D7384B} (SAMIS.Client) - https://www.redabogacia.org/paseseg/clientes/wxp/SAMIS.CAB



pero en la duda, mas vale eliminar lo corrupto y ver el resultado.



ya nos informará, gracias



saludos



ms, 5-02-2007

[Responsa]

Igual es mi aparato de meter mi tarjeta de abogado, es un lector a ver si la he fastidiao , bueno a ver que pasa,

el ultimo problema que me dio esto fue el siguiente al pastear aquí en este foro, se empezaron a abrir mas se 20 ventanas seguidas no podía frenarlas! Dios que desesperación , no se si conocerán este error el otro día me ocurrió igual no podía frenarlas , bueno he vuelto a pasar estas dos herramientas y este es el resultado :

on Feb 05 15:02:31 2007
EliStartPage v13.24 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Feb 05 15:02:50 2007
EliStartPage v13.24  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\\IRCAP-82.EXE --> AutoExtraible
C:\Archivos de programa\Kit de firma ACA\MINILECTOR.EXE --> AutoExtraible
C:\Documents and Settings\Windows XP\Escritorio\programas\EZCDDAX8_SPANISH.EXE --> AutoExtraible
C:\WINDOWS\UNINSTMINILECTOR.EXE --> AutoExtraible

Bueno voy a probar mi tarjeta a ver si funcionna,

Gracias

[msc hotline sat]

Pues ya nos contará. esperemos que sí...



saludos



ms. 5-02-2007

[Responsa]

Ahora no lo puedo apagar, lo apago y se vuele a reiniciar solo, en fin nada mas que da problemas, bueno me voy a currar , a ver si me decis algo con respeto al reinicio saludos

[msc hotline sat]

Me parece que mas que virus ha sido problema de corrupcion de alguna aplicacion, pues esta clave cortada que hemos indicado y la otra que posiblemente sea mas de lo mismo... y si ya ha renombrado el lowDownCPU.* a .exe, no veo otra cosa mas que REPARAR

Pienseselo y si quiere hacerlo, recuerde:

Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos
ms, 5-02-2007

[Responsa]

VOY a copiar eso , ya vere si lo hago, no es por nada simplemente porque no se si sabré voy a probrar una semanita sin trastear mucho y si veo que no funciona lo hago,



Gracias por todo

[msc hotline sat]

Para para cuando lo pruebes y lo hagas, ya nos diras si te ha ido bien en un Tema nuevo que haga referencia a este, que cerramos en consecuencia

Si vuelves sobre el Tema haz referencia a viewtopic.php?f=6&t=16297

saludos
ms, 5-02-2007