Problema doble tilde

[danwefly]

Hola tengo un problema que al escribir una tilde me aparece doble

Ejemplo:cami´´on.

Seg´´un he averiguado por ah´´i se debe a alg´´un problema en el registro. Os lo dejo aqu´´i a ver si me pod´´eis ayudar :roll:



Logfile of HijackThis v1.99.1

Scan saved at 15:03:12, on 11/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\FirefoxPreloader\FirefoxPreloader.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows Professional

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] "C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe"

O4 - HKCU\..\Run: [TaskSwitchXP] "C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [NTSpool ] C:\WINDOWS\system32\NTSpool.exe

O4 - Global Startup: Firefox Preloader.lnk = C:\Archivos de programa\FirefoxPreloader\FirefoxPreloader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[lucl]

Hola, pasate el elistara en modo seguro y de momento haz fix cheked a esta clave



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



http://www.zonavirus.com/descargas/elistara.asp





http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



y luego nos pegas el log que te crea el elistara en c:Infosat.txt , saludos.

[Nuker]

Si pudiera tratarse de un keylogger, cuasando como sintoma lo de las dobles tildes. Tu caso recuerda a los virus:



[color=red]W32.Badtrans.B@mm

W32.Bugbear@mm [/color]



Catalogados como keyloggers (un programa de ocultacion el cual registra el tecleo de palabras en un log al igual que conexiones y entre otras cosas).



Prueba lo dicho por [b]lucl[/b] y pasa tambien este AV Online, en modo seguro con funciones de red para tener acceso a internet.



AV Online:



https://www.eset.es/analisis-online/



Comentanos si te detecta algo este AV.

[danwefly]

Aqui esta el log del programa elistara. El escaneo no encontr´´o nada. Como ver´´eis sigue el problema de las tildes.

Sun Feb 11 21:53:29 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"



Sun Feb 11 21:53:48 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Screamer Radio\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

[Nuker]

Pasa EliTriIP en modo seguro y peganos el log como lo hiciste con ELISTARA, comentanos tu resultado al reiniciar. Gracias.



ELITRIIP:



http://www.zonavirus.com/descargas/elitriip.asp

[danwefly]

Las tildes se siguen clonando. ¿Alguna idea m´´as?



Sun Feb 11 21:53:29 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"



Sun Feb 11 21:53:48 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Screamer Radio\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Sun Feb 11 22:54:07 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Feb 11 22:54:38 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\Screamer Radio\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible



Sun Feb 11 22:58:36 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun Feb 11 23:43:35 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SYSPR.PRX --> Eliminado



Sun Feb 11 23:43:45 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Cualquier aplicacion que no esté pensada para usar acentos lo puede provocar, como es el caso de algunos virus y keyloggers.



De todas formas hay un fichero que puede no ser lo que parece, por lo que nos lo puedes enviar para analizarlo:



C:\WINDOWS\system32\NTSpool.exe



y mientras podrías renombrarlo a extension .VIR y reiniciar a ver si persiste el problema, y en tal caso, volverlo a renombrar a .EXE



y nos comentas el resultado, gracias



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 12-02-2007

[danwefly]

Ese era el virus, me lo cargue y adiós a todos mis males. Lo eliminé tanto en el registro como en su ubicación. Para ello inicié el pc en modo seguro y procedí primero a eliminarlo con HijackThis y luego manualmente elimine el exe.



Muchas gracias por vuestra ayuda.

[msc hotline sat]

Pues otra vez envianoslo como te pedimos, que asi lo hubieramos podido controlar en la proxima version de las utilidades...



Ahora sigue descontrolado y si te ha modificado algo mas, tampoco sabemos qué corregir...



Si guardaste una copia, envianos muestra segun indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 12-02-2007

[msc hotline sat]

Pues fabuloso !



Analizado y detectado solo por tres antivirus, McAfee, uno de ellos como se ve en el log adjunto de Virus Total, pasamos a detectarlo con el ELITRIIP de hoy, 3.17



Aunque Vd lo haya eliminado, esta noche, a partir de las 20 h, descarguelo y pruebelo, pues igual restauraremos alguna clave que habia sido modificada



saludos y gracias por su colaboracion



ms, 12-02-2007

[msc hotline sat]

Posteamos el resultado del analisis de VirusTotal, donde puede verse que solo McAfee y otros dos, pero ni otros como Bit Defender, F-prot, NOD-32, Symantec, lo controlan actualmente


[quote="VirusTotal"]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "NTSpool.gxe" que VirusTotal ha recibido el día 12.02.2007 a las 13:51:46 (CET).



Antivirus Version Actualización Resultado

AntiVir 7.3.1.36 12.02.2007 no ha encontrado virus

Authentium 4.93.8 12.02.2007 no ha encontrado virus

Avast 4.7.936.0 12.02.2007 no ha encontrado virus

AVG 386 11.02.2007 BackDoor.Generic4.WJG

BitDefender 7.2 12.02.2007 no ha encontrado virus

CAT-QuickHeal 9.00 12.02.2007 no ha encontrado virus

ClamAV devel-20060426 12.02.2007 no ha encontrado virus

DrWeb 4.33 12.02.2007 no ha encontrado virus

eSafe 7.0.14.0 12.02.2007 no ha encontrado virus

eTrust-Vet 30.4.3391 12.02.2007 no ha encontrado virus

Ewido 4.0 11.02.2007 no ha encontrado virus

Fortinet 2.85.0.0 12.02.2007 no ha encontrado virus

F-Prot 4.2.1.29 12.02.2007 no ha encontrado virus

F-Secure 6.70.13030.0 12.02.2007 no ha encontrado virus

Ikarus T3.1.0.31 12.02.2007 no ha encontrado virus

Kaspersky 4.0.2.24 12.02.2007 no ha encontrado virus

McAfee 4960 09.02.2007 BackDoor-CEP.svr

Microsoft 1.2204 12.02.2007 no ha encontrado virus

NOD32v2 2054 12.02.2007 no ha encontrado virus

Norman 5.80.02 12.02.2007 no ha encontrado virus

Panda 9.0.0.4 12.02.2007 no ha encontrado virus

Prevx1 V2 12.02.2007 no ha encontrado virus

Sophos 4.13.0 12.02.2007 no ha encontrado virus

Sunbelt 2.2.907.0 09.02.2007 no ha encontrado virus

Symantec 10 12.02.2007 no ha encontrado virus

TheHacker 6.1.6.056 11.02.2007 Backdoor/CEP

UNA 1.83 09.02.2007 no ha encontrado virus

VBA32 3.11.2 11.02.2007 no ha encontrado virus

VirusBuster 4.3.19:9 11.02.2007 no ha encontrado virus





Información adicional

Tamaño archivo: 85700 bytes

MD5: eca3ede169c09c59ea5e5496d445b58a

SHA1: 6a72298015f37d82e500d0122946944381e82e42
[/quote]

Con el ELITRIIP.EXE v 3.17 se controla y elimina este malware como Bifrose por ser variante de los ya conocidos con este nombre.



Una vez mas, gracias a la colaboracion prestada y a los medios tecnicos y experiencia de SATINFO, controlamos en primicia una nueva variante que muy pocos antivirus (3 de 30) detectan



saludos



ms, 12-02-2007