El problema es el siguiente, esta tarde el ordenador al abrir mi pc se me quedaba colgado. He pasado el nod32 y me a detectado unos virus. Los he eliminado pero manualmente. Se encontraban en C:\Documents and Settings\Administrador ,
Lo primero que me dice el nod32 al empezar a analizar es lo siguiente:
[4]El archivo no puede ser abierto porque esta siendo utilizado por otra aplicacion
-Despues me sale lo siguiente:
C:\Documents and Settings\Administrador\NTUSER.DAT - Error abriendo archivo (el archivo esta bloqueado)
C:\Documents and Settings\Administrador\NT USER.DAT.LOG- Error abriendo archivo (el archivo esta bloqueado)
C:\Documents and Settings\Administrador\Configuracion local|datos de programa\microsoft\Windows\UsrClass.dar- Error abriendo archivo (el archivo esta bloqueado)
C:\Documents and Settings\Administrador\Configuracion local|datos de programa\microsoft\Windows\UsrClass.dar.Log- Error abriendo archivo (el archivo esta bloqueado)
C:\Documents and Settings\Administrador\datos de programa\Mozilla\Firefox\Profiles\17pvru6n.default\parent.lock - Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\LocalService\NTUSER.DAT- Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\\LocalService\NTUSER.DAT.LOG- Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\\LocalService\Configuracion local\DAtos de programa\Microsoft\Windows\UsrClass.dat- Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\LocalService\Configuracion local\DAtos de programa\Microsoft\Windows\UsrClass.dat.LOG- Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG - Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\C:\Documents and Settings\NetworkService\Configuracion local\DAtos de programa\Microsoft\Windows\UsrClass.dat.- Error abriendo archivo (el archivo esta bloqueado)[4]
C:\Documents and Settings\\NetworkService\Configuracion local\DAtos de programa\Microsoft\Windows\UsrClass.dat.LOG- Error abriendo archivo (el archivo esta bloqueado)[4]
C:\System Volume Information\MountPointManagarRemoteDatabase - Error abriendo archivo (Acceso denegado)[4]
C:\Windows\SoftwareDistribution\DataStore\DataStore.edb - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\SoftwareDistribution\DataStore\Logs\edb.logb - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\SoftwareDistribution\DataStore\Logs\temp.edb- Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\CarRoot2\edb.log - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\CarRoot2\temp.edb - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\default Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\default.LOG Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\SAM Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\SAM.LOG Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\SECURITY Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\SECURITY.LOG Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\SOFTWARE - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\SOFTWARE.LOG - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\system - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\systeml:LOG - Error abriendo archivo (El archivo esta bloqueado)[4]
C:\Windows\system32\config\system\profile\COnfiguracion local\Temp\hsperfdata_System\1708 - error abriendo archivo (Acceso denegado)[4]
C:\Windows\system32\drivers\sptd.sys - Error abriendo archivo (El archivo esta bloqueado)[4]
El antivirus me dice que no detecta virus alguno.
Recuerdo que me cargue un archivo llamado CMMON32.exe (CREO)
Tengo carpetas ocultas en C:\Windows las carpetas tienen los siguientes nombres:
$hf_mig$
$NtServicePackUninstallIDNMitigationAPIs$
$NtServicePackUninstallNLSDownlevelMapping$
$NtUninstallKB923694$
$NtUninstallKB926239$
$NtUninstallKB926255$
$NtUninstallMSCompPackV1$
$NtUninstallWMFDist11$
$NtUninstallwmp11$
$NtUninstallWudf01000$
Estas carpetas contienen lo siguiente:
C:\WINDOWS\$NtUninstallWudf01000$\spuninst ---> spuninst.exe -- spuninst.inf --- updspapi.dll --- wudfCustom.dll --- spunish.txt
dentro del archivo spunish.txt -- se encuentra el siguiente texto
DEL "c:\windows\system32\wudfcoinstaller.dll"
DEL "c:\windows\system32\wudfhost.exe"
DEL "c:\windows\system32\wudfplatform.dll"
DEL "c:\windows\system32\wudfsvc.dll"
DEL "c:\windows\system32\wudfx.dll"
DEL "c:\windows\system32\drivers\wudfpf.sys"
DEL "c:\windows\system32\drivers\wudfrd.sys"
COPY "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.txt" "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.tag"
Todas las carpetas se parecen mucho es su contenido, casi todas contienen lo mismo, algunas tienen algun archivo .exe que otras no tienen.
Le paso el anti espias ad-ware y me detecta 1 espia , creo que eso es normal y dos objetos inteligibles.
El objeto critico es tracking del typo IE cache, categoria Data miner, object Cookie:
No se si esto ultimo tiene algo que ver, yo los pongo en cuarentena.
Espero que me podais ayudar, muchas gracias por todo.
msc hotline sat Virus Research Engineer