sera un virus?

[noavigo]

hola, mi portatil se comporta como si hubiese un fantasma dentro. esta formateado en el mes de agosto e instale el pccillin , pero no me funciona el windos update muy bien, se me desconfigura la barra de tareas e idiomas cada dos por tres, los videos de la camara de fotos no los puedo abrir, no puedo instalar componentes nuevos del reproductor de windows media porque me dice qeu hay problemas y lo mismo me pasa con las actualizacionbes del antivirus, no las puedo hacer, todo va bien hasta el final que dice qe no pudo ser actualizado. y lo ultimo ahora es qe no puedo abrir ningun pdf!! y tengo toda la informacion del trabajo en este formato, este problema con el pdf ocurrio despues de la ultima actualizacion. :-(



a ver si podeis ayudarme, el antivirus que tengo dice que todo esta bien, pero esto me huele a virus,



un saludo y gracias



noa

[msc hotline sat]

Prueba el ELISTARA :
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


saludos

ms, 2-01-2007

[noavigo]

Thu Jan 04 16:20:18 2007

EliStartPage v13.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Jan 04 16:23:30 2007

hola esto es lo que aparece. lo pase a prueba de fallos y primero se me bloqueo asi que tuve que reiniciar otra vey z pasarlo otra vez. ademas ahora tampoco me funciona el win dvd para ver ningun arvhivo de video, solo el sonido



dijo que estaba infectado el mrriam webster es un diccionario ingles español asi que no lo elimine poruqe no se si es un falso positivo



gracias . espero respuesta.





EliStartPage v13.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Adam Strejc\Mis documentos\Adam\Webster\MERRIAM-WEBSTER.EXE --> Infectado, Gator CMEII



Thu Jan 04 16:27:10 2007

EliStartPage v13.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Adam Strejc\Mis documentos\Adam\Webster\MERRIAM-WEBSTER.EXE --> Infectado, Gator CMEII

[msc hotline sat]

Pues envienos el sospechoso lo analizaremos:

viewtopic.php?f=2&t=45334

ms.

[noavigo]

hola de nuevo, ya os he enviado la muestra. pero me he acordado de otro detalle que quiza ayude. cuando intente instalar por primera vez el antivirus (una version nueva de este año que ofrece la universidad) al casi terminar la instalacion salio un mensaje de error que no me acuerdo que ponia pero que decia que no se podia instalar debido a no se que problema interno. asi que el antivirus que tengo ahora es la version de hace dos años y medio y no es capaz de actualizarse, detecta actuaizaciones de virus pero cuando las esta instalando da error y no lo hace. lo mismo pasa con el windows update (como ya dije) que solo funcionacon programas que no tienen que ver con la seguridad, y aun asi, desde que se actualizo el adobe reader 7.0 y el reproductor de windows media ambos dejaron de fincionar, y como ya he dicho antes (tambien) ahora el wind dvd o cualqier video de camara o de cualquier cosa no lo puedo ver en el ordenador. dicho esto. lo que mas me preocupa es que en este portatil esta toda la informacion de empresa de mi novio y me gustaria poder solucionar esto sin tener que formatear otra vez.



un saludo y gracias,



Noa

[msc hotline sat]

Por lo que dice del antivirus, pruebe el nuevo ELIBAGLA:


ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

y la muestra posiblemente sea un falso positivo, pero la analizaremos...

y si con ello persiste el problema, posteanos el log del HJT:


HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, infornaremos

saludos

ms, 5-01-2007

[noavigo]

Logfile of HijackThis v1.99.1

Scan saved at 19:29:46, on 11.1.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ACS.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\vsnpstd2.exe

C:\Archivos de programa\Trend Micro\Internet Security 12\pccguide.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Archivos de programa\Octoshape Streaming Services\Adam Strejc\OctoshapeClient.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\ADAMST~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chmi.cz/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Archivos de programa\Octoshape Streaming Services\Adam Strejc\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

[msc hotline sat]

Esta clave puede ser un troyano o un driver de una camara web ???



O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe



Si tiene una instalada, dejela, sino, eliminela.



y bajese el nuevo ELIBAGLA y pruebelo:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp





pero utilice el que acabamos de subir hace 10 minutos, no otro que hubiera bajado antes, asi que en cualquier caso, bajeselo ahora de nuevo.



y nos informa del resultado (C:\infosat.txt)



saludos



ms, 11-01-2007

[noavigo]

esto es un print skrin de lo que obtuve del hijackthis, ahora no se que hacer asi que os adjunto lo uqe recibi al mismo tiempo q se abrio el blok de notas que os adjunte antes.comono cabe todo lo envio en dos



gracias



noa

[noavigo]

esto es un print skrin de lo que obtuve del hijackthis, ahora no se que hacer asi que os adjunto lo uqe recibi al mismo tiempo q se abrio el blok de notas que os adjunte antes.comono cabe todo lo envio en dos



gracias



noa

[msc hotline sat]

Asi no podemos copiar y pegar para analizar las claves ...



Debe postearlo seleccionando el contenido del fichero, y copiar y pegar en un proximo post, gracias



saludos



ms, 11-01-2007

[noavigo]

hola es verdad que tengo una web cam, pero perdi el cd original con los drivers y estos me los baje de internet, por lo que no se si es el virus que decis o no. ademas como pase el Hj antes de, ,elibag, (me olvide) lo paso ahora y os posteo el resultado ahora:



dice que no hay ningun archivo infectado, y no se como postear lo del Hj al que le hice un print screen porque no me deja seleccionar nada.



que hago? o os llega con el archivo de bolck de notas?



si no vuelvo a pasarlo



gracias y perdon por mi torpeza



noa

[msc hotline sat]

El contenido del log del HJT, seleccionalo todo (CTRL-E), copialo al portapapeles (CTRL-C) y pegalo en tu proximo post (CTRL-V)



saludos



ms, 11-01-2007

[noavigo]

hola otra vez. siento haber tardado tanto pero no he tenido tiempo. la situacion va a peor, y todos los antivirus o antispayware dicen que no tengo nada. la situacion es que ahora no puedo ni abrir el outlook express con todos los ficheros de informacion de la empresa, emails.... los pdfs los puedo abrir en el momento en que los bajo o los abro, cuando los guardo, me dice el ordenador que no existe la ruta, y asi durante las dos ultimassemanas. estoy perdiendo poco a poco toda la informacion de mi ordenador, el antivirus dice que se actualiza , pero no lo hace, no se que hacer, tengo mucha documentacion que ahora no puedo ni abrír,



espero podais ayudarme



gracias,



Noa





aqui teneis el posteado del Hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 21:10:53, on 12.3.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ACS.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\vsnpstd2.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\ADAMST~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis



[1].zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chmi.cz/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =



http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =



http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =



http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =



http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -



C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de



programa\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de



programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef



/Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 12



\pccguide.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Archivos de programa\Octoshape



Streaming Services\Adam Strejc\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462



\GoogleToolbarNotifier.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos



comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de



programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2



\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de



programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -



C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1



\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de



programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -



C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -



http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -



http://www.crtvg.es/camweb/camera.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32



\ACS.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. -



C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de



programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated.



- C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. -



C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1



\TRENDM~1\INTERN~1\tmproxy.exe

[noavigo]

por si acaso os adjunto el posteado del hijackthis en archivo de texto,



gracias

[lucl]

Hola, a ver tienes que copiar los logs!! de esta manera pierden estructura y no se lee bien, otra cosa, el infosat que pones es del elibagla, te copio lo que pones



Mon Mar 12 20:57:12 2007 [b]EliBagle v10.27 [/b](c)2007 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): Mon Mar 12 20:57:37 2007 [b]EliBagle v10.27 [/b](c)2007 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\



descargate de este link que te doy el elistara y pasalo y luego por favor peganos el log que te dejara en C , saludos





http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

y tras ello haz lo mismo con el HJT, lanzalo de nuevo y postealo con un copiar y pegar, gracias



saludos



ms, 13-03-2007

[noavigo]

espero esta vez postear bien. es que no se que es lo q tengo que hacer, copiar y pegar el archivo abierto, o el archivo sin abrir? y lo pego donde? aqui? no vale que lo adjunte. perdonar mi ignorancia... pero no se nada de informatica.



vale he seleccionado el archivo copiado y no se pega asi que lo abro y lo copio y pego? que son los logs? el unico archivo que obtengo despues de pasar el elistara es un archivo de block de notas que me aparece en c: y que se llama infosat.



y esto es todo lo que hay dentro cuando lo habro:





Thu Mar 15 20:43:52 2007

EliStartPage v13.54 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Thu Mar 15 20:44:13 2007

EliStartPage v13.54 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





no aparece nada!! quiza tengo que buscar en otro sitio?

[lucl]

Mira de descargarte el hijackthis cuyo link te pongo despues de una breve explicacion, y nos pegas el log , el del elistara lo pusiste bien tranquila, era con un copiar y pegar, bueno te pongo lo del hijackthis descargalo y sigue las instrucciones es muy facil, saludos



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[noavigo]

hola, a ver si ahora esta bien :-)



gracias,



noa



Logfile of HijackThis v1.99.1

Scan saved at 20:39:58, on 19.3.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ACS.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\vsnpstd2.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\ADAMST~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chmi.cz/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Archivos de programa\Octoshape Streaming Services\Adam Strejc\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

[msc hotline sat]

Pues los logs y txt deben postearse con un copiar y pegar, no anexar dado que en tal forma pierden su estructura y no es viable analizarlos !



Abres el bloc de notas, vas a Archivo -> Abrir -> hijackthis.log

(donde lo tuvieres) y pulsas encima de su contenido y seleccionas todo con CTRL-E , luego lo copias al portapapeles con CTRL-C y por ultimo lo pegas en tu próximo post, de respuesta a este, con CTRL-V



Una vez lo hayas hecho una vez veras que, como todo cuando se sabe, es sencillo.



saludos



ms, 20-03-2007

[msc hotline sat]

Pues qué rápido !



Bueno pues el log está limpio, pero demasiado... no veo ningun residente de seguridad ??? ya sabes que existen los antivirus :wink: ?



saludos



ms, 20-03-2007

[msc hotline sat]

Si persisten las anomalias, prueba de REPARAR el sistema:


[quote]
Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]

saludos



ms, 20-03-2007