SYSTEM ALERT! (no lo puedo quitar) (solucionado)

[matiasmanson]

Buenas !.



Tengo en la barra de tareas un iconito que me tira un mensaje cada cierto tiempo , y si le hago click, se me abre una pagina de un tal Spylocked , (http://www.spylocked.com/?aff=334).

Busque solucion en el buscador y no pude hacer nada, creo que es el unico que me falta quitar de mi pc.



Que es lo que debo hacer?.



Saludos y desde ya se agradece !!!



****MATIASMANSON****

[koga]

Seguramente el fake alert, pruebe descargando yt ejecutando esta dos utilidades:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Una vez descargados los ejecuta primero uno y luego el otro, una vez terminado el proceso se guardara un archivo en C:/Infosat.txt

copie el contenido y lo pega como respuesta al tema para ver el resultado del proceso.





Saludos.

[matiasmanson]

Hola , hice lo que me dijiste, lo corri un par de veces porque se me tildaba y no dejaba terminar, hasta que los corri completamente los dos , pego el log de infosat.txt.



Mon Apr 16 22:01:14 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Mon Apr 16 22:01:23 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\BitComet\Downloads\CyberLink PowerDVD 7 Deluxe\PowerDVD 7 Deluxe\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)



Mon Apr 16 23:10:41 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Mon Apr 16 23:10:44 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Apr 16 23:38:50 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%WinDir%\ServicePackFiles"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 16 23:41:30 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Apr 16 23:53:02 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 16 23:53:06 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Apr 17 00:06:31 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 17 00:06:35 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{29D5740D-705A-4697-B86A-D255C9C2C857}\RP4\A0000594.EXE --> Eliminado, CyDoor



Tue Apr 17 00:30:00 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Tue Apr 17 00:30:05 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{29D5740D-705A-4697-B86A-D255C9C2C857}\RP1\A0000134.exe --> Eliminado, RemAdm-RemoteAdmin

C:\System Volume Information\_restore{29D5740D-705A-4697-B86A-D255C9C2C857}\RP1\A0000135.exe --> Eliminado, RemAdm-RemoteAdmin

C:\System Volume Information\_restore{29D5740D-705A-4697-B86A-D255C9C2C857}\RP1\A0000136.exe --> Eliminado, RemAdm-RemoteAdmin

C:\System Volume Information\_restore{A2BA2712-E35C-4EB0-A22A-FB7760F98E5F}\RP42\A0119696.inf --> Eliminado, BackDoor.CMQ (inf)

C:\System Volume Information\_restore{A2BA2712-E35C-4EB0-A22A-FB7760F98E5F}\RP42\A0119697.inf --> Eliminado, BackDoor.CMQ (inf)





El iconito ese en la barra de tareas sigue ahi en ese mismo lugar.:(



Saludos!



****MATIASMANSON****

[koga]

Pues no quitamos el simbolito pero si eliminamos bastante basuracomo puede ver en los log respectivos, ademas el log muestra que debe hacer un windows update!! si no eliminaremos bichos y volveran a entrar, asi que eso primero que todo.



Para el simbolito veamos con el HJT.



¿Como utilizar el Hijackthis en los foros?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútelo y presione el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo le pedira el nombre del archivo y su ubicación, puede simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copie todo el contenido y péguelo como respuesta a este tema.



[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]





Saludos.

[matiasmanson]

Logfile of HijackThis v1.99.1

Scan saved at 01:45:34 a.m., on 17/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0007)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Opera\Opera.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\matias\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{748A7BF4-44C2-4598-8C47-E6C1C5FB1180}: NameServer = 200.51.211.7 200.51.212.7

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe



Saludos !!!



****MATIASMANSON****

[koga]

Pues a simple vista no veo nada (aunque son la 1 de la madrugada aca y el sueño ya me gana :lol: ).

Haga lo siguiente, inicie en modo seguro y postea un nuevo log de hjt esta vez lanzado en modo seguro.

Luego verifique en Panel de control--->Agregar o quitar programas, alguno de estos programas instalados:

• AntiVermins (el de "System Alert")

• AdwareDelete

• AdwareSheriff

• AlfaCleaner

• Antispyware Soldier

• AntivirusGold

• AntivirusGolden

• Antivirus-Golden

• AntiVerminser

• BraveSentry

• Brain Codec

• Daily Weather Forecast

• Error Safe

• Internet Security

• Key Generator

• Malware-Wipe

• My Pass Generator

• MyWebSearch

• PestCapture

• PestTrap

• PECarlin

• PornMag Pass

• PornPass Manager

• PSGuard

• P.S.Guard

• Registry Cleaner

• Safety Alerter 2006

• Safety Bar

• Search Maid

• Security IGuard

• Security Toolbar

• SpyAxe

• SpyGuard

• SpyFalcon

• Spy-Heal

• SpyHeal

• SpyMarshal

• SpySheriff

• SpySoldier

• SpyKiller

• SpywareKnight

• SpywareQuake

• SpywareSheriff

• SpywareStrike

• SpywareHeal

• SystemDoctor 2006 Free

• Spyware Soft Stop

• TitanShield Antispyware

• Trust Cleaner

• VirusBlast

• Virus-Burst

• VirusBurst

• VirusBurster

• VirusBursters

• Virus-Bursters

• VideoAccess

• WinHound

• WinAntiSpyPro

• WinAntiVirus Pro 2006

o el mismo spyloked y de ser asi lo desinstala.



Espero el log en modo seguro para ver si hay algo y nos informa si encontro alguno de esos programas o algun programa sospechoso que usted no haya instalado.

Si no sabe como iniciar en modo seguro puede ver:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp





Saludos.

[matiasmanson]

Bueno , si te vas a dormir no hay problema , seguimos cuando estes disponible , te dejo el log que me tiro en el modo a prueba de fallos. y no tengo ninguno de esos programas instalados.





Logfile of HijackThis v1.99.1

Scan saved at 02:30:28 a.m., on 17/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0007)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\matias\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176786865947

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe



Saludos y muchas gracias ;)



****MATIASMANSON****

[koga]

Unos segundos revisando....



Veamos, el elistara deberia haber eliminado esta entrada:



O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto



Ejecute elistara en modo seguro y luego reinicia y postea el contenido del infosat.txt nuevamente.





[b]Nota:[/b]La entrada es por la modificacion que se hace en el msconfig, elistara la elimina, de hecho lo hizo anteriormente, no deberia ser el problema, aparentemente no veo nada mas, por ahora ire a dormir (aunque no lo hare tranquilo sabiendo que no esta solucionado el problema) mñn apenas pueda dare una vuelta apenas tenga un tiempo si es que aun no se ha solucionado el tema para seguir.



Saludos.

[matiasmanson]

Hola! Dejo lo que me habias pedido que haga.



Tue Apr 17 02:50:04 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 17 02:50:15 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

--------------------------------------------------





Logfile of HijackThis v1.99.1

Scan saved at 03:15:19 a.m., on 17/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0007)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\matias\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176786865947

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe





Lamentablemente el problema sigue...





Saludos !!!





****MATIASMANSON****

[koga]

[quote="matiasmanson"]
Tue Apr 17 02:50:04 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

[b]ALERTA. WindowsUpdate Incompleto.[/b]

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE
[/quote]

Bueno como ya dije yo por hoy ire a dormir mñn tengo que levantarme muy temprano, lamento no haber podido solucionar el problema aun, pero no se preocupe ya lo solucionaremos!

Mñn vuelvo apenas pueda por aqui.

En el infosat alerta que faltan parches de microsoft, porfavor haga un windows update!



Saludos.

[lucl]

para actualizarlo pincha en este enlace, saludos



https://support.microsoft.com/es-es/help/12373/windows-update-faq



como dice koga es necesario para el buen funcionamiento del pc, saludos

[matiasmanson]

Hola, Lucl , baje las actualizaciones, pero no de ese link, me pedia actualizar el ie, (yo tengo el 7), el elistAra me sigue tirando que no esta completo el WUpdate.



Saludos !





****MATIASMANSON****

[admin]

no sera una actulizacion de ie7.. hace poco sacaron 1

[matiasmanson]

Wed Apr 18 00:12:45 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Apr 18 00:12:59 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





*********************************************



Logfile of HijackThis v1.99.1

Scan saved at 12:49:53 a.m., on 18/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0007)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Opera\Opera.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\matias\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176786865947

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176850601530

O17 - HKLM\System\CCS\Services\Tcpip\..\{748A7BF4-44C2-4598-8C47-E6C1C5FB1180}: NameServer = 200.51.211.7 200.51.212.7

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe



Diganme si ya esta limpia , les cuento, me baje el antivirus AVG, lo actualice, lo corri y me saco el icono molesto. (creo que era lo primero que tenia que hacer :P), ademas me borro muchos virus. Supongo que ya esta listo, si no hay nada que borrar, o que este mal, pueden cerrar el tema.





Saludos y muchas gracias a todos !!!!





****MATIASMANSON****

[lucl]

Pues nos alegramos mucho de ello, en cuanto a lo del explorer 7 recuerda que como dice admin, hace poco salio una, ademas de que despues de instalarse si no recuerdo mal, se descargan al menos tres o cuatro actualizaciones, igual te faltaba alguno, pues nada vuelve cuando quieras :lol:



admin cierra :D

[koga]

El log esta limpio asi que puede estar tranquilo, lastima que no hayamos sabido cual era el archivo que causaba el problema para tener muestra y asi ayudar a algun otro forero afectado, pero una alegria que se haya solucionado su problema.

Suerte, y cualquier duda ya sabe donde estamos!







Saludos.

[msc hotline sat]

Nota postcierre:



En otro Tema se nos ha informado que el fichero responsable era:



C:\WINDOWS\system32 \yronl.dll



y lo pedimos en todos los Temas relacionados, para que nos lo envien y podamos pasar a controlarlo en la siguiente version del ELISTARA, pues no aparece en el log del HJT .



Asi que si alguien tiene el fichero indicado, que nos lo envie:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



y asi pasaremos a controlarlo



saludos



ms,. 21.04-2007

[msc hotline sat]

A partir del 13.82 del ELISTARA se controla este FAKE ALERT del Spylocked:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 26-04-2007