Acentos (pendiente)

mana · Mensaje por **mana** » 17 Abr 2007, 16:49

Vuelvo a recurrir a vosotros...

Desde hace unos d´´ias cuando intento poner acentos en e-mails (o aqu´´i), me salen dobles. En el Word ni me salen.

¿A que puede ser debido?.

Gracias por anticipado.

Mensaje por **lucl** » 17 Abr 2007, 17:20

Pues pasate estos dos programas en modo seguro y peganos el log que te dejaran en C llamado infosat.txt, saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

mana · Mensaje por **mana** » 17 Abr 2007, 17:22

Elistara

Tue Apr 17 16:00:08 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "%Favoritos%\cracks"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 17 16:04:00 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\WINDOWS\pchealth\helpctr\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\plugin\UPLOADHSC.DLL --> Eliminado, DollarRevenue (dldr)

mana · Mensaje por **mana** » 17 Abr 2007, 17:23

Perd´´on, no lo hice a prueba de fallos. Lo intento de nuevo.

Mensaje por **lucl** » 17 Abr 2007, 17:31

o,k pero no te olvides del elitriip, pasalo tambien, saludos

mana · Mensaje por **mana** » 17 Abr 2007, 17:52

Esto es lo que me sale:

Tue Apr 17 16:42:52 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 17 16:43:16 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Apr 17 16:53:55 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Apr 17 16:54:03 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nuker · Mensaje por **Nuker** » 17 Abr 2007, 21:15

Presiento que sera una nueva version del Ntos.exe posteenos un log de HijackThis arrancado en Modo Normal, abre le da en scan and save log file, copia contenido del bloc y lo pega aqui. Saludos.

HijackThis:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Mensaje por **lucl** » 17 Abr 2007, 21:16

descargate el hijackthis y peganos el log resultante, saludos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

mana · Mensaje por **mana** » 17 Abr 2007, 21:24

Aqui va lo que me pedis:

Logfile of HijackThis v1.99.1

Scan saved at 20:28:46, on 17/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Quitometro.lnk = C:\Archivos de programa\Quitometro\Quitometro.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Nuker · Mensaje por **Nuker** » 17 Abr 2007, 21:36

Pues como bien adivinaba SI esta el NTOS.EXE.

Elimine con el HijackThis estas entradas:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

-------------

Envie muestra de este fichero para su analisis:

C:\WINDOWS\system32\~~[b]~~ntos.exe[/b]

Una vez enviado renombre el fichero a .vir, para esto selecciona el fichero, click derecho, cambiar nombre y cambia terminacion.

Envio de Muestras y eliminacion de claves HijackThis:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

UNA VEZ HECHO ESTO NOS COMENTA RESULTADOS, GRACIAS.

mana · Mensaje por **mana** » 17 Abr 2007, 22:08

He hecho lo que me dec´´iais, de las cuatro cadenas que ten´´ia que borrar, las de comenzaban por 09, ya no aparecen tras hacer otro scan, pero las relativas al NTOS siguen apareciendo, os adjunto el nuevo log.

No me deja enviar el achivo NTOS.EXE por e-mail y cuando quiero cambiarle el nombre, me dice que no se puede porque alguna persona o programa lo est´´an utilizando.

Saludos

El Log:

Logfile of HijackThis v1.99.1

Scan saved at 21:08:38, on 17/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O4 - Startup: Quitometro.lnk = C:\Archivos de programa\Quitometro\Quitometro.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mensaje por **lucl** » 17 Abr 2007, 22:15

tranqui que si enviaste el archivo que te pidio nuker , te daremos la solucion cuando lo analicen, en cuanto a las dos claves de ntos, intentalo arrancando en modo seguro a ver si asi se van, saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Nuker · Mensaje por **Nuker** » 17 Abr 2007, 22:18

Asi es en Modo Seguro prueba, y nos comentas, y primero envia la muestra y una vez enviada intentas cambiar nombre en Modo Seguro. Si no puede pero enviaste la muestra se la dara solucion.

mana · Mensaje por **mana** » 17 Abr 2007, 22:41

No hay manera, ni en prueba de fallos... No me borra los NTOS, me sale el mismo log que antes.

Sobre lo de enviaros el archivo, como ya os dec´´ia antes, no puedo, cuando adjunto al e-mail el fichero y le doy a enviar, me sale "Algunos archivos no se encontraron y no se pudieron adjuntar al mensaje ¿Desea.......?.

Tambi´´en sigo sin poder renombrar el NTOS.EXE, me sale lo de antes.

Saludos

Nuker · Mensaje por **Nuker** » 17 Abr 2007, 23:00

Pues desactive resturar sistema:

MiPC, click derecho, resturar sistema, desactivar resturar sistema, aplicar aceptar.

Entra en Modo Seguro.

De preferencia haga esto sin internet. apague el modem / router.

Intente eliminar las claves, si no puede a la primera intentelo varias veces. Una vez hecho el escaneo intente cambiar el nombre de ntos.exe a vir, y nos comenta resultados.

mana · Mensaje por **mana** » 17 Abr 2007, 23:06

Esto... entiendo que boton derecho sobre el icono de MIPC, pero as´´i no me sale nada de restaurar sistema.

Uso XP SP2.

Gracias

mana · Mensaje por **mana** » 17 Abr 2007, 23:07

Esto... entiendo que boton derecho sobre el icono de MIPC, pero as´´i no me sale nada de restaurar sistema.

Uso XP SP2.

Gracias

Nuker · Mensaje por **Nuker** » 17 Abr 2007, 23:33

Le sale un recuadro, hasta abajo viene propiedades, hace click ahi y le saldra una ventana nueva. Ahi sale Restaurar Sistema. Intentele de nuevo y nos comenta.

mana · Mensaje por **mana** » 17 Abr 2007, 23:51

Tampoco... He seguido los pasos y no me deja borrar con el Hijack las dos cadena de NTOS (por mucho que insista).

Me sigue sin dejar tampoco cambiar el nombre al dichoso fichero.

Saludos

mana · Mensaje por **mana** » 18 Abr 2007, 16:54

He repetido todos los pasos de ayer (por si hoy estaba m´´as despierto) y sigo igual, no consigo solucionar el tema. Ya no se que hacer...

Saludos

Mensaje por **msc hotline sat** » 18 Abr 2007, 18:37

En la version del ELISTARA 13.77 QUE HACEMOS HOY, IMPLEMENTAMOS EL CONTROL DE

C:\WINDOWS\system32\ntos.exe

que será movido a carpeta C:\muestras para que se nos envie y asi analizarlo y controlarlo

puedes descargarlo ya de:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 18-04-2007

mana · Mensaje por **mana** » 18 Abr 2007, 21:43

Ya he pasado el Elistara y os adjunto el info:

El tema es que me siguen saliendo los acentos ´´

Tue Apr 17 16:42:52 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 17 16:43:16 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Apr 17 16:53:55 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Apr 17 16:54:03 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Apr 18 20:23:40 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 18 20:25:11 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Apr 18 20:37:39 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 18 20:37:52 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nuker · Mensaje por **Nuker** » 18 Abr 2007, 21:47

Lanzelo de nuevo en Modo Seguro nos pega el infoSat.txt y busque en C:\Muestras el NTOS para enviarlo. Saludos.

Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

mana · Mensaje por **mana** » 18 Abr 2007, 21:54

Nada, me pasa lo mismo a Prueba de Fallos, es m´´as ya lo hab´´ia probado antes de enviar mi anterior mensaje.

El directorio de muestras me aparece vacio.

Saludos.

mana · Mensaje por **mana** » 18 Abr 2007, 22:18

Veamos, se me olvidaba deciros que al pasar el programilla en cuesti´´on, me aparece al principio un mensaje que pone "Detectado Troyano, PWS-NTOS".

Otras cosa, enredando un poco, me he dado cuenta que en el MSconfig, en Inicio, aparece marcado el NTOS, por lo que al reiniciar el XP ¿es normal que le llame?¿ser´´a este el problema por el que me dice que el fichero esta siendo ya utilizado?.

Saludos

mana · Mensaje por **mana** » 18 Abr 2007, 22:18

Veamos, se me olvidaba deciros que al pasar el programilla en cuesti´´on, me aparece al principio un mensaje que pone "Detectado Troyano, PWS-NTOS".

Otras cosa, enredando un poco, me he dado cuenta que en el MSconfig, en Inicio, aparece marcado el NTOS, por lo que al reiniciar el XP ¿es normal que le llame?¿ser´´a este el problema por el que me dice que el fichero esta siendo ya utilizado?.

Saludos

Mensaje por **lucl** » 18 Abr 2007, 23:09

Pues mira, matalo y pasa luego elistara, a ver si asi por fin podemos acceder a el, incluso enviarnoslo si fuera posible, saludos

http://www.zonavirus.com/descargas/elistara.asp

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

mana · Mensaje por **mana** » 18 Abr 2007, 23:29

Pues ni as´´i.....

Tue Apr 17 16:42:52 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Apr 17 16:43:16 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Apr 17 16:53:55 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Apr 17 16:54:03 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Apr 18 20:23:40 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 18 20:25:11 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Apr 18 20:37:39 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 18 20:37:52 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Apr 18 21:10:00 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 18 22:28:57 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 18 22:29:04 2007

EliStartPage v13.77 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nuker · Mensaje por **Nuker** » 19 Abr 2007, 00:03

Pues bien espere respuesta de administrador. Puede ser que haya un error con el Elistara el cual no este agarrando el fichero y enviandolo a muestras. Ya le informaran, No desespere, Tendra solucion.

mana · Mensaje por **mana** » 19 Abr 2007, 00:06

Muchas gracias por vuestra paciencia. A proposito, que te mejores MSC.