Sigo teniendo problemas !! No solucionado !! (CERRADO)

[moshkis]

Muy buenas !!



Acabo de llegar a casa y me he puesto a la faena.



Lo que he hecho es descargar y ejecutar el hijackthis (lo ha hecho) y os pego el log que he copiado. Por cierto, lo que no he probado aun es el Elirests.vbs para que antes de hacer nada nuevo veais el log del hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 20:45:27, on 20/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {13E3F243-35A3-1024-A349-6CE3399AA8EE} - C:\WINDOWS\system32\aejqit.dll

O2 - BHO: (no name) - {271B9357-C3EC-5EC0-77A9-098E0F698644} - C:\WINDOWS\system32\ygslawn.dll

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\kcvsjuxc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {F6B1FE15-920F-4DE2-954B-8223202DDFCb} - C:\WINDOWS\system32\dnlxnaui.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PCTVRemote] C:\Archivos de programa\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Camera Detector] C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\BEEP\CONFIG~1\Temp\svchost.exe 1

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [mdzhafm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mdzhafm.dll,gtuvvd

O4 - HKLM\..\Run: [VaCtrls] v7

O4 - HKLM\..\Run: [{297717E9-0BB0-3082-0402-040404180022}] "C:\Archivos de programa\Archivos comunes\{297717E9-0BB0-3082-0402-040404180022}\Update.exe" mc-110-12-0000272

O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\system32\nfomon\nfomon.exe

O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\system32\vidmon\vidmon.exe

O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\huviglbx.dll",setvm

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvwak.dll,startup

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [Lbds] "C:\ARCHIV~1\COMMON~1\ASEMBL~1\winword.exe" -vt yazb

O4 - HKCU\..\Run: [Mpoinsz] "C:\Archivos de programa\Common Files\?racle\??chost.exe"

O4 - HKCU\..\Run: [IpWins] C:\Archivos de programa\Ipwindows\ipwins.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.beep.es/

O16 - DPF: {9E214F45-89C2-4DE3-94A9-530EB1D05F7E} - http://www.quest3d.com/Quest3D_WebInstall.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F9847563-FD2B-461C-A7A4-26BEDE5EA8D3}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing)

O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\BEEP\CONFIG~1\Temp\hpdj.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe (file missing)

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





Que os parece ??



Que me aconsejais que haga ahora ??



Un saludo.

[Nuker]

:shock: Parece zona de guerra !



Elimines estas en Modo Seguro, con fix checked dentro del HijackThis:



O2 - BHO: (no name) - {13E3F243-35A3-1024-A349-6CE3399AA8EE} - C:\WINDOWS\system32\aejqit.dll



O2 - BHO: (no name) - {271B9357-C3EC-5EC0-77A9-098E0F698644} - C:\WINDOWS\system32\ygslawn.dll



O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\kcvsjuxc.dll



O2 - BHO: (no name) - {F6B1FE15-920F-4DE2-954B-8223202DDFCb} - C:\WINDOWS\system32\dnlxnaui.dll



O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\BEEP\CONFIG~1\Temp\svchost.exe 1



O4 - HKLM\..\Run: [mdzhafm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mdzhafm.dll,gtuvvd



O4 - HKLM\..\Run: [VaCtrls] v7



O4 - HKLM\..\Run: [{297717E9-0BB0-3082-0402-040404180022}] "C:\Archivos de programa\Archivos comunes\{297717E9-0BB0-3082-0402-040404180022}\Update.exe" mc-110-12-0000272



O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\huviglbx.dll",setvm



O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvwak.dll,startup



O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe



O4 - HKCU\..\Run: [Mpoinsz] "C:\Archivos de programa\Common Files\?racle\??chost.exe



O4 - HKCU\..\Run: [IpWins] C:\Archivos de programa\Ipwindows\ipwins.exe



O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll



O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing)



O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll



O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\BEEP\CONFIG~1\Temp\hpdj.exe (file missing)



...................



Descarga LSP FIX lea manual y arregle estas claves:



O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer



Se eliminan con el LSP FIX no con HijackThis.



LSP FIX:

http://www.zonavirus.com/descargas/lsp-fix.asp



..............

Envie muestra de todos estos ficheros:



C:\DOCUME~1\BEEP\CONFIG~1\Temp\[b]svchost.exe 1 [/b]



C:\WINDOWS\system32\[b]mdzhafm.dll[/b]



C:\WINDOWS\system32\[b]huviglbx.dll[/b]



C:\WINDOWS\system32\[b]drvwak.dll[/b]



C:\Archivos de programa\Common Files\?racle\[b]??chost.exe[/b]



C:\Archivos de programa\Ipwindows\[b]ipwins.exe[/b]



C:\WINDOWS\SYSTEM32\[b]wsmsag.dll[/b]



Como Enviar?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Una vez hecho todo esto reinicie e intente pasar Elistara, Elibagla y Elitriip, en Modo Seguro.



Elistara:

http://www.zonavirus.com/descargas/elistara.asp



Elitriip:

http://www.zonavirus.com/descargas/elitriip.asp



Elibagla:

http://www.zonavirus.com/descargas/elibagla.asp



Nos comenta.

[Nuker]

Se recuerda que la eliminacion de las claves es en Modo Seguro. Saludos.

[moshkis]

Perdón por mi ignorancia, pero no entiendo mucho de todo esto que tengo que hacer. No estoy muy puesto en informática y me he perdido en las instrucciones !!



Me puede poner un poco más sencillo los pasos a seguir ??



Yo ahora tengo el ordenador encendido en modo seguro y tengo el hijackthis en una carpeta en la C: tal y como antes me han dicho !!



Que tengo que hacer paso a paso ??



Un saludo.

[Nuker]

Claro...



1-ejecute HijackThis dentro de Modo Seguro



2-Una vez abierto le da en do scan only



3- Marque en la casilla de estas entradas, para eso imprima la pagina o copielas en un cuaderno para que no se le olviden:


[quote]O2 - BHO: (no name) - {13E3F243-35A3-1024-A349-6CE3399AA8EE} - C:\WINDOWS\system32\aejqit.dll



O2 - BHO: (no name) - {271B9357-C3EC-5EC0-77A9-098E0F698644} - C:\WINDOWS\system32\ygslawn.dll



O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\kcvsjuxc.dll



O2 - BHO: (no name) - {F6B1FE15-920F-4DE2-954B-8223202DDFCb} - C:\WINDOWS\system32\dnlxnaui.dll



O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\BEEP\CONFIG~1\Temp\svchost.exe 1



O4 - HKLM\..\Run: [mdzhafm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mdzhafm.dll,gtuvvd



O4 - HKLM\..\Run: [VaCtrls] v7



O4 - HKLM\..\Run: [{297717E9-0BB0-3082-0402-040404180022}] "C:\Archivos de programa\Archivos comunes\{297717E9-0BB0-3082-0402-040404180022}\Update.exe" mc-110-12-0000272



O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\huviglbx.dll",setvm



O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvwak.dll,startup



O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe



O4 - HKCU\..\Run: [Mpoinsz] "C:\Archivos de programa\Common Files\?racle\??chost.exe



O4 - HKCU\..\Run: [IpWins] C:\Archivos de programa\Ipwindows\ipwins.exe



O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll



O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing)



O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll



O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\BEEP\CONFIG~1\Temp\hpdj.exe (file missing) [/quote]



4- Una vez seleccionadas todas estas, abajo le da en Fix Checked, le dará una alerta le pica aceptar y asi se eliminaran.



5- Cierre HijackThis.



6-Entre en Modo Seguro, busque los ficheros que le puse a buscar y una vez localizados los envia comole dicen en el link.



7- trate de ejecutar en Modo Seguro Elistara, Elitriip.



8-Elibagla en Modo Normal



8- Nos pega Log.

[moshkis]

Antes de empezar a hacerlo todo, un par de preguntas.



En los puntos, no veo ningun reiniciar. Tengo que hacerlo en algun momento ??



En los puntos, ahora no veo que tenga que hacer nada con el LSPFix, no hay que hacer nada como antes me dijo ?? En el caso que sí, cómo se hace y en que punto ??



Yo ya tengo el ordenador en modo seguro y todo lo estoy haciendo en modo seguro. Cuando tengo que reiniciar a modo normal ??



Gracias.

[Nuker]

LSP fix puede ser en cualquiera de los ordenes. pero en modo normal, al igual que elibagla, para entrar a modo normal tiene que reiniciar. Todo lo anterior en Modo Seguro. Nos comenta.

[moshkis]

OK !!



Voy a ver que tal sale !!

[moshkis]

Madre mía, vaya lio !!



Esto tiene mala pinta !!



Explico:



Estaba en modo seguro, inicio el hijackthis, voy a Do Scan only, selecciono las casillas de lo que me ha dicho (measeguro que eran esas), le doy a Fix Checked y me sale el mensaje de aceptar, le doy y se me apaga el ordenador y empieza a reiniciarse. Intento hacerlo en modo seguro y ahora NO arranca. Se queda colgado !!



Vuelvo a probar y me hace lo mismo. Consigo con el F8 que me salga el menu de arranque, le doy a modo seguro y cuando parece que lo va a hacer, se queda la pantalla negra y a la izquierda y arriba sale un guion intermitente y se queda asi el ordenador.



Ahora si que estoy realmente desesperado !!



Que ha pasado ??

[moshkis]

Ahora sin saber porque SI que he conseguido encender en Modo Seguro !!



He vuelto a ejecutar el hijackthis y he hecho como antes para eliminar (con Fix Checked) las entradas que me habian indicado (porque NO estaban eliminadas de antes, recuerdo que se me apago el ordenador de repente al darle a aceptar).



Una vez todas las entradas seleccionadas, le he dado al Fix checked y me ha salido un mensaje que dice que voy a eliminarlas y que solo se recuperaran con backup, y le doy a SI, pero entonces me sale otro mensaje (tambien la primera vez) y dice: "hijackthis is about to remove a BHO and the corresponding file from your system. Close all internet explorer windows and all windows explorer windows before continuing for the best chance of success" (no tengo nada abierto) y el boton Aceptar. Entonces le doy a aceptar y pasa como antes, empieza a hacer como si trabajara el hijackthis y de repente la pantalla en negro y se reinicia el ordenador (por cierto, con la pantalla azul comprobando errores 1%,2%, etc...), al final arranca y estamos como al principio, en modo normal no arranca bien porque me desaparecen los iconos y no puedo hacer nada.



Total Desesperation !!



Help !!



Help !!



Un saludo.

[moshkis]

Abandono por esta noche !! Me voy a la cama !!



Si alguien me da alguna esperanza o solucion, intentare probarlo este fin de semana.



Un saludo.

[Nuker]

Envie los ficheros solicitados para su analisis y ejecute en Modo Normal, elibagla. Nos comenta.

[koga]

Aunque no lo crea pienso que vamos por buen camino, el log de HJT muestra infinidad de cosas como dijo NUker "parece zona de batalla" por eso se lo pedi para verlo.

Bueno ahora creo que mejor empecemos por eliminar las entradas dichas por Nuker, luego el lsp-fix y el resto.

Como nos comenta que se le reinicia el computador al intentar eliminar, haga lo siguiente, es mas trabajo pero avanzaremos.

Abra el HJT y vaya eliminando las claves de una por una, ya que tal vez la eliminacion d alguna de ellas sea la que le esta causando el reinicio.

Es bastante trabajo pero creo que es lo mejor, ya sabe, elimine las claves una por una, elimina una y cierra el HJT y lo lanza denuevo y elimina la siguiente, si alguna le reinicia el ordenador, la dejamos y no la volvemos a eliminar, y luego nos comenta cual fue.



Pues veamos como le va con esto, y a ver si arreglamos el campo de batalla que se encuentra en su ordenador.

Nos comenta,





Saludos y tranquilo que ya vamos mas serca!



[b]NOTA:Le recomiendo empezar por los 04 ya que dice que luego del mensage sobre los BHO se reinicia.[/b]

[moshkis]

[quote="Nuker"]Envie los ficheros solicitados para su analisis y ejecute en Modo Normal, elibagla. Nos comenta.[/quote]

Pero NO puedo encender el ordenador en modo normal !!



Entonces como lo hago ??







De momento voy a pasar el HTJ e intentar eliminar esas entradas una por una a ver cual es en la que se me cuelga el ordenador.



Por cierto, las muestras de esos archivos solicitados las envio YA o lo hago despues de pasar el HTJ y eliminar las entradas (ya que con anterioridad entendi que era enviar despues de eliminar las entradas).



P.D.: Parece ser que al final aun estoy en el despacho y no me quito el problema de la cabeza !!

[moshkis]

Buenas !!



Ahora ha ido un poco mejor. He arrancado el HJT y he eliminado UNA x UNA las entradas que me dijeron y ahora no se ha apagado el ordenador.



He ido eliminando y despues de cada una cerrando y arrancando el HJT y así he ido borrando sin que se apagara.



Solo un problema (bueno dos). Hay dos entradas que aunque parece y me dice que las borra, cuando vuelvo al HJT vuelven a aparecer y aunque insisto no hay manera de borrarlas, siempre aparecen de nuevo ahí en las entradas y no hay manera, son:



O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll



O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll



Ahora que hago ??



Intento borrarlas de alguna otra manera ??



Reinicio ??



Envio YA las muestras de los archivos que me dijisteis ??



Saludos.

[moshkis]

Hago algo con el LSP-Fix ?? Aun no lo he utilizado !!

[koga]

Pues parece que avanzamos y que bueno que no haya podido sacarselo de la cabeza porque yo tampoco :lol: :lol: si no hay solucion me quedara dando vueltas...

Veamos si terminamos bien con esto!

Ya que pudo eliminar las claves no se preocupe por la que no se pudo.

Envie las muestras que se pidieron (como bien creia usted era despues de eliminar las entradas) y repare con lsp-fix las entradas indicadas por Nuker.



Y ademas vea si ya puede ejecutar elistara y las otras utilidades.



Saludos.

[koga]

Si tiene dudas de como enviar los archivos vea:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Cualquier duda consulte.



Saludos.

[moshkis]

Dos cosas:



1.- Como hago lo del lsp-fix para reparar esas entradas ?? Me lo pueden aclarar un poco ??



2.- Tengo problemas para enviar muestras de los archivos que se me indicó. Explico: Desde el mismo ordenador no lo puedo hacer ya que no tengo conexion internet. Esto lo hago desde el portatil trapasando los archivos de uno al otro, pero el problema es que no se porque no puedo comprimir con contraseña en el ordenador con problemas (solo puedo sin contraseña, misterio !!) esos archivos y cuando los tengo en el portatil y los quiero comprimir para enviar, me dice el Viruscan del portatil que ha detectado unos archivos con virus (son algunos de ellos) y me los elimina automaticamente. Vaya problemon !!



Ahora me estoy poniendo nerviosillo a ver si voy tambien a infectar el portatil !!



Como hago para pasar esas muestras sin que el portatil me los borre cuando los detecta con virus ?? Y como lo hago para que no coja tampoco virus el portatil ?? Solo me faltaba eso !!

[moshkis]

Bueno, ahora si que me voy a la cama. Mañana más (si me ayudan claro) !!



Sigo estancado ya que ahora NO puedo enviar esas muestras sin que el portatil me detecte virus y me los elimine y ademas el ordenador con problemas, en modo seguro sigue sin poder ejecutar ni el Elistara ni el Elitriip.



Yo lo veo mas o menos igual que al principio.



Buenas noches !!



Un saludo.

[koga]

Pues vaya problema, si lo hace desde ese ordenador debe hacerlo en modo seguro luego para que no los detecte el antivirus.

Para no infectarse cuide de no ejecutarlos.

Lo del lsp-fix lo dejamos a ver si anda nuker por ahi para que le explique.



Que extraño que las utiliaddes aun no funcionen, intente iniciar en modo normal y veamos si anda mejor ahora para correr el elibagle.



Pues que descance y ya seguiremos mñn con el tema.







Saludos.

[moshkis]

Muy buenas, de nuevo !!



Después de unos días de parón, vuelvo a reincorporarme y sigo con el mismo problema en el ordenador.



Después de dejarlo descansar unos días y haber hecho lo que se me indicó con anterioridad, creo que estoy más o menos igual.



Esta mañana he encendido el ordenador en modo normal y mi sorpresa ha sido que ahora NO se me han ido los iconos como me hacía antes, pero sigo con los problemas de conexión y sigo sin poder pasar ejecutables (algunos), incluido Elistara y Elibagle !!



Estoy atascado y no se que tengo que hacer ahora !!



Alguna sugerencia más !!



Un saludo.

[msc hotline sat]

Pruebe de lanzarlos arrancando en modo seguro con solo simbolo de sistema, Y desde DOS, colocando dichos fciheros en la carpeta de sistema entre su nombre y <ENTER>



Y NOS CUENTA EL RESULTADO, GRACIAS



SALUDOS



MS, 24-04-2007

[koga]

Claramente la eliminacion de algunas claves por el HJT debe haber quitado el problema de los iconos y ahora ya puede iniciar en modo normal, pero hay que recordar que hay dos claves que no pudieron ser eliminadas ademas de el hecho de que el solo eliminar las claves no repara los daños hechos en el registro, asi que recuerde porfavor enviar las muestras sugeridas y pruebe lo que le dijo msc (anteriormente ya habia sugerido eso y no funciono, veamos si esta ves si funciona).

Ademas falta eliminar las 010 con la utilidad sugerida, yo no estoy muy enterado de como se ocupa asi que porfavor si anda por ahi Nuker o msc porfavor explicar como utilizar el [b]lsp-fix[/b].







Saludos.

[msc hotline sat]

Atendiendo un priVado que me ha enviado koga, he revisado el anterior Tema de donde proviene este, y lo que he visto es gran c antidad de malwares que pueden haber dejado "tocado" el sistema operativo, si bien hemos mirado de eliminarlos todos pero puede haber variantes descontroladas y claves que hayan sido modificadas sin que lo conozcamos .



Insisto que pruebe de arrancar en modo seguro con solo simbolo de sistema (DOS) y lance las dos utilidades indicadas, y tras ello vea si en la carpeta C:\muestras tiene algun fichero, de ahora o de antes, y en tal caso nos lo envie para analizar, pues será señal de algun sospechoso movido allá sin que lo hayamos pasado a controlar en las siguientes versiones, tras pedir la muestra.



Tras lo indicado, nos postea como respuesta en este Tema, el contenido de C:\infosat.txt para ver lo que hemos detectado ahora, si es el caso, asi como el historico anterior.



Esperamos que con lo indicado podamos darle el tiro de gracia a lo que le moleste, y si persiste algo, lo primero será REPARAR sistema pues e posible que con tanto camino se haya perdido alguna DLL o dañado algun fichero,de sistema y con ello lo repondremos



Y si nos envia muestras enciontradas en C:\Muestras, diganoslo tambien en su proximo post de respuesta a este Tema, gracias



saludos



ms, 24-04-2007

[moshkis]

[quote="msc hotline sat"]Pruebe de lanzarlos arrancando en modo seguro con solo simbolo de sistema, Y desde DOS, colocando dichos fciheros en la carpeta de sistema entre su nombre y <ENTER>



Y NOS CUENTA EL RESULTADO, GRACIAS



SALUDOS



MS, 24-04-2007[/quote]

Buenas !!



Cuando se refiere en la carpeta de sistema, en qué carpeta de la C: se refiere ??



Por cierto, qué intento ejecutar y en qué orden (Elistara, Elibagle, ..., ...) ??



Gracias !!

[koga]

En windows xp la de sistema seria C:/WINDOWS/System32 ahi debe locar elistara qe sera la utilidad que debe correr en este caso, ya que el elibagle era por lo de los iconos que parece estar solucionado.

Recuerde que una vez que ya lo guardo en la carpeta de sistema debe iniciar en modo seguro con simbolo de sistema, escribir el nombre de la utilidad y presionar enter.

















Saludos.

[msc hotline sat]

Y recuerde mirar luego si le queda algun fichero en C:\MUESTRAS\, y si es así, enviarnoslo, pues son sospechosos que hemos de analizar ...



saludos



ms, 25-04-2007

[moshkis]

OK, entendido !!



Ahora estoy en la oficina. En cuanto llegue a casa esta noche (puede que al mediodía) me pondré a hacer sus instrucciones y les comento !!



Gracias.



Un saludo.

[msc hotline sat]

Bien, esperamos sus noticias



saludos



ms, 25-04-2007