Anuncios que salen y error encontrando services.exe

vader46 · Mensaje por **vader46** » 16 May 2007, 17:17

Pues eso, me empezaron saliendo ventanitas de anuncios tipo WinSecurity y rollos de esos, actualizé y eliminé lo que encontraron el Spybot, SuperAntiSpyware, SpywareBlaster y más, pero aún así siguen de vez en cuando y vuelven a salir los mismos archivos detectados.

Ahora encima al iniciar el pc me sale un mensaje de que no encuentra C:\Windows\ServicePackFiles\services.exe y si lo acepto sale otro de que se tiene que apagar el ordenador en 60 segundos (al parecer porque lo cierra NT authority/SYSTEM)

Qué más puedo hacer? os pongo el log del HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 16:24:05, on 16/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

H:\Archivos\ELISTARA.25052007.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\SoftwareDistribution\Download\1fb437726a9d2d53887d7f0e04ee5b74\update\update.exe

C:\Documents and Settings\usuario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\cqxkkbdn.dll",realset

O4 - HKLM\..\RunOnce: [ReEXEc] H:\Archivos\ELISTARA.25052007.EXE

O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Archivos de programa\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: CarbonPoker - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Archivos de programa\CarbonPoker\Poker.exe (HKCU)

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

Mensaje por **msc hotline sat** » 16 May 2007, 17:44

Elimina estas claves:

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\cqxkkbdn.dll",realset

O4 - HKLM\..\RunOnce: [ReEXEc] H:\Archivos\ELISTARA.25052007.EXE

O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

y envianos muestra de estos ficheros para analizar:

C:\WINDOWS\ServicePackFiles\services.exe

C:\WINDOWS\system32\cqxkkbdn.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 16-05-2007

vader46 · Mensaje por **vader46** » 17 May 2007, 01:01

no me da tiempo a cojer los ficheros porque ahora ya aparece directamente la ventana de los 60 segundos y no es que vaya rapido precisamente ahora el ordenador. Las claves si me dio tiempo a borrarlas. Qué más puedo hacer?

Mensaje por **msc hotline sat** » 17 May 2007, 05:44

Pues sin muestras poco podemos hacer...

Cuando le aparezca el Shutdown, ejecute Inicio -> Ejecutar -> Shutdown -a

y eso detendrá la cuenta atrás, con lo que podrá enviarnos las muestras para poder analizarlas y darle la solucion adecuada

saludos

ms, 17-05-2007

vader46 · Mensaje por **vader46** » 17 May 2007, 18:09

Me soluciona mucho eso ya, pero aun tengo el problema de que ahora no puedo configurar ningun tipo de red ni nada y no me conecta ni a internet ni conectando un cable este pc para pasar el archivo ni nada... qué puedo hacer?

Por cierto el archivo services.exe no existe, el otro si.

Mensaje por **msc hotline sat** » 17 May 2007, 18:20

Esto es para poder arrancar, con ello lance este AV ONLINE :

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y nos comenta el resultado, gracias

saludos

ms, 17-05-2007

vader46 · Mensaje por **vader46** » 17 May 2007, 18:29

pero ya digo que no puedo conectarme a internet desde ese pc ya...

Mensaje por **msc hotline sat** » 17 May 2007, 18:58

habiamos entendido que era por el shutdown, pero una vez detenido cabia poderlo hacer...

Pruebelo arrancando en modo seguro con funciones de red, y nos informa.

Pero en cualquier caso , las muestras ya las puede cojer y enviarnoslas desde otro PC, lo ha hecho ?

saludos

17-05-2007

vader46 · Mensaje por **vader46** » 18 May 2007, 15:41

El modo seguro no sé que le pica, pero aún desactivando la opción de restaurar sistema, me salen ventanitas todo el rato diciendo que windows va a restaurar el sistema....

El archivo ya está enviado, siento tardar tanto, pero no estoy en casa y este ordenador no lo puedo utilizar siempre que quiero.

Gracias por su ayuda.

vader46 · Mensaje por **vader46** » 19 May 2007, 22:45

no sé si ayuda para determinar que puede ser, pero no me deja instalar las actualizaciones de windows. Pone "se canceló el programa de instalación de WgaNotify"

Mensaje por **msc hotline sat** » 20 May 2007, 12:31

Pues el lunes examinaremos el fichero que nos ha enviado e informaremos

saludos

ms, 20-05-2007

Mensaje por **msc hotline sat** » 21 May 2007, 18:28

Analizadas las muestras resultan ser variantes del VUNDO 7 que pasamos a controlar con la nueva version 14.02 del ELISTARA de hoy, que estara disponible a partir de las 20 h GMT

saludos

ms, 21-05-2007

Mensaje por **msc hotline sat** » 21 May 2007, 18:29

Analizadas las muestras resultan ser variantes del VUNDO 7 que pasamos a controlar con la nueva version 14.02 del ELISTARA de hoy, que estara disponible a partir de las 20 h GMT

saludos

ms, 21-05-2007

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

vader46 · Mensaje por **vader46** » 23 May 2007, 00:33

Wed May 16 15:38:33 2007

EliStartPage v13.97 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsUpdate"="rundll32.exe "C:\WINDOWS\system32\eggevkiy.dll",realset" (Vundo)

Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\dddefg.dll",realset" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\180AX.EXE.Muestra EliStartPage v13.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\180AX.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SALM.EXE.Muestra EliStartPage v13.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SALM.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SATMAT.EXE.Muestra EliStartPage v13.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SATMAT.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\BI.DLL.Muestra EliStartPage v13.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\BI.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\EGGEVKIY.DLL.Muestra EliStartPage v13.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EGGEVKIY.DLL --> Eliminado

C:\WINDOWS\DDDEFG.DLL --> Vundo7 Renombrado a .VIR

C:\WINDOWS\DIDDUID.INI --> Eliminado (Fichero Complementario).

C:\I --> Eliminado (Fichero Complementario).

C:\Documents and Settings\usuario\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.google.com

Eliminada Carpeta "%WinSys%\Wsnpoem"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed May 16 15:39:23 2007

EliStartPage v13.97 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\RQPOOL.DLL --> Eliminado, Vundo7

C:\WINDOWS\DDDEFG.DLL.VIR --> Acceso Denegado, Vundo7

C:\WINDOWS\system32\BTPNTL.DLL --> Acceso Denegado, DownLoader.ConHook2(notify)

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\83AB6H6L\CRLDR[1].EXE --> Eliminado, Pakes(dldr)

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

----------------------------------------------

----------------------------------------------

Pues si parece que todo va bien, muchas gracias por su ayuda!!! les recomendaré donde pueda.

Mensaje por **msc hotline sat** » 23 May 2007, 14:45

Actualice el ELISTARA, pues usó la 13.97 en lugar de la 14.02 que debía haber usado (por lo menos...) !

Tras ello posteenos el contenido del nuevo c:\infosat,txt para ver que se han eliminado todos los restos

saludos

ms, 23-05-2007

vader46 · Mensaje por **vader46** » 24 May 2007, 15:11

Sun May 20 00:15:52 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "setup"="rundll32.exe "C:\WINDOWS\system32\ppwmetxs.dll",realset" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\PPWMETXS.DLL.Muestra EliStartPage v14.00

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PPWMETXS.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\SSQNMJH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{F4342EA0-0435-4E22-A991-BE33119595FE}" -> C:\WINDOWS\system32\ssqnmjh.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 20 02:30:20 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SSQNMJH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{F4342EA0-0435-4E22-A991-BE33119595FE}" -> C:\WINDOWS\system32\ssqnmjh.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 20 02:30:50 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sun May 20 15:17:58 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "setup"="rundll32.exe "C:\WINDOWS\system32\gfkjfrip.dll",realset" (Vundo)

Sun May 20 15:21:41 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SSQNMJH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{F4342EA0-0435-4E22-A991-BE33119595FE}" -> C:\WINDOWS\system32\ssqnmjh.dll

Sun May 20 15:24:42 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SSQNMJH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{F4342EA0-0435-4E22-A991-BE33119595FE}" -> C:\WINDOWS\system32\ssqnmjh.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue May 22 23:39:19 2007

EliStartPage v14.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.03

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\SERVICES.EXE --> Eliminado

Eliminada Class, "{F4342EA0-0435-4E22-A991-BE33119595FE}" -> C:\WINDOWS\system32\ssqnmjh.dll

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.google.com

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed May 23 01:47:49 2007

EliStartPage v14.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.03

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\SERVICES.EXE --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 24 14:07:31 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 24 14:07:40 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\BTPNTL.DLL --> Acceso Denegado, DownLoader.ConHook2(notify)

C:\WINDOWS\system32\CQXKKBDN.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\SNIEUFMV.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\QQRFDLAT.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\PPWMETXS.DLL.VIR --> Eliminado, Vundo7

C:\Muestras\EGGEVKIY.DLL.MUESTRA ELISTARTPAGE V13.97 --> Eliminado, Vundo7

C:\Muestras\PPWMETXS.DLL.MUESTRA ELISTARTPAGE V14.00 --> Eliminado, Vundo7

C:\Muestras\GFKJFRIP.DLL.MUESTRA ELISTARTPAGE V14.00 --> Eliminado, Vundo7

--------------------------------------------------------

--------------------------------------------------------

Lo fui pasando desde el domingo, pero parece que hay algo que no se acaba de borrar. No puedo explorar después de reiniciar ya que aun me aparece el shutdown y no le da tiempo... qué más puedo hacer?

El problema que tengo ahora es que la linea va perfecta bajando cosas (500 kb/s) pero luego al jugar a juegos online y cosas asi el ping es altisimo y toda la red va mal!

Mensaje por **msc hotline sat** » 24 May 2007, 15:43

Se te está pidiendo que nos envies este fichero para analizar:

"Wed May 23 01:47:49 2007

EliStartPage v14.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.03 "

lo has hecho ???

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 24-05-2007

vader46 · Mensaje por **vader46** » 24 May 2007, 15:47

lo intente hacer, pero ese archivo no existe

vader46 · Mensaje por **vader46** » 24 May 2007, 15:49

no puedo editar mi mensaje... queria poner que en esa carpeta solo tengo los archivos 180AX.exe, BI.dll, SALM.exe y SATMAT.exe

Mensaje por **msc hotline sat** » 24 May 2007, 15:58

Bueno, si ya no existe, señal de que algo lo ha detectado y eliminado, PUES OLVIDEMOSLO

y ademas veo que no ha podido eliminar

C:\WINDOWS\SYSTEM32\SSQNMJH.DLL

C:\WINDOWS\system32\BTPNTL.DLL

Pues mira de, arrancando en modo seguro, volver a probar el ELISTARA , pero bajate la version actual, 14.04, a ver si de esta manera logra eliminar los ficheros indicados

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 24-05-2007

vader46 · Mensaje por **vader46** » 01 Jun 2007, 15:23

Sun May 27 22:18:53 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 27 22:19:04 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\BTPNTL.DLL --> Eliminado, DownLoader.ConHook2(notify)

Wed May 30 23:23:11 2007

EliStartPage v14.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed May 30 23:23:19 2007

EliStartPage v14.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jun 01 14:14:28 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jun 01 14:14:36 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

-----------------------------------------------------------

-----------------------------------------------------------

Estuve pasando el elistara desde el domingo y creo que ya está eliminado el archivo ese que encontraba, y parece que la conexión va mucho mejor de lo que iba, pero sigo teniendo algunos problemillas:

1. no me aparece nada en Conexiones de Red, no puedo ni configurar una red, ni conectarme a redes inalámbricas ni nada.

2.sigue apareciendo el shutdown (no podria crear algun tipo de archivo que se ejecutase cada vez que inicio windows y que cierre el shutdown o algo asi?)

3. sigo sin poder instalar las actualizaciones de windows, ni las de windows ni ninguna otra que utilice formato .msi (por ejemplo queria instalar el apache y el ejecutable viene en .msi y no me instala)

Mensaje por **msc hotline sat** » 01 Jun 2007, 16:13

Si en Conexiones de Red no le aparece nada desde luego no podrá conectarse a Intenet ni por cable ni por wireless...

1.- Mire de Desinstalar la tarjeta de red e instalarla de nuevo, pueden haber quedado dañados los drivers

2.- El Shutdown lo lanza windows ante un error de sistema, bien por corrupcion de fiocherpos de alguna aplicacion, bien por intento de intrusion, bien por desbordamiento de buffer, etc

Hay varias maneras de frenarlo, pero lo que se ha de conseguir es reparar la incidencia para que no lo lance, porque lo contrario es esconder el problema. Se puede hacer, para descargar parches que falten por ejemplo, pero no para trabajar normalmente:

a) Lanzar un Inicio -> Ejecutar : Shutdown -a

b) Una vez iniciada la cuenta atrás, atrasar 2 horas el reloj, y la cuenta acabará a la hora prevista inicialmente, esto es, dos horas mas tarde.

3.- Mire si en la carpeta C:\muestras\ tiene algun fichero, y si es el caso, envienoslo:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 1-06-2007

vader46 · Mensaje por **vader46** » 01 Jun 2007, 17:07

1. la conexion a internet por red me va, y bien (asi como la red en si, que ya tenia configurada antes)

2.a lo que me referia era si habia alguna forma de hacer lo de shutdown -a automáticamente al entrar en windows, para que pueda encender el ordenador e irme de enfrente del mientras se inicia, jeje.

ya están enviadas las muestras pues

Mensaje por **msc hotline sat** » 04 Jun 2007, 12:48

El shutdown -a solo debe usarse para solucionar el problema cuando inicia la cuenta atras y se sabe como arreglarlo, para tener tiempo a ello, no para dejarlo para siempre, pues justamente el shutdown lo lanza windows ante un error de proceso que no debe pasarse por alto.

Por ejemplo, cuando faltan parches y se recibe un desbordamiento de buffer por intento de intrusion de un gusano por el agujero de seguridad, entonces procede lanzar el shutdown -a para tener tiempo de lanzar las actualizaciones e instalar los parches.

Igualmente, si es por una aplicacion instalada erronea o corrupta, con ello se tendrá tiempo para desisntalarlo y asi, al reiniciar, ya no tener porblemas.

saludos

ms, 4-06-2007

vader46 · Mensaje por **vader46** » 04 Jun 2007, 14:11

correcto, entendido, a ver si lo solucionamos pues.

no encontrasteis nada en las muestras que os envié?

Mensaje por **msc hotline sat** » 04 Jun 2007, 14:18

Hoy es festivo en Barcelona y no estoy en el trabajo, pero lo recibido antes del viernes se controló con la 14.11 que ya has probado, asi que quizas no llegaron, o no las enviaste como indicamos...

repite el envio:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 4-06-2007

vader46 · Mensaje por **vader46** » 04 Jun 2007, 19:27

las envié justo el viernes... cuando tengan tiempo pues ya las analizan y me comentan el resultado. Gracias!

Mensaje por **msc hotline sat** » 04 Jun 2007, 19:55

Claro ! , entonces mañana, cuando volvamos al trabajo las encontraremos y analizaremos

saludos

ms, 4-06-2007

Mensaje por **msc hotline sat** » 06 Jun 2007, 11:32

Analizados los ficheros enviados son ficheros basura que en la version actual del ELISTARA ya borramos directamnente sin pedir muestra.

Compruebelo con el infosat.txt al respecto, y si quiere algo mas, lance el actual ELISTARA 14.12 Y POSTEENOS EL c:\INFOSAT.TXT , GRACIAS

saludos

ms, 6-06-2007

vader46 · Mensaje por **vader46** » 14 Jun 2007, 22:12

Aqui dejo el infosat y las muestras ya fueron enviadas...

Thu Jun 14 20:42:08 2007

EliStartPage v14.20 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "GPLv3"="rundll32.exe "C:\WINDOWS\system32\rvsupfmh.dll",realset" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\RVSUPFMH.DLL.Muestra EliStartPage v14.20

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RVSUPFMH.DLL --> Renombrado a .VIR

Eliminada Class, "{8A61098D-612B-4EF2-943D-64E920684061}" -> NULL1

Eliminado Servicio, "AFSEGTGF Windows Service"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectada Posible Infección del Desbot.C

Thu Jun 14 20:51:35 2007

EliStartPage v14.20 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "AFSEGTGF Windows Service"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jun 14 20:51:43 2007

EliStartPage v14.20 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DSVQA.EXE --> Eliminado, Desbot.C

C:\WINDOWS\system32\KHFCB.DLL --> Eliminado, Vundo6(notify)

C:\WINDOWS\Temp\2.TMP --> Eliminado, CWS.Yexe (dldr)

C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP13\A0009708.DLL --> Eliminado, Vundo7

C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP15\A0010837.EXE --> Eliminado, Desbot.C

C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP15\A0010838.DLL --> Eliminado, Vundo6(notify)