pc muy lento no se si es virus o algo raro ayuudaaa

carlitos120885 · Mensaje por **carlitos120885** » 22 Abr 2006, 22:51

hola como andan? hace un tiempo q descargue un juego y venia con un virus, mi pc quedo muy lento con algunos problemas en el explorer y para abrir algunos programas ayuuuudaaaaa porfa.

aqui les mando el log de mi hijackthis.

Logfile of HijackThis v1.99.1

Scan saved at 16:48:32, on 22/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Carlitos\CONFIG~1\Temp\Rar$EX00.016\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe

O4 - HKLM\..\Run: [keyboard] c:\windows\keyboard6.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\Carlitos\CONFIG~1\Temp\16.tmp

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C9969051-52D0-4E38-B2EE-E20FA2C30D29}: NameServer = 216.155.73.40,216.155.73.41

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\dlrpsetu.dll (file missing)

O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)

O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

gracias

Mensaje por **msc hotline sat** » 23 Abr 2006, 08:56

Las cargas de estas claves son sospechosas:

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe

O4 - HKLM\..\Run: [keyboard] c:\windows\keyboard6.exe

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\Carlitos\CONFIG~1\Temp\16.tmp

O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\dlrpsetu.dll (file missing)

O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)

020 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll

Envienos estos ficheros, empaquetados en un ZIP con password VIRUS, anexado a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiques como referencia "REF temp6"

y los analizarenos e informaremos al respecto.

Mientras puede mover estos ficheros a cuarentena y tras reiniciar ya no se pondrán en uso, y ver si con ello desaparecen los problemas, pendiente de eliminarlos totalmente con las utilidades que hagamos al respecto.

Puede lanzar el ELISTARA por si ya le detectara algo o le facilitara el envio de las DLL al moverlas a WINLOGON, si es el caso:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 23-4-2006

carlitos120885 · Mensaje por **carlitos120885** » 23 Abr 2006, 20:35

hola denuevo, sabes no puedo encontrar los archivos, fui a las carpetas y encontre archivos parecidos pero no son como salen ahi, por ejemplo el keyboard6.exe me sale como keyboard61.dat o el C:\WINDOWS\SYSTEM32\winm32 me sale como winm.dll.

lo otro q heche a correr el elistara y me sale un mensaje q dice troyano eliminado haxdoor o algo asi...

q hago?

saludos

gracias

Mensaje por **msc hotline sat** » 23 Abr 2006, 20:45

Posteanos el contenido de C:\infosat.txt a ver si es que el ELISTARA ya ha borrado los ficheros indicados

Tras su lectura te informaré de lo que proceda hacer

saludos

ms, 23-4-2006

Mensaje por **msc hotline sat** » 23 Abr 2006, 20:50

Revisando la ultima version 11.56 del ELISTARA veo que controla el WINM32.DLL, asi que este es logico que no lo encuentres ya:

https://foros.zonavirus.com/viewtopic.php?t=11455&highlight=winm32

Veremos en tu proximo post el resto de los ficheros...

saludos

ms, 23-4-2006

carlitos120885 · Mensaje por **carlitos120885** » 24 Abr 2006, 03:37

ahi va el infosat.txt

Sat Apr 22 16:55:22 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado

C:\Documents and Settings\Carlitos\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Eliminada Class, "{1CA480CD-C0E5-4548-874E-B85B17905B3A}" -> C:\WINDOWS\system32\hp14CB.tmp

Eliminada Class, "{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}" -> C:\WINDOWS\system32\ioctrl.dll

Linea Eliminada del HOSTS --> 127.0.0.5 makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 loudcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 iframestat.com

Linea Eliminada del HOSTS --> 127.0.0.5 toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 hqcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 verybigcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 moviepartnership.com

Linea Eliminada del HOSTS --> 127.0.0.5 callmachine.com

Linea Eliminada del HOSTS --> 127.0.0.5 regcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 klikrevenue.com

Linea Eliminada del HOSTS --> 127.0.0.5 p2dll.com

Linea Eliminada del HOSTS --> 127.0.0.5 t73.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.loudcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.iframestat.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.hqcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.verybigcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.makethemcry.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.moviepartnership.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.callmachine.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.regcash.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.toolbarpartner.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.klikrevenue.com

Linea Eliminada del HOSTS --> 127.0.0.5 http://www.p2dll.com

Eliminada Carpeta "%WinSys%\1024"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Apr 22 16:58:20 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\norton\NV11ESD.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (necesaria para la Limpieza)

Sun Apr 23 14:19:42 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Apr 23 14:22:12 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\norton\NV11ESD.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (necesaria para la Limpieza)

Sun Apr 23 14:27:43 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (necesaria para la Limpieza)

Mensaje por **msc hotline sat** » 24 Abr 2006, 05:56

Ya ves el mensaje repetitivo:

·"No Detectada Utilidad "ELINOTIF.DLL" (necesaria para la Limpieza) "

Descarga la DLL indicada, copiala en la misma carpeta donde tienes el ELISTARA, arranca en modo seguro, lanza el ELISTARA y reinicia:

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

y tras ello vuelve a postearnos el infosat.txtm gracias

saludos

ms, 24-4-2006

carlitos120885 · Mensaje por **carlitos120885** » 24 Abr 2006, 20:51

ahi va lo q me salio

Mon Apr 24 00:26:44 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\CARLITOS\CONFIG~1\TEMP\MSNBHO.DLL.Muestra EliStartPage v11.56

a "virus@satinfo.es". Gracias.

C:\ARCHIV~1\MSN\SMARTTAG\MSNBHO.DLL --> Eliminado

Eliminada Class, "{9DD4258A-7138-49C4-8D34-587879A5C7A4}" -> C:\ARCHIV~1\MSN\smarttag\MSNBHO.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 00:28:47 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\norton\NV11ESD.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"

Mon Apr 24 00:44:15 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 00:46:02 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\norton\NV11ESD.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.6.04.06 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Look2Me

Elininada KEY "Winlogon\Notify\Group Policy"

Desinstalado EliNotif.dll

Mon Apr 24 14:09:42 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 14:11:42 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\norton\NV11ESD.EXE --> AutoExtraible

Mon Apr 24 14:18:26 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 14:22:59 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Mon Apr 24 14:23:17 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Mon Apr 24 14:24:26 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\norton\NV11ESD.EXE --> AutoExtraible

Mon Apr 24 14:32:59 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\PS.A3D --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Apr 24 14:34:43 2006

EliStartPage v11.56 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\norton\NV11ESD.EXE --> AutoExtraible

saludos

Mensaje por **msc hotline sat** » 25 Abr 2006, 05:50

Pues aparte de eliminar lo necesario, le pide una muestra, envienosla si todavia no lo ha hecho:

[quote="elistara"]Por favor, envienos una muestra del fichero

C:\DOCUME~1\CARLITOS\CONFIG~1\TEMP\MSNBHO.DLL.Muestra EliStartPage v11.56

a "virus@satinfo.es". Gracias.[/quote]

saludos

ms, 25-4-2006

carlitos120885 · Mensaje por **carlitos120885** » 25 Abr 2006, 18:43

yap te acabo de mandar el archivo q me pidio al mail virus@satinfo.es

saludos

Mensaje por **msc hotline sat** » 26 Abr 2006, 06:24

Solucionado el problema en el Tema:

https://foros.zonavirus.com/viewtopic.php?p=55748#55748

Ver de aplicar una de las dos soluciones alli indicadas, segun se tenga una u oitra clave.

saludos

ms, 26-4-2006

carlitos120885 · Mensaje por **carlitos120885** » 27 Abr 2006, 04:21

hola nuevamentes sabes, vi el foro q me dijiste pero ninguna de las dos claves salen en mi hijackthis.

que hago?

saludos

Mensaje por **msc hotline sat** » 27 Abr 2006, 09:27

Bo nos consta que hata entrado dicho fichero para analizar "MSNBHO.DLL..."

REPITE EL ENVIO PERO ESTA VEZ A: zonavirus@satinfo.es indicando como referencia "REF MSNBHO"

Tras recibirlo lo analizaremos e inforameros

saludos

ms, 27-4-2006

Mensaje por **msc hotline sat** » 27 Abr 2006, 11:47

Examinada la muestra recibida de MSNBHO.DLL se pasa a controlar en la version que estamos haciendo hoy del ELISTARA 11.60

La informacion sobre el dicho troyano puedes verla en:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453073185

Tras probar la version indicada, nos cuentas el resulado, gracias

saludos

ms, 27.4.2006

carlitos120885 · Mensaje por **carlitos120885** » 28 Abr 2006, 05:19

hola nuevamente, perdon por dar tanto problemas.

mira borre el archivo mousepad el keyboard y otro que decia temp/16 pero los otro no me atrevi a borrarlos,

la pregunta es como los coloco en cuarentena los otro archivos.

a y cuando borre los otros no le paso nada al pc siguio =

saludos chau

Mensaje por **msc hotline sat** » 28 Abr 2006, 09:45

Para poner ficheros en cuarentena, abres una cvarpeta con dicho nombre, si no existe, y los mueves ahí.

Al reiniciar ya no los encontrará y no los pondrá en uso

saludos

ms, 28-4-2006

Ojo: MOVER no es solo COPIAR ! ms.

carlitos120885 · Mensaje por **carlitos120885** » 29 Abr 2006, 05:02

hola nuevamente. mira baje el programa q me dijieron el etrush

scanie mi pc, pero le apreto quarantine all pest pero me sale un letrero q dice activation requiered high level threats found

to remove high level spyware buy etrush pestpatrol now

y me detecto las siguientes cosas

bearshare

gnucdna

trojan.win32.dialer.hc

xolox

y lo otro es que trate de actualizarlo y no me resulto

que hago?

saludos

Mensaje por **msc hotline sat** » 29 Abr 2006, 10:22

Arranca en modo seguro, lanza el ELISTARA y podras eliminar la muestra enviada y con la misma referencia envianos los ficheros donde te detecta las infecciones y los pasaremos a controlar

saludos

ms. 29-4-2006

carlitos120885 · Mensaje por **carlitos120885** » 30 Abr 2006, 19:31

hola nuevamente, lo pude actualizar finalmente

las claves q me detecta son estas

HKEY_CLASSES_ROOT\ares.collectionlist

HKEY_CLASSES_ROOT\clsid\{f02c0ae1-d796-42c9-81e1-084d88f79b8e}

HKEY_CLASSES_ROOT\typelib\{2850bdc7-2330-4e31-9fa0-88268846539a}

HKEY_CURRENT_USER\SOFTWARE\EMULE

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ED2K

saludos

Mensaje por **msc hotline sat** » 01 May 2006, 10:00

Lo que indicas no son ficheros. Entrando en Herramientas del I.E., elimina temporales y cookies y tras lanzar el ELISTARA, posteanos el ciontenido de C:\infosat.txt

Informanos al mismo tiemopo de las anomalias que persisten, gracias

saludos

ms, 1-5-2006