Consulta (SOLUCIONADO)

[KESIA]

Hola:



Bueno como estan primero que todo, agradecerles por su ayuda siemppre cuando tengo problemas :) .

Lo siguiente es que la PC ah estado un poco lenta, y se le cambia la fecha y la hora continuamente, sin decir que el internet anda muy lento y aveces incluso no responden las paginas, yo pense primeramente que podia ser donde me queda poquito espacio en el disco,(15 gb de 80 que tenia), luego escribiendo el mensaje recorde que dos veces salia un aviso de windows sobre la poca memoria virtual que tenia, pero en fin, realmente no es lo que es, se me ocurrio pasar inmediatamente el elitriip, elistarA y el hijackthis, ahora les dejo los info que me entregaron estas utilidades :



Tue Feb 19 01:57:29 2008

EliTriIP v4.39 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 19 01:57:32 2008

EliTriIP v4.39 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4350

Nº Total de Ficheros: 56096

Nº de Ficheros Analizados: 9382

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Feb 19 02:12:00 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 19 02:14:25 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 19 02:14:35 2008

EliStartPage v15.68 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4271

Nº Total de Ficheros: 40575

Nº de Ficheros Analizados: 8682

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Y por ultimo el log de hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 2:19:37, on 19/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

C:\Archivos de programa\Pure Networks\Network Magic\nmapp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Pure Networks\Network Magic\nmsrvc.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [YSearchProtection] "C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nmapp] "C:\Archivos de programa\Pure Networks\Network Magic\nmapp.exe" -autorun -nosplash

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Zinio DLM] C:\Archivos de programa\Zinio\ZinioDeliveryManager.exe /autostart

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0270E604-387F-48ED-BB6D-AA51F51D6FC3} (Image Uploader Control) - http://iu.sonico.com//ImageUploader.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-CL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.66.155.171.22.downloads.estara.com./as/OneCCDM.php?template=73835&sessionid=381800130_190.54.147.210_1382&=&req=1190135878703OneCC.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5196/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: pure-go - {4746C79A-2042-4332-8650-48966E44ABA8} - C:\Archivos de programa\Archivos comunes\Pure Networks Shared\puresp3.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pure Networks Net2Go Service (nmraapache) - Unknown owner - C:\Archivos de programa\Pure Networks\Network Magic\WebServer\bin\nmraapache.exe" -k runservice (file missing)

O23 - Service: Pure Networks Network Magic Service (nmservice) - Pure Networks, Inc. - C:\Archivos de programa\Pure Networks\Network Magic\nmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe



Ahi esta todo espero sus respuestas, cuando pase el elistara como que se me quedo sin respuesta cuando estaba eliminando los ficheros temporales, en fin desde ya muchas gracias por su ayuda :wink:

[msc hotline sat]

Pues el log está limpio, y sobre lo indicado del ELISTARA, elimine los temporales desde el I.E. antes de probarlo de nuevo:



I.E. -> Herramientas -> Opciones de Internet -> Historial de Exploracion / Eliminar Archivos Temporales



Aparte elimine los ficheros de la carpeta c:\windows\prefetch\



y lance una copmprobacion de errores / desfragmentar



Tras ello nos comenta el resultado, gracias



saludos



ms, 19-2-2008





NOTA: Lo de la fecha y hora puede ser por desgaste de la pila de mantenimiento del CMOS, cambiela que debe estar gastada. ms.

[KESIA]

Hola :



Hice lo que me dijiste, menos lo de desfragmentar el disco ya que mi hermano me dijo que podia perder informacion al hacer eso, cosas que no ocupara frecuentemente y que si no tenia cd de respaldo de mis archivos mejor no lo hiciera, por otra parte sali y el se quedo revisando mi pc y me conto que tenia muchos spyboot o algo asi y unos virus de messenger ( ese de las fotos en zip otra ves) me dijo que se habia metido en el sistema de arranque, y algo de internet que no le entendi muy bien, la cosa es que me elimino algunos pero dijo que aun me quedaban varios, me dijo que tratara de bajar un antivirus para ver si los detectaba y eliminaba sino tendria que formatiar la pc.

Lo que hice fue pasar nuevamente el nod 32 y empezo ah encontrar unos archivos medio extraños, como por ejemplo :

c:/pagefile.sys

C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\BackItUp_ImageTool\root.img »GZ - Archivo comprimido dañado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Messenger\asesin_forever@HOTMAIL.COM\SharingMetadata\vash.n@hotmail.com\DFSR\Staging\CS{ADA9B0E5-94B8-529B-C6E6-D942B3E12AEB}\00\100-{A4CA832B-3596-4B8B-A812-CDBAF2D25363}-v100-{A4CA832B-3596-4B8B-A812-CDBAF2D25363}-v100-Downloaded.frx - Error abriendo archivo [4]

(de este de arriba ahi varios)



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]

C:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]

C:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]



C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\drivers\sptd.sys - Error abriendo archivo (El archivo está bloqueado) [4]



Ademas puse mostrar los archivos ocultos y los archivos ocultos de el sistema y ahi pude encontrar el pagefile.sys el que no estaba en el modo normal, ademas encontre unos folders.jpg de una pelicula que nadie en casa habia bajado (changenes lines) ese es el nombre de la pelicula de las fotos) y estos estaban ocultos en el sitema, como tambien la carpeta RECYCLER que si mal no recuerdo la tube que eliminar una vez.



Bueno volvere a pasar las utilidades para ver lo que me sale y les aviso, mientras tanto espero su respuesta, muchas gracias .



Pd: Respecto a lo de la pila gastada, mi hermano me dijo que no creia que fuera eso pues el pc es comprado hace menos de un año tiene al rededor de siete meses de uso y por lo tanto la pila es nueva supuestamente.

[KESIA]

Hola:



Pase el Kaspersky online y me salieron 3 archivos infectados, ademàs de una lista de objetos saltados, incluyendo los mismo virus, los que encontro fueron Trojan.Win32.Pakes.btu y además el not-a-virus:AdTool.Win32.MyWebSearc no tenia actualmente las descripciones de estos ya que son variables de otros anteriores, voy a descargar la version de prueba para ver si los puedo eliminar.

Posteare el info que me dio para que vean los ficheros que estaban infectados.

Envio unas muestras antes de eliminar?

Por otra parte ninguna de las utilidades encontro el virus, use , el eliblaga. elistara, elitriip y el hijackthis.

Bueno los dejo enviare las muestras para que traten de encontrar la manera de eliminacion de estos ok



Desde ya muchas gracias por toda su ayuda :wink:



saludos

[KESIA]

KASPERSKY ONLINE SCANNER INFORME

miércoles, 20 de febrero de 2008 0:51:03

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 20/02/2008

Registros en la base antivirus: 573353

Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

C:\

D:\

Estadísticas

Número de objeros analizados 41438

Virus encontrados 3

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 00:31:51



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\infected\WPTIW0BA.NQF Infectados: Trojan.Win32.Pakes.btu saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\Internet Explorer\msimg32.dll Infectados: not-a-virus:AdTool.Win32.MyWebSearch.au saltado

C:\Archivos de programa\mÎRÇâXi§\mirc.exe Infectados: not-a-virus:Client-IRC.Win32.mIRC.616 saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008021920080220\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Microsoft\Internet Explorer\UserData\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Pure Networks\Network Magic\Log\logfile.nmapp_exe.txt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Pure Networks\Network Magic\Log\logfile.nmsrvc_exe.txt Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

[msc hotline sat]

Pues respecto a lo que indica "mi hermano me dijo que podia perder informacion al hacer eso" cabe decirle que lo que pueda borrar la comprobacion de errores, no está en condiciones de uso, asi que no se pierde nada, pues no se puede perder lo que ya no se tiene...



Pero en fin, de lo indicado me parece muy bien que haya pasado el kaspersky ONLINE, especialmente si con ello ha detectado tres ficheros infectados, [b][i]envienoslos como indicamos a continuacion[/i][/b], y tras analizarlos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y mientras, puede renombrar dichos ficheros a extension .VIR y asi aparcarlos sin que se vuelvan a poner en marcha a partir del siguiente rinicio, pero no los borre, ya lo haran nuestras utilidades, y con ello las claves de registro que los lanzan y demas restos que pudieran haber creado.



saludos



ms, 20-2-2008

[KESIA]

Hola:

Acabo de enviar las muestras comprimidas en RAR y con la contraseña VIRUS .



Espero su respuesta desde ya muchas gracias por todo :wink:

[msc hotline sat]

Muestras recibidas. Se procesaran hoy e implementarn en las nuevas versiones de nuestras utilidades, de lo cual informaremos



saludos



ms, 20-2-2008

[KESIA]

Hola:



Muy bien, entonces esperare su aviso para eliminar los ficheros, mientras les cambie la extencion a .VIR

Desde ya muchas gracias y espero su respuesta. :wink:

[msc hotline sat]

Bueno, pues de los tres ficheros que envias, el MIRC es una version 6.16 que ya está sobrepasada, habiendo ya una 6.31,



http://www.mirc.net/archive_files/mirc631.exe



aparte de ser lo que es, una posible fuente de infeccion de SDBOT por Internet Relay Chat, nada aconsejable! Si no lo usas, eliminalo.



El .NQF es un escriptado con XOR A5 propio de la carpeta de cuarentena de NOD32, el cual puedes eliminar arrancando en modo seguro o desactivando el antivirus. (en su estension original y sin encriptar, ya lo controla el ELITRIIP)



y la DLL es un MyWebSearch que pasamos a controlar con la version de hoy del ELISTARA



Descarga las nuevas versiones de estas utilidades y pruebalas:





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 20-2-2008

[KESIA]

Pase las utilidades pero ocurrio un problema con el elitriip, no encuentra el virus, el elistara lo encontro y elimino, pero el elitriip no, lo intente solo deshabilitando el antivirus, cuando vi que no encontraba el fichero es el que tiene la extension .NQF) lo intente corriendo en modo seguro, y tampoco lo encontro, luego puse que se vieran todos los archivos ocultos, tampoco encontro nada, ahora pasare denuevo el antivirus online para ver que me sale y te posteo el info por el momento te dejare el infosat que me entregaron las utilidades.



saludos



Pd: Antes de pasar las utilidades les cambiea los ficheros la extension .VIR a su extension original.

[KESIA]

Wed Feb 20 16:41:29 2008

EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Feb 20 16:41:45 2008

EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Internet Explorer\MSIMG32.DLL --> Eliminado, MyWebSearch.AU



Nº Total de Directorios: 4279

Nº Total de Ficheros: 41006

Nº de Ficheros Analizados: 8687

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Feb 20 16:50:03 2008

EliTriIP v4.41 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 20 16:50:56 2008

EliTriIP v4.41 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4278

Nº Total de Ficheros: 40999

Nº de Ficheros Analizados: 7950

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Feb 20 16:54:10 2008

EliTriIP v4.41 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 20 16:54:12 2008

EliTriIP v4.41 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4278

Nº Total de Ficheros: 40999

Nº de Ficheros Analizados: 7950

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[KESIA]

Hola:



Al final decidí desintalar el antivirus, pondre la version de prueba de el Kaspersky por mientras para ver que tal es, al desintalalar el antivirus puse a correr el antivirus online, y hasta el momento no encontro nada.



Desde ya te agradesco mucho por toda tu ayuda y atencion :wink: .



Tambien queria preguntarte si crees que es mejor que desfragmente el dico? pues a pesar de haber encontrado y eliminado estos virus igual el pc esta medio lento.



Bueno espero tu respuesta, desde ya repìto muchas pero muchas gracias :)

[Claudia34]

Desfragmentar nunca viene mal realizarlo, te deja la pc en condiciones casi optimas asi como realizar un scandisk completo.



Saludos.

[msc hotline sat]

Pues claro que el ELITRIIP no lo detecta, porque está encriptado y con extension .NQF, y ya deciamos:


[quote][b][i]El .NQF es un escriptado con XOR A5 propio de la carpeta de cuarentena de NOD32, el cual puedes eliminar arrancando en modo seguro o desactivando el antivirus. (en su estension original y sin encriptar, ya lo controla el ELITRIIP) [/i][/b][/quote]

No te preocupes por él, esta aparcado y fuera de circulacion, si quieres desactiva el antivirus y borralo normalmente.



Y si ya el AV ONLINE no detecta nada, felicidades, el ELISTARA hizo su faena...



Ya con ello damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 21-2-2008

[KESIA]

Holas :



Queria agradecer por su ayuda....pense que el tema se habia cerrado como salia en el ultimo mensaje :lol: jajaja pero parece que no asi que este ya lo doy por concluido espero que luego lean mi mensaje para que lo cierren y asi poder escribir el que necesitaba ahora jiji pero no importa esperare....



bueno muchas gracias por todo

[msc hotline sat]

Pues damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 24-5-2008