VIRUS ME CAMBIA LA FECHA Y SE ABREN PAGINAS EN CHINO

[Henrhy]

Hola buenas tardes tengo el siguiente problema con mi laptop:

Primero se abria de la nada una pagina de internet en chino, pero deje pasar eso por dos dias y ahora aparte de abrirse las paginas de internet en chino, se cambia la fecha al 2004 y demora cerca de 15min en apagarse...

bueno cuando voy a CONTROL PANEL - ADD AND REMOVE PROGRAMS me salen 2 programas que jamas agrege el "adsense based popad" y el "ÍøÕ¾ÅÅÃû¹¤¾ßÌõ" que no se que significa... trate de elinarlo ayer con el kasperky pero me di con la sorpresa que no se podia ejecutar me salia un error, ahora intente ejecutar y el mismo problema, lo desinstale e instale y nada, no quiere correr el kaspersky... bueno tambien le instale el Systweak AntiSpyware y le pase el CCleaner y ambos eliminaron estos archivos... pero cuando la apage y la prendi otra vez me salio con la fecha 2004 y se abren paginas de internet!!! osea los virus sobreviven

Bueno alguien sabe si ya hay solucion para este problema... se lo agradeceria mucho.



P.D: en archivos de programa en vez de las letras chinas aparece el zzToolBar y un archivo ee(con el logo de MS-DOS) con size 12kb y type Shortcut to MS-DOS program

y en Documents and settings me aparece estos archivos 2,3,6,9,10 (todos ellos con el logo MS-DOS) con size 159,25,135,180 y 313kb y type Shortcut to MS-DOS program

[Henrhy]

Hola q tal, bueno ya le logre eliminar el virus "creo" xq ya no se cambia la hora pero cuando inicio sesion aparecen ciertos errores como el que se los muestro en el adjunto.

Bueno alguien sabe como solucionar esos errores, ya que cuando le paso Systweak AntiSpyware luego de un rato se cambia a una pantalla azul y tambien me paso lo mismo cuando le pase el kaspersky online :( alguien tiene alguna solucion



gracias

HENRY

[Henrhy]

Aqui esta lo mismo pero le enconte el parche para el español... osea lo errores estan es español... jejeje

[msc hotline sat]

En tu anterior participacion en el TEMA: viewtopic.php?f=5&t=25825 se te había indicado que lanzaras este AV ONLINE y postearas el informe resultante...

Haz lo indicado, y si tienes problemas en lanzarlo, arranca en modo seguro con funciones de red para ello.

Cuando hayas posteado el informe pedido, seguiremos

y a la vista de tu último post, mira que tengas este fichero c:\windows\rundll32.exe , sino copiaselo de otra máquina con igual sistema, y si lo tienes, además del informe del AV ONLINE que ya deberías haber posteado, prueba el SPROCES y nos posteas el fichero resultante:

SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

saludos
ms, 19-09-2008

[Henrhy]

HOLA QUE TAL!!! bueno hice lo que dijiste pero no se puede entrar a prueba de fallos y tampoco le puedo pasar el antivirus ni antispyware porque sale una pantallazo azul y luego se resetea. alguna otra solucion???

[msc hotline sat]

Pues arranca como quieras o puedas y lanza el SPROCES Indicado y posteanos el c:\SPROCLOG.TXT

Por supuesto que dicha utilidad puedes bajarla con otro ordenador y copiarla a este.

A la vista del resultado, obraremos en consecuencia

saludos
ms, 23-09-2008

[Henrhy]

AHI ESTA ADJUNTO SProcLog.txt...



ojala les sirva! gracias

[Henrhy]

no se adjunto antes. mil disculpas!



henry

[msc hotline sat]

Mejor con un copiar y pegar, asi lovemos:

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INK\KEYBOARDSURROGATE.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE
C:\WINDOWS\SYSTEM32\CISVC.EXE
C:\WINDOWS\SYSTEM32\DVDRAMSV.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\TOSHIBA\IVP\SWUPDATE\SWUPDTMR.EXE
C:\WINDOWS\SYSTEM32\THPSRV.EXE
C:\PROGRAM FILES\TOSHIBA\TME3\TMESRV31.EXE
C:\WINDOWS\SYSTEM32\TODDSRV.EXE
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\SYSTEM32\TABBTNU.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INK\TCSERVER.EXE
C:\WINDOWS\SYSTEM32\00THOTKEY.EXE
C:\PROGRAM FILES\TOSHIBA\CROSSMENU\CROSSMENU.EXE
C:\WINDOWS\SYSTEM32\TFNF5.EXE
C:\PROGRAM FILES\TOSHIBA\TOSHIBA ZOOMING UTILITY\SMOOTHVIEW.EXE
C:\PROGRAM FILES\TOSHIBA\TOSHIBA ROTATION UTILITY\TROT.EXE
C:\PROGRAM FILES\APOINT2K\APOINT.EXE
C:\PROGRAM FILES\TOSHIBA\TOUCHED\TOUCHED.EXE
C:\PROGRAM FILES\TOSHIBA\WIRELESS HOTKEY\TOSHKCW.EXE
C:\WINDOWS\SYSTEM32\IGFXEXT.EXE
C:\PROGRAM FILES\TOSHIBA\TME3\TMERZCTL.EXE
C:\PROGRAM FILES\TOSHIBA\ACCELERATION UTILITIES\TACELMGR\TACELMGR.EXE
C:\PROGRAM FILES\TOSHIBA\ACCELERATION UTILITIES\SHAKER\TSKRMAIN.EXE
C:\WINDOWS\SYSTEM32\THPSRV.EXE
C:\PROGRAM FILES\TOSHIBA\TME3\TMETEMNU.EXE
C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE
C:\PROGRAM FILES\TOSHIBA\TOSHIBA DIRECT DISC WRITER\DDWMON.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SKYTEL.EXE
C:\WINDOWS\SYSTEM32\TPSODDCTL.EXE
C:\PROGRAM FILES\TOSHIBA\TVS\TVSTRAY.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SYSTEM32\IGFXPERS.EXE
C:\PROGRAM FILES\PROTECTOR SUITE QL\PSQLTRAY.EXE
C:\WINDOWS\SYSTEM32\TPSBATTM.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\ZCFGSVC.EXE
C:\PROGRAM FILES\APOINT2K\APNTEX.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\IFRMEWRK.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INK\TABTIP.EXE
C:\WINDOWS\VM305_STI.EXE
C:\PROGRAM FILES\TOSHIBA\TOSHIBA CONTROLS\TFNCKY.EXE
C:\WINDOWS\AGRSMMSG.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2009\AVP.EXE
C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
C:\PROGRAM FILES\SYSTWEAK ANTISPYWARE\ANTISPYWARE.EXE
C:\PROGRA~1\INTEL\WIRELESS\BIN\DOT1XCFG.EXE
C:\WINDOWS\SYSTEM32\RAMASST.EXE
C:\WINDOWS\SYSTEM32\CIDAEMON.EXE
C:\WINDOWS\SYSTEM32\CIDAEMON.EXE
C:\@-HENRY-@\INSTALADORES\ARRGELAR LAP CON VIRUS CHINO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\rundll32.exe,
F3 - REG:win.ini: load=C:\WINDOWS\system\rundll32.exe
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1 bin.errorprotector.com ## added by CiD
O1 - Hosts: 127.0.0.1 br.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 br.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 br.winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 de.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 de.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.cdn.winsoftware.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.systemdoctor.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.winantispyware.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.windrivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 dynamique.drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 errorprotector.com ## added by CiD
O1 - Hosts: 127.0.0.1 errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 es.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 fr.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 fr.winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 go.drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 go.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 go.winantispyware.com ## added by CiD
O1 - Hosts: 127.0.0.1 go.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 hk.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 instlog.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 instlog.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 jsp.drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 kb.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 kb.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 nl.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 se.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 secure.drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 secure.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 secure.winantispam.com ## added by CiD
O1 - Hosts: 127.0.0.1 secure.winantispy.com ## added by CiD
O1 - Hosts: 127.0.0.1 secure.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 support.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 ulog.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 utils.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 utils.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 winantispyware.com ## added by CiD
O1 - Hosts: 127.0.0.1 winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.errorprotector.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.systemdoctor.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.win-virus-pro.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winantispam.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winantispy.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winantispyware.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winantivirus.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winantiviruspro.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.windrivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.windrivesafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 cdn.drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 cdn.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 cdn.winsoftware.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
O1 - Hosts: 127.0.0.1 download.cdn.errorsafe.com ## added by CiD
O1 - Hosts: 127.0.0.1 instlog.winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 trial.updates.winsoftware.com ## added by CiD
O1 - Hosts: 127.0.0.1 utils.winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 winfixer2006.com ## added by CiD
O1 - Hosts: 127.0.0.1 winsoftware.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.utils.winfixer.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winfixer2006.com ## added by CiD
O1 - Hosts: 127.0.0.1 http://www.winsoftware.com ## added by CiD
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Info cache - {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Aseo\pbhealth.dll
O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\GoogleAFE.dll (file missing)
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Systweak AntiSpyware 2008] "C:\Program Files\Systweak AntiSpyware\AntiSpyware.exe" /autorun
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [CrossMenu] C:\Program Files\Toshiba\CrossMenu\CrossMenu.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [TRot.exe] c:\Program Files\TOSHIBA\TOSHIBA Rotation Utility\TRot.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TAcelMgr] C:\Program Files\TOSHIBA\Acceleration Utilities\TAcelMgr\TAcelMgr.exe
O4 - HKLM\..\Run: [TSkrMain] C:\Program Files\TOSHIBA\Acceleration Utilities\Shaker\TSkrMain.exe
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [DDWMon] C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TOSDCR] TOSDCR.EXE
O4 - HKLM\..\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run
O4 - HKLM\..\Run: [TabletWizard] C:\WINDOWS\help\SplshWrp.exe
O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Common Files\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Policies\Explorer\Run: [user] C:\WINDOWS\Driver..\daemon.exe
O4 - Startup: desktop.ini
O4 - Startup: RocketDock.lnk
O4 - Global Startup: desktop.ini
O4 - Global Startup: RAMASST.lnk
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1211519628375
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-LA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194247883281
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL
O20 - Winlogon Notify: LOGINKEY - C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INK\LOGINKEY.DLL
O20 - Winlogon Notify: PSFUS - PSQLPWD.DLL
O20 - Winlogon Notify: TABBTNWL - TABBTNWL.DLL
O20 - Winlogon Notify: TPGWLNOTIFY - TPGWLNOT.DLL
O20 - Winlogon Notify: TSIGNP - TSIGNP.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: acpidisk - Unknown owner - C:\WINDOWS\system32\drivers\acpidisk.sys (file missing)
O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.9.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FdRedir - UPEK Inc. - C:\Program Files\Common Files\Protector Suite QL\Drivers\FdRedir.sys
O23 - Service: FileDisk Protector Kernel Driver (FileDisk2) - UPEK Inc. - C:\Program Files\Common Files\Protector Suite QL\Drivers\filedisk.sys
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLAN Transport (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: SMI helper driver (smihlp) - UPEK Inc. - C:\Program Files\Protector Suite QL\smihlp.sys
O23 - Service: Swupdtmr - Unknown owner - c:\Toshiba\IVP\swupdate\swupdtmr.exe
O23 - Service: TOSHIBA UDF File System Driver (tdudf) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tdudf.sys
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys
O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Bluetooth Audio Service (BlueletAudio) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys (file missing)
O23 - Service: Bluetooth PAN Network Adapter (BT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys (file missing)
O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys (file missing)
O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys
**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys
O23 - Service: Intel(R) PRO/1000 PCI Express Network Connection Driver (e1express) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1e5132.sys
O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys
O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys
O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: IVT Bluetooth Bus Service (IvtBtBUs) - IVT Corporation. - C:\WINDOWS\SYSTEM32\Drivers\IvtBtBus.sys
O23 - Service: Kaspersky Lab KLFltDev (KLFLTDEV) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klfltdev.sys
O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys
O23 - Service: npf - CACE Technologies - C:\WINDOWS\system32\drivers\npf.sys
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Systweak AntiSpyware 2008 (SASPROT) - Unknown owner - C:\Program Files\Systweak AntiSpyware\sasprot.sys
O23 - Service: Sony USB Filter Driver (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
O23 - Service: Toshiba Logical Tbios Device (tbiosdrv) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\tbiosdrv.sys
O23 - Service: TOSHIBA Tablet PC Buttons Type N HID Driver (TBtnKey) - Toshiba - C:\WINDOWS\SYSTEM32\DRIVERS\TBtnKey.sys
O23 - Service: TC USB Kernel Driver (TcUsb) - UPEK Inc. - C:\WINDOWS\SYSTEM32\Drivers\tcusb.sys
O23 - Service: TOSHIBA Writing Engine Filter Driver (tdcmdpst) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\tdcmdpst.sys
*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys
O23 - Service: Bluetooth ACPI from TOSHIBA (tosrfec) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfec.sys
O23 - Service: TOSHIBA Virtual Sound with SRS technologies (Tvs) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Tvs.sys
O23 - Service: Virtual Serial port driver (VComm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys (file missing)
O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys (file missing)
O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys
O23 - Service: WAN Miniport (ATW) (wanatw) - America Online, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\wanatw4.sys
O23 - Service: FRISBY WebCam (ZSMC0305) - Vimicro Corporation - C:\WINDOWS\SYSTEM32\Drivers\usbVM305.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)

 59 Servicios.
 19 de Carga Automatica.
 38 de Carga Manual.
  2 Deshabilitados.

procedo a analizarlo...

A SIMPLE VISTA YA SE VE QUE TIENE EL CiD, PRUEBE EL ELISTARA ...:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

salduos
ms.

[msc hotline sat]

Ademas tiene aun solo el SP2. Lance un windowsupdate e instale el SP3 !!! y vemos estos ficheros sospechosos:
C:\WINDOWS\system\rundll32.exe (El normal está en la carpeta de sistema, c:\windows\system32, no en system !!!)
C:\WINDOWS\Aseo\pbhealth.dll
C:\Program Files\Systweak AntiSpyware\AntiSpyware.exe
C:\WINDOWS\Driver..\daemon.exe
C:\WINDOWS\wc98pp.dll
C:\WINDOWS\wc98pp.dll

y revise estos dos links de la carpeta inicio:
O4 - Startup: RocketDock.lnk
O4 - Global Startup: RAMASST.lnk

vea que lancen aplicaciones previstas, si alguna la ve sospechosa, envíenos el fichero que lanza para analizarlo también

De estos ficheros, los que después de lanzar el ELISTARA persistan en el ordenador, enviennoslos para analizar, yh tras examinarlos, implementaremos su control y eliminación de los que procedan, en nuestras utilidades, de lo cual informaremos

saludos
ms, 23-09-2008

[Henrhy]

Hola amigos que tal!



Bueno un amigo de soporte tecnico de mi universidad me dijo que le instale el McAfee antivirus y pues lo hice le di scanear y ahora en el inicio de sesion ya no me sale

WINDOWS NO PUEDE ENCONTRAR EL ARCHIVO C:/WINDOWS/SYSTEM/rundll32.exe bla bla bla ni el otro que decia NO SE PUEDE CARGAR NI EJECUTAR C:/WINDOWS/SYSTEM/rundll32.exe



en fin ese problema ya esta solucionado, pero sin embargo la primera vez que le doy doble click a internet, se me abren 2 paginas la de google y la otra en chino... aparte que McAfee me aparecio una notificacion si deseaba que el archivo C:/bad./MS.EXE tuviera acceso a internet, el cual obviamente le di en NO para que lo bloquee.



Pero aun tengo estas carpetas sospechosas, a la cuales no puedo entrar

C:\bad.

C:\WINDOWS\Driver.

C:\WINDOWS\Aseo

C:\WinLogon



de las cuales a las que tiene un punto al final me da el siguiente error cuando trato de ingresar:

C:\bad. hace referencia una ubicacion que no esta disponible. Puede ser un disco duro en este equipo o en una red. Compruebe que el disco esta correctamente insertado, que esta conectado a internet o a la red e intentelo de nuevo. Si aun asi no lo consigue, puede ser que la informacion se haya movido a otra ubicacion.



Bueno despues de todo este rollo... creo que comenzare de nuevo con el primer punto... osea lanzar el AV ONLINE y postear el informe resultante!



Gracias. HENRY

[lucl]

En efecto cuando lo pases que te llevara rato, te lo digo porque hoy mismo lo he sufrido yo peganos el log resultante saludos

[Henrhy]

AMIGOS sorry x la demora, estoy un poco ocupado con mis examenes, pero ahorita q tengo un tiempito entre a la compu para pasarle el KASPERSKY ONLINE y bueno este es el resultado donde noto 2 virus q el mcafee no lo detecta, les cambie de color para que sea detectado mas rapido. bueno gracias espero su ayuda.

Estadísticas
Número de objeros analizados 82598
Virus encontrados 2
Objetos infectados 2 / 0
Objetos sospechosos 0
Duración del análisis 01:33:32

Bombre del objeto infectado Nombre del virus Última acción
C:\@-HeNrY-@\INSTALADORES\g-data\keygencrack.v.1.0-kav.exe Infectados: Trojan.Win32.Crypt.ut saltado

Código: Seleccionar todo

 
C:\Documents and Settings\All Users\Application Data\McAfee\MNA\NAData  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\McAfee\MNM\NDData  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\Logs\Events.dat  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\McUsers.dat  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\McAfee\SiteAdvisor\SA.dat  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Data\TFR9.tmp  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Logs\OAS.Log  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\00000002.ps1  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\00000002.ps2  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\00010006.ci  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\cicat.fid  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\cicat.hsh  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiCL0001.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiP10000.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiP20000.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiPT0000.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiSL0001.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiSP0000.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiST0000.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\CiVP0000.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\INDEX.000  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\propstor.bk1  Object is locked  saltado  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\VISIO\catalog.wci\propstor.bk2  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  Object is locked  saltado  
 
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  Object is locked  saltado  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG  Object is locked  saltado  
 
C:\Documents and Settings\User\Application Data\Protector Suite\My Safe.fdp  Object is locked  saltado  
 
C:\Documents and Settings\User\Cookies\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Application Data\ApplicationHistory\TCServer.exe.7c11743d.ini.inuse  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\History\History.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\History\History.IE5\MSHist012008093020081001\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Temp\fla4F.tmp  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Temp\~DF35B6.tmp  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Temp\~DF5FCA.tmp  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\2XSYY3DL\navbar[1].htm  Object is locked  saltado  
 
C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  saltado  
 
C:\Documents and Settings\User\My Documents\Mis archivos recibidos\Share Msn\lcapi0.log  Object is locked  saltado  
 
C:\Documents and Settings\User\My Documents\Mis archivos recibidos\Share Msn\MsnMsgr.txt  Object is locked  saltado  
 
C:\Documents and Settings\User\My Documents\Mis archivos recibidos\Share Msn\Transport0.log  Object is locked  saltado  
 
C:\Documents and Settings\User\NTUSER.DAT  Object is locked  saltado  
 
C:\Documents and Settings\User\NTUSER.DAT.LOG  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\00000002.ps1  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\00000002.ps2  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\cicat.fid  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\cicat.hsh  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiCL0001.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiP10000.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiP20000.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiPT0000.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiSL0001.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiSP0000.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiST0000.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\CiVP0000.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\INDEX.000  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\propstor.bk1  Object is locked  saltado  
 
C:\System Volume Information\catalog.wci\propstor.bk2  Object is locked  saltado  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Object is locked  saltado  
 
C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  saltado  
 
C:\WINDOWS\SchedLgU.Txt  Object is locked  saltado  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{73C0B8DC-FF21-4B03-B51F-9F95B5C27CEF}.bin  Object is locked  saltado  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{7AAFAF9B-DF56-4109-9970-7144C88B545E}.bin  Object is locked  saltado  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Object is locked  saltado  
 
C:\WINDOWS\Sti_Trace.log  Object is locked  saltado  
 
[b]C:\WINDOWS\system\rundll32.exe  Infectados: Trojan-Downloader.Win32.Agent.ahqg  saltado  [/b]
 
C:\WINDOWS\system32\CatRoot2\edb.log  Object is locked  saltado  
 
C:\WINDOWS\system32\CatRoot2\tmp.edb  Object is locked  saltado  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\default  Object is locked  saltado  
 
C:\WINDOWS\system32\config\default.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\Internet.evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\ODiag.evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\OSession.evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SAM  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SAM.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SECURITY  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\software  Object is locked  saltado  
 
C:\WINDOWS\system32\config\software.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  saltado  
 
C:\WINDOWS\system32\config\system  Object is locked  saltado  
 
C:\WINDOWS\system32\config\system.LOG  Object is locked  saltado  
 
C:\WINDOWS\system32\h323log.txt  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  saltado  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Object is locked  saltado  
 
C:\WINDOWS\Temp\mcmsc_JqFhWLcRA84yLnA  Object is locked  saltado  
 
C:\WINDOWS\Temp\mcmsc_JwabDc7Spg8b6jU  Object is locked  saltado  
 
C:\WINDOWS\Temp\mcmsc_PERciBCiv08NOaV  Object is locked  saltado  
 
C:\WINDOWS\Temp\sqlite_DzzCnSD0Ud1XlH8  Object is locked  saltado  
 
C:\WINDOWS\Temp\sqlite_eeuzguM37oyoeHZ  Object is locked  saltado  
 
C:\WINDOWS\Temp\sqlite_SmVVXyxBXr0bhpu  Object is locked  saltado  
 
C:\WINDOWS\wiadebug.log  Object is locked  saltado  
 
C:\WINDOWS\wiaservc.log  Object is locked  saltado  
 
C:\WINDOWS\WindowsUpdate.log  Object is locked  saltado  
 
Análisis completado.

[lucl]

Pues envianos los dos archivos de marras para analizar, te pongo como hacerlo en el siguiente link, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Pues has quedado retratado de que estas usando un crack para el KAV... Este foro no admite el uso de cracks ni programas sin licencia:



C:\@-HeNrY-@\INSTALADORES\g-data\keygencrack.v.1.0-kav.exe Infectados: Trojan.Win32.Crypt.ut saltado



Envianos estos dos ficheros para analizarlos e implementar su control y eliminacion en nuestras proximas versiones de utilidades



C:\@-HeNrY-@\INSTALADORES\g-data\keygencrack.v.1.0-kav.exe



C:\WINDOWS\system\rundll32.exe



pero fijate que este último no es el de la carpeta de sistema (C:\windows\system32) sino de otra paralela sin el 32 !!! no vayas a confundirte





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 30-09-2008

[Henrhy]

HOLA Q TAL, sorry x lo del crack... pero ahora q recuerdo esa carpeta GDATA no la tenia un dia antes de que le entre el virus a mi maquina vino un tecnico a hacerle limpieza a mi laptop y a revisar xq sonaba tanto el ventilador y bueno conversando me dijo q habia un mejor antivirus q el McAfee, q es el kaspersky y mejor q este es el GDATA y tambien me dijo q tenia todos los ejecutables en un cd, bueno le dije q los grabe en una carpeta para cuando terminara mi licencia de McAfee instalarle y probar q tal es el gdata y kasperky... AHORA ENTIENDO x donde entraron los virus!!!... ojala me puedan ayudar a reparar mi laptop... ahora el problema es q inicia rapido sesion pero demora en cargar el antivirus y wireles, tengo q esperar como 15minutos para q carge y recien poder entrar a internet y revisar mi bandeja!



sino de todas maneras hablare con el tecnico...

gracias x todo



HENRY



P.D:: ya es envie los archivos :

C:\@-HeNrY-@\INSTALADORES\g-data\keygencrack.v.1.0-kav.exe

zipeado con clave virus



C:\WINDOWS\system\rundll32.exe

tambien zipeado con clave virus, pero toda la carpeta lo tube q comprimir y pasar a otro sitio xq no salia la carpeta system cuando queria jalar los archivos.



saludos

[lucl]

Bien pues el lunes analizaran los archivos y te diran algo al respecto, estate atento al post saludos

[msc hotline sat]

Se pedian solo dos ficheros parfa analizar


[quote]Envianos estos dos ficheros para analizarlos e implementar su control y eliminacion en nuestras proximas versiones de utilidades



C:\@-HeNrY-@\INSTALADORES\g-data\keygencrack.v.1.0-kav.exe



C:\WINDOWS\system\rundll32.exe [/quote]

y se han recibido no sé cuantos ..., que me indican se han aparcado en consecuencia , voy a ver



Si, ha enviado 20 ficheros ! y solo 1 coincide con el que pedíamos, se monitorizará este y se envian los demas a la papelera.



Saludos



ms, 6 -10-2008

[Henrhy]

:shock: no envie tantos, solo envie 2 muestras las q pidio!



bueno si mas no recuerdo en esta direccion no se podia adjuntar C:\WINDOWS\system\rundll32.exe

entonces lo que hice es entrar a esta y zipear todo el SYSTEM q tenia varios archivos incluido el rundll32.exe

bueno si solo quiere el rundll32.exe se lo envio ahorita, pero hay q tener en cuenta q en esa carpeta hay otros archivos!



bueno mil sorrys x lo que hice, espero su comprension! :(



HENRY

[msc hotline sat]

Es lo que se hizo, analizar solo el pedido, y ya está controlado como DownLoader.Agent.AHQG con el ELISTARA actual, 17.12:



---v17.12-( 6 de Octubre del 2008) (Muestras de Vundo9, Vundo5, DownLoader.ConHook, (6)PWS-OnLineGames.AMVO, (4)PWS-OnLineGames.CKVO, (4)FakeAlert.YUR "YUR*.EXE", Morphine(notify) "__C00830E9.DAT", DownLoader.Agent.AHQG "RUNDLL32.EXE" y Obfuscator.BE "WINSRC.DLL")



pruebelo y nos informa del resultado, gracias



saludos



ms, 7-10-2008

[Henrhy]

UHMMM como q no entendi muy bien!



osea me bajo el elistara v.17.12 y lo corro?

[lucl]

Exacto , bajas otra vez elistara y lo pasas de nuevo, y nos pegas el log de infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp