Lo peor en virus

[rodabar18]

Hola a todos, les cuento que en este momento me agarré lo peor en virus que he tenido.



contaré desde un principio:

tenia en mi pc NOD32 pero de pronto comenzó a quearse pegado el mensaje de inicio de nod cuando iniciaba sesion en windows.

trate de averiguar entrando al foro, pero no me habria paginas relacionadas con virus.

no me dejaba iniciar NOD asi que lo desintalé y trate de instalar otro antivirus (pensando que era problema de mi version de NOD)

trate de reinstalar Nod y me aparece: Error al instalar Nod32: ha fallado el inicio del servicio ESET SERVICE (ekrn)

Formateé mi pc y reinstalé windows, pero todo siguio igual.

lamentablemente la mayoria de los antivirus no los pude instalar y los que logré instalar no los podia ejecutar.

finalmente logré instalar una version de avg y ejecutarlo, eso me sacó 55 virus entre troyanos y backdoors, pero seguia el problema de no poder entrar a las paginas de antivirus ni foros ni nada, y luego en el avg que tenia instalado me aparecio que no tenia componentes activos y ya no pude utilizarlo.

Traté de reinstalar avg y no se puede.

pude ejecutar un drweb portable que me eliminó 120 virus

y traté de usar el malwarebits pero no no lo ejecuta.

no puedo iniciar en modo seguro, porque sale una pantalla azul y se reinicia.

bueno, creo que eso resume la mayoria de los problemas. (aunque hay mas)

de verdad desearia que pudieran ayudarme, esto ya me tiene mal.



desde ya muchas gracias, tengo todas mis esperanzas puestas en ustedes.

[rodabar18]

se me olvido agregar que desde mi maquina aun no puedo ingresar al foro, y que para postear debo hacerlo desde otro pc, asi mismo para descar archivos... esto es de verdad desesperante!

[msc hotline sat]

Pues descarga el ELIBAGLA desde otra máquina y lo copias a la afectada, y luego lo ejecutas:


[quote]


[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

Aparte, mira de indicarnos los nombres de los virus que detectaste con lo que has hecho hasta ahora, puede ser de gran ayuda.



saludos



ms, 17-8-2010

[msc hotline sat]

Y si el resultado fuera negativo, bajate el SPROCES y nos posteas el informe resultante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 27-8-2010

[rodabar18]

lamentablemente no puedo enviar los nombres de virus encontrados antes, porque no puedo entrar a los informes del antivirus y de hecho mi maquina está sin antivirus en este momento.



aqui van los resultados del elibagla y del sproces



(27-8-2010 20:55:24 (GMT))

EliBagle v14.02 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



(27-8-2010 20:57:15 (GMT))

EliBagle v14.02 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Agosto del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3007

Nº Total de Ficheros: 30170

Nº de Ficheros Analizados: 5938

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



--------------------------------------------------------



(27-8-2010 20:58:20 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: DESKTOP

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ATK HOTKEY\HCONTROL.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\TASKMNGER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

E:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: Shell=explorer.exe, (HKCU)

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe

F2 - REG:system.ini: Taskman=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 140.92.185.102 msnfix.changelog.fr

O1 - Hosts: 140.92.185.102 www.incodesolutions.com

O1 - Hosts: 140.92.185.102 virusinfo.prevx.com

O1 - Hosts: 140.92.185.102 download.bleepingcomputer.com

O1 - Hosts: 140.92.185.102 www.dazhizhu.cn

O1 - Hosts: 140.92.185.102 foro.noticias3d.com

O1 - Hosts: 140.92.185.102 www.spybotupdates.com

O1 - Hosts: 140.92.185.102 club.myce.com

O1 - Hosts: 140.92.185.102 www.k7computing.com

O1 - Hosts: 140.92.185.102 softwaresecuritysolutions.com

O1 - Hosts: 140.92.185.102 www.nabble.com

O1 - Hosts: 140.92.185.102 lurker.clamav.net

O1 - Hosts: 140.92.185.102 lexikon.ikarus.at

O1 - Hosts: 140.92.185.102 research.sunbelt-software.com

O1 - Hosts: 140.92.185.102 www.virusdoctor.jp

O1 - Hosts: 140.92.185.102 www.elitepvpers.de

O1 - Hosts: 140.92.185.102 guru.avg.com

O1 - Hosts: 140.92.185.102 downloads.sophos.com

O1 - Hosts: 140.92.185.102 share.skype.com

...

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Startup] C:\Documents and Settings\Administrador\Datos de programa\Microsoft\svchost.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Archivos de programa\ATK Hotkey\Hcontrol.exe"

O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKLM\..\Run: [Task Manager] C:\Documents and Settings\Administrador\Datos de programa\taskmnger.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - Microsoft AntiMalware ShellExecuteHook - C:\ARCHIV~1\WIFD1F~1\MpShHook.dll

Clave "HKLM\...\Image File Execution Options\a2guard.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\a2service.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\a2start.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\Ad-Aware.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\Ad-AwareAdmin.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\AvastSvc.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\avastUI.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\AVK.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\AVKWctl.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\avp.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\avshadow.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\bdagent.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\ccSvcHst.exe "

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\cfp.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\CLPSLS.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\cmdagent.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\conime.exe"

"Debugger"="wnpdv2.exe"

Clave "HKLM\...\Image File Execution Options\ctfmon.exe"

"Debugger"="wmsrvc.exe"

Clave "HKLM\...\Image File Execution Options\DefWatch.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\egui.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\ekrn.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\GDSC.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\GDScan.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\guardxp.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\KAV32.exe "

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\KAVSVC.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\livesrv.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\mbam.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\mbamservice.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\MRT.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\mrtstub.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\msascui.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\msmpeng.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\PREVX.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\Rtvscan.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\seccenter.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\symlcsvc.exe "

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\virusutilities.exe"

"Debugger"="ntsd -d"

Clave "HKLM\...\Image File Execution Options\vsserv.exe"

"Debugger"="ntsd -d"

WinSys\Drivers\ar5211.sys (de 547072 bytes) () Atheros Communications, Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 454656 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574592 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 639224 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: CSIScanner - Prevx - C:\Archivos de programa\Prevx\prevx.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: pxrts - Prevx - C:\WINDOWS\SYSTEM32\drivers\pxrts.sys

O23 - Service: rimmptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimmptsk.sys

O23 - Service: rimsptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimsptsk.sys

O23 - Service: Ricoh xD-Picture Card Driver (rismxdp) - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rixdptsk.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Atheros Wireless Network Adapter Service (AR5211) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: Avgfwdx - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\avgfwdx.sys

O23 - Service: AVG network filter service (Avgfwfd) - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\avgfwdx.sys

O23 - Service: CIF USB CAMERA (CIF USB CAMERA Service) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\pfc027.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: ATK0100 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ATKACPI.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: pxkbf - Prevx - C:\WINDOWS\SYSTEM32\drivers\pxkbf.sys

O23 - Service: Mobile Connector USB Device for Legacy Serial Communication (qcusbser) - Mobile Connector - C:\WINDOWS\SYSTEM32\DRIVERS\cmusbser.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)



29 Servicios.

8 de Carga Automatica.

19 de Carga Manual.

2 Deshabilitados.

-----------------------------------------------------------------------



espero les sirva y puedan darme una ayuda...

gracias desde ya por preocuparse e intentarlo.

[lucl]

El informe de sprocess espera que lo mire Msc que es el experto en ellos pero desde ya te digo que si no actualizas tu pc no podremos hacer nada. Tienes el sp2 en tu pc y ya vamos por el sp3 y mil y pico actualizaciones criticas e importantes que desde luego no tendras hasta que instales el sp3. No obstante descargate esto y dinos si ves algun logo en tu pc o no. Y nos comentas.





http://www.zonavirus.com/descargas/comprobador.asp



saludos.

[rodabar18]

instalé el sp3 y vere si puedo actualizar, pero el problema es que tengo una version de windowsxp UE asi que no se si pueda actualizar, por lo de la validacion...



en cuanto al comprobador... solo veo 2 logos, no me aparece el de mcafee :S :?

[msc hotline sat]

Al tratarse de Windows UE (paralelo y no atendido), no deberíamos darle soporte, pero visto que tiene varios posibles malwares, vamos a por ellos, si bien tenga presente que todo lo indicado es para el windows de Microsoft, y que en este caso, es a título informativo, dado el windows paralelo que utiliza:





Vemos que tenía inhabilitado el arranque en MODO SEGURO, aunque el ELIBAGLA lo ha restaurado, si bien no parece que tuviera Bagle, sino cualquier otra cosa que tambien hiciera lo mismo.



[i][b]Restaurada Clave: "SafeBoot\Minimal y Network"[/i][/b]



Lo que aun vemos en el SPROCES es que falta el SP3 y posteriores como el MS08-067 contra el Conficker. No se si fue posterior al SPROCES la acrualizacion que dice, pero tengalo presente.



[i][b]Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Parche MS08-067 (Servicio Servidor) NO Instalado. [/i][/b]



Luego vemos un fichero sospechoso:



[i][b]C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\TASKMNGER.EXE[/b][/i]



no es el Taskmanager de windows, que se llama TASKMGR.EXE y está en la carpeta de sistema... añada .VIR a su extension y envienoslo para analizar, como indicamos al final.





y arrancando en MODO SEGURO CON FUNCIONES DE RED, con el usuario ADMINISTRADOR, lance el ELISTARA y el ELIPALEVO, y tambien vacune con el ELIPEN el ordenador y los pendrives, por si se tratata de un virus que se propagar por pendrive:





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



[b] ELIPEN.EXE: [/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Aparte, salvo que sea voluntaria la redireccion a esta URL:



140.92.185.102 TW Taiwan 03 T'ai-pei Taipei 25.0392 121.5250 III III



elimine del HOSTS estas entradas:



[i][b]O1 - Hosts: 140.92.185.102 msnfix.changelog.fr



O1 - Hosts: 140.92.185.102 http://www.incodesolutions.com



O1 - Hosts: 140.92.185.102 virusinfo.prevx.com



O1 - Hosts: 140.92.185.102 download.bleepingcomputer.com



O1 - Hosts: 140.92.185.102 http://www.dazhizhu.cn



O1 - Hosts: 140.92.185.102 foro.noticias3d.com



O1 - Hosts: 140.92.185.102 http://www.spybotupdates.com



O1 - Hosts: 140.92.185.102 club.myce.com



O1 - Hosts: 140.92.185.102 http://www.k7computing.com



O1 - Hosts: 140.92.185.102 softwaresecuritysolutions.com



O1 - Hosts: 140.92.185.102 http://www.nabble.com



O1 - Hosts: 140.92.185.102 lurker.clamav.net



O1 - Hosts: 140.92.185.102 lexikon.ikarus.at



O1 - Hosts: 140.92.185.102 research.sunbelt-software.com



O1 - Hosts: 140.92.185.102 http://www.virusdoctor.jp



O1 - Hosts: 140.92.185.102 http://www.elitepvpers.de



O1 - Hosts: 140.92.185.102 guru.avg.com



O1 - Hosts: 140.92.185.102 downloads.sophos.com



O1 - Hosts: 140.92.185.102 share.skype.com [/b][/i]

(El fichero HOSTS está en C:\windows\system32\drivers\etc\HOSTS)





y ahi tenemos a otro sospechoso, dada la ubicacion:



[i][b]C:\Documents and Settings\Administrador\Datos de programa\Microsoft\svchost.exe[/b][/i]



Añadele tambien .VIR a su extension y nos lo envias para analizar, ya que el SVCHOST del sistema está en C:\windows\system32\ , y donde está éste resulta rarillo...



Y está claro que esta clave es anómala:



[i][b]O4 - HKLM\..\Run: [Task Manager] C:\Documents and Settings\Administrador\Datos de programa\taskmnger.exe[/b][/i]



pero ya nos cuidaremos de ella con el ELISTARA, tras analizar y controlar la muestra pedida.



Y vemos interceptaciones con los ficheros [b][i]wmsrvc.exe y ntsd.exe[/i][/b], mira de buscarlos con un Inicio -> Buscar y nos los envias para analizar .



y por último, este CTFMON.EXE puede que no sea el del Office, sino un malware



[b][i]O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe[/i][/b]



[b]"SI NO APARECE LA RUTA DE LA CARPETA DE SISTEMA, ES PROBABLE QUE SEA UTILIZADO POR EL TROJAN.AGENT.ABUE CON DEBUG INYECTANDOLE UN FALSO AVGVWSRV.EXE QUE ES EL TROYANO. ADEMAS, EL CTFMON DEL OFFICE SE LANZA DESDE HKCU, Y ESTE LO HACE DESDE HKLM, COMO EL SPY.OUTLAW, OTRO SIGNO A TENER EN CUENTA"[/b]



Por ello añadale .VIR a su extension y envienoslo tambien para analizar.



Para ello:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-9-2010



NOTA: y que no veas el logo de McAfee, pero si los demás, indica que no es el Conficker, pero que tienes otro que te impide ir a las casas antivirus como McAfee, y a la vista de todo lo que tienes... es muy lógico !



saludos



ms, 28-8-2010

[rodabar18]

me lanzo a hacer todo lo indicado, muchas gracias por el soporte.

la verdad es que tenia una version de windows original, pero era vista home, y en serio no pude adaptarme a ella, aunque lo intenté por 4 meses. aun tengo la licencia, pero de verdad que por nada del mundo volveria a vista. :?



asi que denuevo muchas gracias, les aviso como me va y les envio las muestras lo mas pronto que pueda.

[msc hotline sat]

No, volver al VISTA sería salir del fuego para caer en las brasas.



A ver si con lo indicado podemos apañar tu caso.



saludos



ms, 28-8-2010