ALGO deshabilita programas y antivirus (TERMINADO)

[heberb]

Tengo un problema muy grave, me estan pasando cosas y no se si sea un virus, malware o cualquier otra cosa



- En el IE solo abre el google que es mi pagina de inicio, si busco algo y clikeo algun enlace me sale en la barra la direccion correcta, pero en la pantalla sigue apareciendo el buscador gogle, en resumen , no puedo visitar ni entrar a otras paginas.



- Sospecho que este ALGO no me dejaba actualizar el NOD32, dejaba poruq desinstale el antivirus.

- Tambien me deshabilito el Spybot Search.

- Sospecho tambien que este ALGO me deshabilito y ya no se pueden abrir, el winamp, ccleaner, malwarebytes, y hasta incluso el avast.

- el ccleaner lo actualice , limpie registro y todo, y de repente simplemente ya no abre mas, me sale este mensaje:

" Windows no tiene acceso al dispositivo, ruta de acceso o archivo especificado. Puede que no tenga los permisos aprobados para tener acceso al elemento",

lo mismo me pasa ahora con el winamp, y el malwarebytes pude instalarlo pero al empezar a hacer el analisis inicial se cerro a los pocos segundos, luego de eso ya no puedo abrirlo.



- El avast tambien lo instale y use la opcion de hacer busqueda luego de reiniciar la pc, pero al reiniciar y empezar la busqueda me encontro un troyano, el patched.WQ, y al elegir la opcion eliminar simplemente el avast se cerro y se abrio el windows, desde entonces el avast no responde, no puedo actualizar ni hacer busqueda ni nada, todo falla, supongo que fue este ALGO que lo deshabilito.



Ni en modo seguro puedo correr los progrmas, estan malos como en modo normal, no puedo restaurar el sistema tampoco.



el problema es en una P IV, con windows xp, y tengo instalado el ares de donde parece se metio este ALGO.



Favor indicarme que hacer, gracias.

[msc hotline sat]

Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 29-7-2011

[heberb]

Ahi va, ojala se vea el problema.




[quote](29-7-2011 23:24:01 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: Panky

ID de Usuario: S-1-5-21-73586283-1482476501-1801674531-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-7-2011 23:31:49 (GMT))

EliStartPage v23.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2011)

--------------------------------------------------

Usuario: Panky

ID de Usuario: S-1-5-21-73586283-1482476501-1801674531-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7646

Nº Total de Ficheros: 49952

Nº de Ficheros Analizados: 19742

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]


[quote](29-7-2011 23:42:03 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: BLACK-IV

Usuario: Panky

Sesión de Usuario: Panky



30 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\HP DESKJET 9800 SERIES\TOOLBOX\HPWQTBX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATI9BL.EXE

C:\ARCHIVOS DE PROGRAMA\PHILIPS\PHILIPS SONGBIRD RESOURCES\AUTOLAUNCHER\PHILIPSDEVICELISTENER.EXE

C:\ARCHIVOS DE PROGRAMA\AVAST SOFTWARE\AVAST\AVASTUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\DOCUMENTS AND SETTINGS\PANKY\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HPWQTOOLBOX] C:\Archivos de programa\Hewlett-Packard\HP Deskjet 9800 Series\Toolbox\HPWQTBX.exe "-i"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE /P26 "EPSON Stylus CX3500 Series" /O6 "USB002" /M "Stylus CX3500"

O4 - HKLM\..\Run: [AMTDeviceService] "C:\Archivos de programa\AMT Media Manager\AMTDeviceService.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Philips Device Listener] "C:\Archivos de programa\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe"

O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {50983909-93ED-461B-B7F3-E58358FDCA99} (Kaybo Class) - http://crazycombi.kaybo.com/activex/FHLActiveX.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265808406937

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

.scr: AutoCADScriptFile -> "C:\WINDOWS\system32\NOTEPAD.EXE" "%1"

WinSys\Drivers\aswSnx.sys (de 441176 bytes) () AVAST Software

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe

O23 - Service: eamon - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys (file missing)

O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)

O23 - Service: Servicio de actualización de Google (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe (file missing)

O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: D-Link DFE-530TX PCI Fast Ethernet Adapter Driver Service (FETNDISB) - D-Link - C:\WINDOWS\SYSTEM32\DRIVERS\dlkfet5b.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: MidiSyn - Analog Devices Inc - C:\WINDOWS\SYSTEM32\drivers\MidiSyn.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: senfilt - Sensaura - C:\WINDOWS\SYSTEM32\drivers\senfilt.sys

O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)

O23 - Service: InCD File System (InCDfs) - Nero AG - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys



27 Servicios.

8 de Carga Automatica.

16 de Carga Manual.

3 Deshabilitados.[/quote]

[msc hotline sat]

Hay estos ficheros sospechosos, subalos al VirusTotal ( https://www.virustotal.com/es/ ) y vea si lo consideran malicioso, y el que asi sea, añada .VIR a su extension y envienoslo para analizar:





C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATI9BL.EXE



"C:\Archivos de programa\AMT Media Manager\AMTDeviceService.exe"



C:\Archivos de programa\AVAST Software\Avast\aswWebRepIE.dll



"C:\Archivos de programa\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe"





y hay esta clave que parece ser un resto de NOD32:



O23 - Service: eamon - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys (file missing)



segun



http://www.computerhope.com/cgi-bin/process.pl?p=eamon.sys



Quizas lo tuvo instalado y no lo desinstaló totalmente ... Si es el caso, elimine dicha clave.



Estaré ausente unos días, OFFLINE, pero mis compañeros le seguirán ayudando.



saludos



ms, 30-7-2011

[heberb]

"C:\Archivos de programa\AMT Media Manager\AMTDeviceService.exe"





este archivo no se deja copiar, ni en modo seguro, y cuando quize subirlo desde la misma pc infectada no me deja, pongo subir el archivo a virustotal y se cierra la ventana.



el resto de archivos no son maliciosos.



Siguiente paso.....

[msc hotline sat]

Prueba de arrancar EN MODO SEGURO CON FUNCIONES DE RED, y en este modo mira si puedes subir dicho fichero AMTDeviceService.exe al VirusTotal, para saber si es malware !



Hay informacion al respecto en http://www.spywareremove.com/amtmediamanager.html , pero no he podido acceder a ella...



Cuentanos el resultado, gracias



saludos



ms, 31-7-2011

[heberb]

Lo intente pero no se deja subir, al clickear en subir archivo simplemente se recarga la pagina de virustotal otra vez y no sube nada.





Huelo a tener que formatear disco C. :x

[lucl]

Prueba esto: añade .vir al archivo y trata de subirlo asi a virustotal y nos comentas. Saludos.

[heberb]

No se deja cambiar el nombre ni en modo normal ni seguro , con o sin conexion de red.

[lucl]

Mira a ver si puedes hacerlo con elimover





http://www.zonavirus.com/descargas/elimover.asp





En caso de que si puedas envianoslo para analizar con la pestaña envio muestras que tienes arriba. Lo empaquetas con winrar y le pones de contraseña la palabra virus. Pruebalo mejor en modo seguro a ver si asi puedes, y nos comentas. Saludos.

[heberb]

Tampoco se pudo estando en modo seguro, esta muy rebelde ese archivo. :(

[lucl]

Parece ser que este



AMTDeviceService.exe



suele tener tres archivos , un en ejecucion y dos entradas de ejecución automática de la máquina de registro local. Y quizas eso lo que impida terminar con el. Buscalo con el mismo buscador de windows a ver que entradas te detecta. Pulsa ctrl mas alt mas supr y cuando te salgan los procesos mira si los encuentras, los seleccionas y le das a terminar proceso. Si lo consigues entonces trata de ponerle .vir y de enviarnoslo a ver si puedes. Saludos.

[heberb]

Nose si estaran activos esos archivos, pego imagen y me ayudan a ver si estan para hacer lo que me recomienda lucl



[img]http://i1198.photobucket.com/albums/aa456/berbenhb/procesos.jpg[/img]

[lucl]

No, en esa imagen no aparece. Haz esto otro ve a Inicio -----Ejecutar pon Msconfig cuando se te abra el cuadro ve a la pestaña de Inicio, creo que es la cuarta y mira los procesos que te salen. Dinos si te sale ese y sin tocar nada cierra el cuadro y me comentas y ya miraremos de desactivar si es necesario. Si quieres me haces una captura del punto en el que te sale. Gracias , saludos.

[heberb]

tenemos esto, en modo seguro



[img]http://i1198.photobucket.com/albums/aa456/berbenhb/procesos2.jpg[/img]

[lucl]

Bueno podemos probar a deseleccionar y a ver si asi entonces puedes moverlo con eimover a la carpeta muestras. Ademas en caso de que puedas hacerlo yo lo subiria a virustotal. com para analizarlo y si te da el log limpio pues vuelves a seleccionarlo.

En caso de que de virico nos pegas el log y lo envias para analizar. Prueba a ver si cuela y me comentas. Saludos.

[lucl]

Hazlo todo en modo seguro , que trabajaras mejor. Saludos.

[heberb]

Lamentablemente no se pudo, lo deseleccione, reinicie y estando sin seleccionar sigue sin poder copiarse o enviar el archivo, bueno, no me queda otra que formatear el disco duro, si tienen alguna otra idea me avisan, pasare por aca antes de iniciar el formateo. :(

[lucl]

Antes de formatear espera que lo lea el jefe y te de su opinion. Saludos.

[msc hotline sat]

Pues si todavía estás a tiempo, prueba con lanzar FIXMBR.EXE desde la Consola de Recuperacion:



Arrancar con el CD de instalacion -> Acceder a la Consola de Recuperacion pulsando R -> Ejecutar FIXMBR.EXE



y nos cuentas el resultado, gracias



saludos



ms, 20-8-2011

[heberb]

mas problemas, nose que le paso a mi CD de instalacion, pero no puedo hacer botear la PC desde el CD de instalacion, por lo que no puedo hacer lo que me dicen y menos formatear mi disco duro y reinstalar el win, asi que buscare algo por internet para descargar un nuevo win xp.



gracias por todo

[msc hotline sat]

Antes de reinstalar el windows con otro paralelo, pide que algun amigo te deje su CD de windows, vale cualquiera para arrancar y lanzar dicho FIXMBR.



saludos



ms, 22-8-2011

[heberb]

Antes que nada agradecer a todos su tiempo y paciencia para intentar solucionar el problema.



Finalmente tuve que formatear porque para usar la recuperacion dewindows me pedia la clave del administrador, y no recuerdo cual es, asi que, ni modo, formateo, estuvo raro este error, finalmente no supe si era vrus o algo se malogro en el windows, en fin, gracias por todo...gracias.....totales.

[msc hotline sat]

Lástima que no llegara a probar el FIXMBR... podía ser que se hubiera ahorrado un montón de molestias !



Y dando por terminado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30-8-2011