FORMATEAR ORDENADOR

SORA · Mensaje por **SORA** » 04 Jul 2005, 23:37

Hola!queria consultar lo siguiente, se trata de 2 dudas: la primera es como se formatea un ordenador de windows XP, y la segunda es como puedo pasar un programa ( antivirus concretamente ) que está isntalado en el ordenador a un disco para poder instalarlo despues de formatear.

si pudierais responderme cualquiera de las 2 dudas

muxas gracias

atentamente

Sora

Mensaje por **flacoroo** » 05 Jul 2005, 02:00

Primero hay que saber ...el por qué deseas formatear.....esa es la contestacion a la primera pregunta...

respuesta a la segunda...puedes copiar los archivos instalados del antivirus que tienes a un disco con un quemador o una memoria usb, pero de nada te servira....lo que tu debes hacer es copiar el programa de instalacion al cd-rom o memoria usb y asi poder instalarlo la proxima vez....

esperamos respuesta............

Mensaje por **msc hotline sat** » 05 Jul 2005, 05:08

Efectivamente formatear no es becesario en muchos casos, pudiendo REPARAR el XP sin perder las aplicaciones instaladas, por lo indicado de que las aplicaciones en windows se instalan, no es suficiente con copiar los ficheros, ya que en todas intervienen claves en el registro necesarias para su funcionamiento

Tras indicarnos el porqué como te indica Flacoroo, te sugeriremos lo procedente

saludos

ms, 5-07-2005

SORA · Mensaje por **SORA** » 05 Jul 2005, 17:36

hola!gracias por contestarme.

quiero formatear el ordenador porque llevo muxos meses que no me funciona correctamente, entran muchos virus y unas paginas de publicidad que no puedo hacer desaparecer y me habian indicado que lo mejor esq formateara el ordenador

Gracias

Sora

Mensaje por **maura63** » 05 Jul 2005, 17:44

Sigue los pasos de este tutorial

https://foros.zonavirus.com/viewtopic.php?t=5370

Y antes de nada paa este antivirus online y dinos lo que detecta.

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Saludos

maura63

SORA · Mensaje por **SORA** » 05 Jul 2005, 19:09

he pasado tanto el antivirus online como el mio propio, spybot ad aware y el eliStara en modo seguro a prueba de errores y he eliminado todo aquello q han encontrado.

sin embrago las paginas de publicidad siguen saliendo

por eso creiamos oportuno formatear el ordenador, para eliminar todo aquello q pudiera generar este problema

gracias

Soraya

Mensaje por **msc hotline sat** » 05 Jul 2005, 20:51

Si lo formateas, en un par de días volveras a tener estas páginas adware, que se adquieren al navegar por internet, por ello lo mejor es aprender a corregirlas, o sea, saber como sliminarlas:

Con el Spybot instalado, arranca en modo seguro, deshabilita la restauracion de sistema y ejecutas el SPYBOT, lanzando un escaneo, y al acabar le das a SOLUCIONAR PROBLEMAS o FIX PROBLEM

y si tienes alguno que se resista, dinos cual es y si procede te pediriamos que nos enviaras muestra para añadirloa al ELISTARA y asi eliminarlo

saludos

ms, 5-07-2005

NOTA: Y no es que no queramos ayudarte a formatear, sino que muchas veces es una pérdida de tiempo, pero si quieres saberlo, todo estriba en programar el SETUP para que arranque de CD antes que de Disco duro, y arrancar con el CD de instalacion e ir siguiendo las indicaciones, pero por poco que puedas... ms.

SORA · Mensaje por **SORA** » 06 Jul 2005, 10:41

ok!muchas gracias!

yo solo queria saber porque me habian dicho q era lo mejor, pero probablemente tengaís razón,.

gracias por vuestra ayuda

voy a intentar solucionarlo

Mensaje por **maura63** » 06 Jul 2005, 14:10

Pasa esta utilidad

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

despues

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Saludos

maura63

SORA · Mensaje por **SORA** » 06 Jul 2005, 14:51

oks!aqui está

Logfile of HijackThis v1.99.1

Scan saved at 14:50:16, on 6/7/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\windows\system32\vymatozh.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\Soraya\CONFIG~1\Temp\Directorio temporal 2 para hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitealp32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c6.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {5DF6FB84-749D-4AAE-AE37-708DE09B0588} - http://213.229.160.209/dialers/dial.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099334536423

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

Mensaje por **msc hotline sat** » 06 Jul 2005, 15:27

Estas las debes eliminar, lanzando de nuevo el HJT, y seleccionandolas con doble click sobre la clave, y tras ello darle a FIX:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c6.cab

O16 - DPF: {5DF6FB84-749D-4AAE-AE37-708DE09B0588} - http://213.229.160.209/dialers/dial.cab

Esta es deconcida, miro de darte mas informacion. Es un resto del spyware Aurora: eliminala tambien:

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitealp32.exe

Este fichero es sospechoso y no sabemos lo que es. Si tampoco lo sabes tú, envianoslo a zonavirus@satinfo.es anexado a un mail en cuyo texto pongas como referencia "REF vymatozh"

C:\windows\system32\vymatozh.exe

y de momento muevelo a una carpeta aparte, en "cuarentena"

saludos

ms, 6-07-2005

SORA · Mensaje por **SORA** » 06 Jul 2005, 17:50

he borrado esas entradas pro la otra q me pedís no la encuentro.

me he dado cuenta de que algunas paginas de las q se abren dicen q tengo un espia en el ordenador y me ofrecen examinarlo para acabar con él

no se si esta información servirá de algo.

muchas gracias

atentamente

Mensaje por **msc hotline sat** » 06 Jul 2005, 19:36

La última está en medio de estas, te la pongo en negrita:

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

~~[b]~~O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitealp32.exe [/b]

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

Si te refieres a esta, marcala y FIX tambien

Pero si hablas de lo que te pedimos que nos envies:;

C:\windows\system32\vymatozh.exe

esto es un fichero que tienes en la carpeta de sistema, y si no lo ves es que está oculto.

Configura ey windows para ver todos los ficheros, incluidos los ocultos y los de sistema:

_____________

PARA VER TODOS LOS FICHEROS Y EXTENSIONES EN SISTEMAS WINDOWS:

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similarEn Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo', pues sino los marcados con atributo de SYSTEM no aparacerían y hay virus que les ponen este atributo a sus gusanos.

6. Pinche en 'Aplicar' y en 'Aceptar'.

_____________

saludos

ms, 6-07-2005

SORA · Mensaje por **SORA** » 10 Jul 2005, 12:03

Aún haciendo todo eso, no consigo encontrarla y el problema sigue ahi!

gracias!

atentamente

soraya

SORA · Mensaje por **SORA** » 10 Jul 2005, 14:03

He pasado un antivirus online McAfee y me ha dado esto como resultado pero no hay ninguna opción que ponga como se pueden eliminar o algo así

lo dejo aqui x si me podeía ayudar

muchas gracias

C:\WINDOWS\system32\deqq\hosts Qhosts.apd

C:\WINDOWS\system32\deqq\ksat.bat Bat/knlk

C:\WINDOWS\system32\deqq\medo.dl IRC/Flood.dz

C:\WINDOWS\system32\deqq\zema IRC/Flood.bi

C:\WINDOWS\system32\deqq\yrtsiger.bat IRC/Flood.cv

C:\WINDOWS\system32\deqq\alial IRC/Flood.dz

C:\WINDOWS\system32\deqq\dlcl.edp IRC/Flood.bi

C:\WINDOWS\system32\temperror32.dat Generic StartPage.g

C:\WINDOWS\system32\ksat.bat Bat/knlk

C:\WINDOWS\system32\medo.dl IRC/Flood.dz

C:\WINDOWS\system32\zema IRC/Flood.bi

C:\WINDOWS\system32\yrtsiger.bat IRC/Flood.cv

C:\WINDOWS\system32\alial IRC/Flood.dz

C:\WINDOWS\system32\duhx1.txt W32/Sdbot.worm!ftp

Mensaje por **msc hotline sat** » 12 Jul 2005, 12:27

El McAfee ONLINE no permite eliminar virus, solo detectarlos. Además, cualquier otro ONLINE que lo permita, hará falta arrancar en modo seguro con opciones de red para que windows permita eliminarlos al no estar en us, ya que arrancando en modo normal estarán en proceso y no lo permite.

Como que usa XP, si accede a Internet a través de router ADSL o cable-modem podrá arrancar en MODO SEGURO CON FUNCIONES DE RED, deshabilitar la restairacion de sistema y lanzar cualquier otro antivirus ONLINE que contemple la eliminacion:

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

· Panda Software

http://www.pandasoftware.es/activescan/es/activescan_principal.htm

· Symantec

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym

Si no es el caso, simplemente hagalo con su antivirus,. bien actualizado, eso sí, arrancando en modo seguro y deshabilitando la restauracipn de sistema

y nos comenta el resultado como respuesta de este Tema, gracias

saludos

ms, 12-07-2005

SORA · Mensaje por **SORA** » 12 Jul 2005, 16:08

he pasado el antivirus online panda activescan y éste ha sido el resultado, no ha desinfectado ningún elemento y ha detectado 22.

No he podido pasarlo en modo sefuro con funciones de red pues no me dejaba acceder a la red.

Incidencia Estado Elemento

Adware:Adware/EliteBar No desinfectado C:\windows\system32\ELITEA~1.EXE

Spyware:Spyware/New.net No desinfectado C:\WINDOWS\NDNuninstall*.exe

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/nCase No desinfectado C:\Temp\FLEOK

Adware:Adware/WinTools No desinfectado Registro de Windows

Adware:Adware/TopConvert No desinfectado C:\WINDOWS\Downloaded Program Files\website.ocx

Adware:Adware/P2PNetworking No desinfectado Registro de Windows

Adware:Adware/Startpage.AAI No desinfectado C:\WINDOWS\system32\lclsplnt.dll

Adware:Adware/EliteBar No desinfectado C:\WINDOWS\system32\temperror32.dat

Virus:Application/Restart No desinfectado C:\WINDOWS\system32\Tools\Restart.exe

Adware:Adware/P2PNetworking No desinfectado C:\WINDOWS\system32\P2P Networking v123.cpl

Adware:Adware/TopConvert No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.1\website.ocx

Adware:Adware/TopConvert No desinfectado C:\WINDOWS\Downloaded Program Files\website.ocx

Spyware:Spyware/New.net No desinfectado C:\WINDOWS\NDNuninstall5_64.exe

Spyware:Spyware/New.net No desinfectado C:\WINDOWS\NDNuninstall6_38.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\All Users\Datos de programa\OozeBookSurfFlap\Heck Deaf.exe

Adware:Adware/SideFind No desinfectado C:\Documents and Settings\Soraya\Configuración local\Temp\SIDEFIND.EXE.Muestra EliStartPage v7.5

Adware:Adware/WinAD No desinfectado C:\Program Files\Media Access\MediaAccC.dll

Adware:Adware/WinAD No desinfectado C:\Program Files\Media Access\MediaAccK.exe

Adware:Adware/WinAD No desinfectado C:\Program Files\Media Access\MediaAccess.exe

Adware:Adware/nCase No desinfectado C:\temp\salm_kyf.dat

Adware:Adware/nCase No desinfectado C:\temp\salmau.dat

Gracias

Atentamente

Sora

Mensaje por **maura63** » 12 Jul 2005, 16:37

Para eso utiliza elistara, Spybot y ad_aware lo que marca no son virus propiamente dichos.

Saludos

maura63

SORA · Mensaje por **SORA** » 12 Jul 2005, 17:28

si lo he utilizado, pero áun así aparecen siempre , lo elimino una y otra vez y vuelven a aparecer

gracias

atentamente

Mensaje por **maura63** » 12 Jul 2005, 17:37

Con Spybot y Ad_aware actualizados junto a elistara, si arancas en modo seguro y desactivando la restauracion del sistema antes debes solucionarlo.

Saludos

maura63

Mensaje por **msc hotline sat** » 12 Jul 2005, 19:30

Efectivamente, con los ONLINE no podrás al no tener internet a través de router y no poder navegar en modo seguro con funciones de red

Y como que el Panda ha detectado spywares además de los virus que te detectó McAfee ONLINE:

[quote="McAfee ONLINE"]C:\WINDOWS\system32\deqq\hosts Qhosts.apd

C:\WINDOWS\system32\deqq\ksat.bat Bat/knlk

C:\WINDOWS\system32\deqq\medo.dl IRC/Flood.dz

C:\WINDOWS\system32\deqq\zema IRC/Flood.bi

C:\WINDOWS\system32\deqq\yrtsiger.bat IRC/Flood.cv

C:\WINDOWS\system32\deqq\alial IRC/Flood.dz

C:\WINDOWS\system32\deqq\dlcl.edp IRC/Flood.bi

C:\WINDOWS\system32\temperror32.dat Generic StartPage.g

C:\WINDOWS\system32\ksat.bat Bat/knlk

C:\WINDOWS\system32\medo.dl IRC/Flood.dz

C:\WINDOWS\system32\zema IRC/Flood.bi

C:\WINDOWS\system32\yrtsiger.bat IRC/Flood.cv

C:\WINDOWS\system32\alial IRC/Flood.dz

C:\WINDOWS\system32\duhx1.txt W32/Sdbot.worm!ftp
[/quote]

tal como indica Maura63, utiliza programas descargados en tu ordenador, y arrancando en modo seguro y deshabilitada la restauracion de sistema, podrás con ellos, entre antivirus, antispywares, y utilidades complementarias como el ELISTARA.EXE, como se indica en los dos tutoriales al respecto:

https://foros.zonavirus.com/viewtopic.php?t=5370

saludos

ms, 12-07-2005

SORA · Mensaje por **SORA** » 13 Jul 2005, 12:53

en modo seguro a prueba de errores he utilizado todas las utilidades que me habeis recomendado y efectivamente ha detectado y borrado todos ellos, sin embargo cuando vuelvo a sistema normal de windows vuelven a aparecer y los vuyelven a detectar

gracias

atentamente

Soraya

Mensaje por **maura63** » 13 Jul 2005, 13:06

[color=blue]Desactivas antes la restauracion del sistema [/color]al usar XP como te comente :?:

Para deshabilitar la herramienta "Restaurar sistema" en Windows XP, siga estos pasos:

1. Seleccione, Inicio, Mi PC

2. Haga clic en "Ver información del sistema"

3. Seleccione la etiqueta "Restauración de sistema"

4. Marque la casilla "Deshabilitar Restauración del Sistema en todos los discos" y pulse en "Aplicar".

5. El sistema le preguntará si está seguro de querer deshabilitarlo. Confírmelo pulsando en SI.

6. La opción que muestra el estado de los discos en la ventana "Restauración del Sistema" aparecerá deshabilitada (todo gris). Pulse en el botón Aceptar.

7. Reinicie su PC, y proceda a escanearlo con uno o dos antivirus actualizados.

Saludos

maura63

Mensaje por **msc hotline sat** » 13 Jul 2005, 13:09

En modo seguro lance tanto el antivirus como el antispyware, y elimine todos los malwares, y sin reiniciar, en la misma seion vuelva a lanzar los mismos antivirus y antispywares, a ver si encuentra algo infectado o no.

Indiquenos el resultado en cualquier caso, y despues arranque normalmente y copienos un log de lo que detecte en ambos testeos.

Pero primero sin reiniciar, nos copia el informe o nos lo dice si no le detecta nada, y luego tras reiniciar, lo mismo, y sabremos si es que no se elimina o si se regenera, puede que por una aplicacion dropper en el ordenador o por intrusion remota, bien al navegar i simplemente al conectar a Internet

y paralelamente, copienos un log actualizado del HiJackThis, como el que nos copio en su día, y veremos como está la cosa

dsñifpd

msm 13-07-2005

SORA · Mensaje por **SORA** » 13 Jul 2005, 19:57

creo haber hecho bien todo lo que me habeis indicado

Ad aware

1 entries scanned.

New critical objects:0

Objects found so far: 0

MRU List Object Recognized!

Location: : S-1-5-21-279248344-2566178878-3656146211-1006\software\microsoft\mediaplayer\player\recentfilelist

Description : list of recently used files in microsoft windows media player

MRU List Object Recognized!

Location: : S-1-5-21-279248344-2566178878-3656146211-1006\software\microsoft\mediaplayer\preferences

Description : last playlist index loaded in microsoft windows media player

MRU List Object Recognized!

Location: : S-1-5-21-279248344-2566178878-3656146211-1006\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!

Location: : S-1-5-21-279248344-2566178878-3656146211-1006\software\microsoft\search assistant\acmru

Description : list of recent search terms used with the search assistant

MRU List Object Recognized!

Location: : S-1-5-21-279248344-2566178878-3656146211-1006\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

18:56:34 Scan Complete

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:07:47.172

Objects scanned:54165

Objects identified:0

Objects ignored:0

New critical objects:0

Wed Jul 13 18:49:34 2005

EliStartPage v8.8 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Logfile of HijackThis v1.99.1

Scan saved at 19:09:56, on 13/7/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\IFACE.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\PAVJOBS.EXE

C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\DOCUME~1\Soraya\CONFIG~1\Temp\Directorio temporal 4 para hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [vymatozh] c:\windows\system32\vymatozh.exe -start

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitealp32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099334536423

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4529/mcfscan.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

Spybot search and destroy

--- Search result list ---

MagicControl.Agent: Configuración del usuario (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LanConfig

MagicControl.Agent: Configuración del usuario (Valor del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\mc\SA

Elitum.EliteBar: Configuración (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LQ

cuando reinicio a modo normal de windows y analizo el sistema de nuevo vuelven a aparecer

SORA · Mensaje por **SORA** » 13 Jul 2005, 20:17

cuando reinicio a modo normal de windows ésto es lo que sucede

--- Search result list ---

MagicControl.Agent: Configuración del usuario (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LanConfig

Elitum.EliteBar: Configuración (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LQ

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

Mensaje por **msc hotline sat** » 13 Jul 2005, 21:52

Está usando unba version del ELISTARA muy antigua !!!

Acrualmente vamos por la 10.04 y está usando la 8.8

Descargue la actual y utilicela

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras ello, lance el testeo e informenos al respecto

saludos

ms, 13-07-2005

SORA · Mensaje por **SORA** » 14 Jul 2005, 14:07

ÉSTE ES EL TESTEO :

Thu Jul 14 13:21:42 2005

EliStartPage v10.04 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\system32\ltfil13n.dll --> Eliminado, WinAd

C:\Archivos de programa\Microsoft Office\Office\SIGNER.DLL --> Eliminado, EliteSideBar (Dropper)

ÉSTE DEL ADAWARE

Ebates MoneyMaker(TAC index:4):8 total references

MRU List(TAC index:0):14 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

14-7-2005 13:27:42 - Scan started. (Smart mode)

spybot search and destroy

--- Search result list ---

MagicControl.Agent: Configuración del usuario (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LanConfig

Elitum.EliteBar: Configuración (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LQ

gracias

atentamente

Mensaje por **maura63** » 14 Jul 2005, 14:18

Esta ok, pero elimina temporales, cookies y archivos sin conexion, vuelve a pasar ad_aware lo que encuentre lo marcas y llevas a cuarentena, luego de esa carpeta elimina.

Vuelve a pasar y peganos el resultado.

Saludos

maura63

SORA · Mensaje por **SORA** » 14 Jul 2005, 15:02

OK!el ad aware no me detecto nada una vez hecho lo que me recomendabas, sin embargo el spybot search and destroy continuamente detecta lo siguiente, lo elimina y lo vuelve a detectar en el siguiente análisis:

--- Search result list ---

MagicControl.Agent: Configuración del usuario (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LanConfig

Elitum.EliteBar: Configuración (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-279248344-2566178878-3656146211-1006\Software\LQ

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---