Virus rebelde: gac_msil desktop.ini
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Virus rebelde: gac_msil desktop.ini
Hola amigos:
Paso a reportar una experiencia negativa.
Un virus que me ha entrado hoy y me ha sido imposible eliminarlo
Me ha entrado hoy 16-1-12:
- Sistema operativo: WINDOWS XP PROFESSIONAL SP3 (Actualizado)
- ANTIVIRUS: AVG 2012 FREE (Actualizado)
- Navegador: Mozilla FIREFOX 9.0.1
Denominaciòn segùn MALWAREBYTES:
Troyano Generic26.QP
RUTA DE UBICACIÒN: C:\Windows\assembly\gac_msil\desktop.ini
SINTOMAS:
Al navegar con Firefox, se añaden pestañas no buscadas,
Y cuando haces una bùsqueda en google, te redirige a pàginas que empiezan por 95p.com
(siento no haber tomado una captura de estos casos )
- PROCEDIMIENTO DE ELIMINACIÒN:
- Malwarebytes actualizado:
Reinicio. Limpieza de sistema y registro.
- Otro anàlisis con Malwarebytes en modo seguro:
- Otros anàlisis: Salen los mismos resultados. El "bicho" permanece
El caso es que entre el Malwarebytes y el AVG no pudieron eliminar este bicho.
Ademàs no me guardè en particiòn aparte, como las fotos, los ".logs" del Malwarebytes , donde podrìa analizarse con mayor profundidad el "bicho" en cuestion (entradas de registro y demàs)
Por otro lado encontrè una pàgina donde explica como eliminar este virus de manera "manual" podrìamos decir, lo malo es que està en inglès, cosa que yo no domino , y no pude poner en pràctica :
http://blog.teesupport.com/completely-r ... l-removal/
Y como no querìa perder màs tiempo, tras 4 reinicios, y tenìa una imagen ACRONIS limpia y reciente, pues no ahondè màs en el tema y restaurè el sistema en apenas 6 minutos:
http://www.letheonline.net/restaura.htm
Siento no ser de mucha ayuda en cuanto a la solvencia del problema; al menos sirva de aviso
Un saludo
Paso a reportar una experiencia negativa.
Un virus que me ha entrado hoy y me ha sido imposible eliminarlo
Me ha entrado hoy 16-1-12:
- Sistema operativo: WINDOWS XP PROFESSIONAL SP3 (Actualizado)
- ANTIVIRUS: AVG 2012 FREE (Actualizado)
- Navegador: Mozilla FIREFOX 9.0.1
Denominaciòn segùn MALWAREBYTES:
Troyano Generic26.QP
RUTA DE UBICACIÒN: C:\Windows\assembly\gac_msil\desktop.ini
SINTOMAS:
Al navegar con Firefox, se añaden pestañas no buscadas,
Y cuando haces una bùsqueda en google, te redirige a pàginas que empiezan por 95p.com
(siento no haber tomado una captura de estos casos )
- PROCEDIMIENTO DE ELIMINACIÒN:
- Malwarebytes actualizado:
Reinicio. Limpieza de sistema y registro.
- Otro anàlisis con Malwarebytes en modo seguro:
- Otros anàlisis: Salen los mismos resultados. El "bicho" permanece
El caso es que entre el Malwarebytes y el AVG no pudieron eliminar este bicho.
Ademàs no me guardè en particiòn aparte, como las fotos, los ".logs" del Malwarebytes , donde podrìa analizarse con mayor profundidad el "bicho" en cuestion (entradas de registro y demàs)
Por otro lado encontrè una pàgina donde explica como eliminar este virus de manera "manual" podrìamos decir, lo malo es que està en inglès, cosa que yo no domino , y no pude poner en pràctica :
http://blog.teesupport.com/completely-r ... l-removal/
Y como no querìa perder màs tiempo, tras 4 reinicios, y tenìa una imagen ACRONIS limpia y reciente, pues no ahondè màs en el tema y restaurè el sistema en apenas 6 minutos:
http://www.letheonline.net/restaura.htm
Siento no ser de mucha ayuda en cuanto a la solvencia del problema; al menos sirva de aviso
Un saludo
Saludos y ♪Forzatleti♫
- LeThe
- Site Admin
- Mensajes: 7046
- Registrado: Vie Jun 15, 2007 5:11 pm
- Ubicación: Florida, Estados Unidos
- Contactar:
Re: Virus rebelde: gac_msil desktop.ini
Yo aqui he usado Autoruns y el Processexplorer para analizar cuidadosamente todo lo que inicia.
Tambien, esta un truco cual me esta funcionando de maravilla: Reniciar en Modo Seguro con Funciones de Red o Safe Mode with Networking.
En este modo, muchos de estos virus no funcionan y ahi le dan la oportunidad a AVG o Malwarebytes poder eliminarlo.
Tambien, esta un truco cual me esta funcionando de maravilla: Reniciar en Modo Seguro con Funciones de Red o Safe Mode with Networking.
En este modo, muchos de estos virus no funcionan y ahi le dan la oportunidad a AVG o Malwarebytes poder eliminarlo.
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Pues ya hice tambièn un anàlisis en modo seguro, y el virus permanecìa.
Omitì que intentè utilizar tambièn el AUTORUNS, como indicas Lethe, pero me perdì entre la "maraña" de procesos y entradas de registro, y temì borrar algo no debido
Otra vez a ver si tengo màs cuidado y guardo el ".log" de Malwarebytes en particiòn aparte
Otro punto para el ACRONIS TRUE IMAGE (un autèntico "salvavidas" )
Gracias y saludos.
Omitì que intentè utilizar tambièn el AUTORUNS, como indicas Lethe, pero me perdì entre la "maraña" de procesos y entradas de registro, y temì borrar algo no debido
Otra vez a ver si tengo màs cuidado y guardo el ".log" de Malwarebytes en particiòn aparte
Otro punto para el ACRONIS TRUE IMAGE (un autèntico "salvavidas" )
Gracias y saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Diran que soy muy terco pero yo en ese caso lo que hago es utilizar el Kaspersky Virus Removal Tool que pueden descargar desde aquí
http://www.kaspersky.com/antivirus-removal-tool?form=1
Les recomiendo la versión 10 que ademas de estar en español tiene una opción de apagar el sistema al terminar (acostumbro dejar el análisis en la noche e irme a dormir, así no tengo que esperar), otra ventaja es que puede ser instalado aun estando en modo seguro, cosa que no cualquier aplicación puede hacer
Aquí hablábamos de el
http://www.letheonline.net/foro/viewtop ... =10&t=4582
http://www.letheonline.net/foro/viewtop ... val#p26184
http://www.kaspersky.com/antivirus-removal-tool?form=1
Les recomiendo la versión 10 que ademas de estar en español tiene una opción de apagar el sistema al terminar (acostumbro dejar el análisis en la noche e irme a dormir, así no tengo que esperar), otra ventaja es que puede ser instalado aun estando en modo seguro, cosa que no cualquier aplicación puede hacer
Aquí hablábamos de el
http://www.letheonline.net/foro/viewtop ... =10&t=4582
http://www.letheonline.net/foro/viewtop ... val#p26184
Ing. en Computación
Soporte Técnico a Equipo de Computo
Soporte Técnico a Equipo de Computo
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
No amigo Katojc, los tercos son los virus :yahlol :yahlolDiran que soy muy terco pero yo en ese caso lo que hago es utilizar el Kaspersky Virus Removal Tool...
Porque hace un rato me ha vuelto a entrar otro en el mismo PC.
A la misma hora, aproximadamente (??), no se si tendrà que ver
Tambièn navegando con la ùltima versiòn de Firefox
En este caso si que el Malwarebytes ha podido con èl, y yo guardè el ".log" de reporte en una particiòn aparte por si acaso. A continuaciòn lo transcribo:
Código: Seleccionar todo
Malwarebytes Anti-Malware (Versión de Prueba) 1.60.0.1800
www.malwarebytes.org
Versión de la Base de Datos: v2012.01.18.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
vinagre :: VINAGRET-EDD1E3 [administrador]
Protección: Personas de movilidad reducida
18/01/2012 19:13:05
mbam-log-2012-01-18 (19-53-58).txt
Tipos de Análisis: Análisis Rápido
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 178709
Tiempo transcurrido: 3 minuto(s), 2 segundo(s)
Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)
Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)
Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)
Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Detectados: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.
Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)
Archivos Detectados: 2
C:\Documents and Settings\vinagre\Configuración local\Temp\0.8203794822058494.exe (Trojan.Agent) -> No se tomaron medidas.
C:\Documents and Settings\vinagre\Menú Inicio\Programas\Inicio\0.8203794822058494.exe.lnk (Backdoor.Agent) -> No se tomaron medidas.
fin)
Pero como ya son dos veces en dos tardes consecutivas, ya no me fio. Entonces voy a seguir el consejo del amigo Katojc y voy ha analizar el PC con la herramienta de Karspersky.
http://www.kaspersky.com/antivirus-removal-tool?form=1
Y ya verè si analizo tambien con la herramienta de PANDA:
http://www.pandasecurity.com/spain/home ... ctivescan/
Gracias por el recordatorio
Saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Hay que aclarar que el Kaspersky Virus Removal Tool no es infalible, pero al menos yo he tenido buenos resultados y se los dejo como sugerencia, otra cosa que recalco es que una vez que lo descargas, este trae actualizada su base a la fecha de descarga, es decir que si hoy lo descargo lo tego actualizado a la fecha de hoy, asi que si lo voy a necesitar la proxima semana pues entonces lo tendre que descargar para entonces ya que esta herramienta hasta donde yo se no se puede actualizar ya que es gratis, como quien dice es una herramienta de un solo uso, incluso una vez terminado el analisis al cerrar la aplicacion te pregunta si deseas desinstalarlo
Ing. en Computación
Soporte Técnico a Equipo de Computo
Soporte Técnico a Equipo de Computo
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Gracias por la aclaraciòn amigo Katojc.
Asì pues no sirve de mucho guardar el archivo: Descargar, usar y borrar
Hice al PC un anàlisis en MODO SEGURO con la herramienta de Karpersky y me detectò otro troyano màs. Muestro el reporte del anàlisis:
Gracias y saludos.
Asì pues no sirve de mucho guardar el archivo: Descargar, usar y borrar
Hice al PC un anàlisis en MODO SEGURO con la herramienta de Karpersky y me detectò otro troyano màs. Muestro el reporte del anàlisis:
Código: Seleccionar todo
Análisis automático: en ejecución (eventos: 2, objetos: 82552, tiempo: 00:12:34)
18/01/2012 20:54:39 Detectados: HEUR:Trojan.Win32.Generic C:\Documents and Settings\vinagre\Datos de programa\Sun\Java\Deployment\cache\6.0\57\46c9c1b9-3bd9a36f
18/01/2012 20:45:08 Tarea iniciada
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Gracias por el aporte amigo paulofutre, quería saber si recuerdas en que pag.(s) en la web estabas navegando en el momento de pescar estos bichitos.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
sino por aquello que puede facilitar el aprendizaje.
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
¡ Cuanto ha que no te sentimos por aquì , amigo Menfis !
Creo que tiempo atràs ya se reportaron casos donde entraban "bichos" por utilizar esta utilidad de Google.
Saludos.
Estaba buscando imàgenes de futbol, del Atleti lògicamente , y utilizè el GOOGLE IMAGES.Gracias por el aporte amigo paulofutre, quería saber si recuerdas en que pag.(s) en la web estabas navegando en el momento de pescar estos bichitos.
Creo que tiempo atràs ya se reportaron casos donde entraban "bichos" por utilizar esta utilidad de Google.
Saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Si amigo paulofutre, el sentimiento es recíproco, he estado muy liado!, , espero muy pronto poder tener más tiempo para ayudar y compartir con todos uds. en mi foro querido.
Gracias por reportar la procedencia del suceso.
Gracias por reportar la procedencia del suceso.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
sino por aquello que puede facilitar el aprendizaje.
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Otra vez, el mismo, en el mismo PC
Imàgenes tras el anàlisis con Malwarebytes
Log de Malwarebytes:
Luego le apliquè el anàlisis con la herramienta de Karpersky, en MODO SEGURO
y volvìa a aparecer el mismo troyano, en la misma ubicaciòn, solo que esta vez con mayùsculas:
C:\Windows\assembly\GAC_MSIL\desktop.ini
Le hice varias pasasas tanto en modo seguro como en modo normal.
Me fijè en el detalle que al abrir cualquier programa, Ccleaner por ejemplo, saltaba un aviso del FIREWAL DE WINDOWS (???). Similar a esta (no tomè captura):
Si abrìa el navegador, este me redirigìa a dos pàginas concretas
(Ahora no dispongo su direcciòn, pero de todas maneras pensè no publicarla, por si alguien le da por copiarla y conectarse)
Como tenìa tiempo, me dije de eliminarlo por la fuerza, como hice en otra ocasiòn, con un live CD de linux, en este caso UBUNTU 11.0.
Una vez cargado este sistema en memoria me fui a todas las entradas que figuraban ahì, màs todos los archivos alojados en carpetas TEMP, y tambien los alojados en carpetas RECICLER.
Luego reinicio. Pasada otra vez con es escaneador de KARPERSKY , y otra vez estaba el "bicho".
Ademàs me fijè que salìa un aviso pequeñito del KARPERSKY. Era breve, tardaba unos segundos en cerrarse, no dejaba .log ni otro archivo, y mostraba una ruta incompleta, donde se ubicaba otro troyano,que pude tomar a bolìgrafo:
G/......0978007.exe
Es decir se habìa alojado en la segunda particiòn de mi segundo disco.
Era un problema, puesto que tenìa almacenados 150 GB de datos, y habìa una carpeta de unas 50 Gb con software, es decir, con muchìsimos .exe.
El tiempo me apremiaba. He hice una restauraciòn de sistema. Esta vez con un archivo ACRONIS unos meses anterior al que puse. Y lo dejo actualizando.
PENDIENTE: Elmininar este .exe de ese 2º disco duro.
CONCLUSIÒN DE MOMENTO: El problema parece ser que no es que me entre via web, como sospechabamos màs arriba, puede ser un archivo con "bicho" oculto.
Me indicò mi amigo Grissom que lo primero que tenìa que haber hecho, en vez de eliminar archivos, era eliminar la entrada del registro afectada:
En este caso, sigue venciendo el "bicho".
Saludos.
-
Imàgenes tras el anàlisis con Malwarebytes
Log de Malwarebytes:
Código: Seleccionar todo
Malwarebytes Anti-Malware (Trial) 1.60.0.1800
www.malwarebytes.org
Database version: v2012.01.26.02
Windows XP Service Pack 3 x86 NTFS (Safe Mode)
Internet Explorer 8.0.6001.18702
Administrador :: VINAGRET-EDD1E3 [administrator]
Protection: Disabled
26/01/2012 12:32:12
¡¡¡ mbam-log-2012-01-26 26-1-12 (14-29-37).txt
Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 363292
Time elapsed: 1 hour(s), 53 minute(s), 9 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 1
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders|SecurityProviders (Trojan.FakeMS) -> Bad: (IqlunkItlokk.dll) Good: () -> No action taken.
Folders Detected: 0
(No malicious items detected)
Files Detected: 15
C:\WINDOWS\system32\IqlunkItlokk.dll (Trojan.FakeMS) -> No action taken.
C:\WINDOWS\system32\ifxspmgtsrv.dll (Rootkit.0Access) -> No action taken.
C:\Archivos de programa\LP\24AE\1D.tmp (Trojan.Downloader.BH) -> No action taken.
C:\Archivos de programa\LP\24AE\2.exe (Trojan.Downloader.BH) -> No action taken.
C:\Documents and Settings\vinagre\Configuración local\Temp\35.tmp (Trojan.FakeMS) -> No action taken.
G:\SOFTWARE REC\0.1 Logos inicio E ICONOS\SoftonicDownloader_para_greenfish-icon-editor-pro.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
G:\SOFTWARE REC\0.1 Logos inicio E ICONOS\SoftonicDownloader_para_icofx-portable.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
G:\SOFTWARE REC\1 EDICION VIDEO\VIDEO PAD VIDEO EDITOR\SoftonicDownloader_para_videopad-video-editor.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
G:\SOFTWARE REC\1.1 FOTOGRAFÌA (Photoshop etc)\Reshade.Image.Enlarger.v1.51\RES\Reshade Image Enlarger v1.51_Patch.exe (PUP.RiskwareTool.CK) -> No action taken.
G:\SOFTWARE REC\3.1 DISCO y desfragmentacion\formato bajo nivel\SoftonicDownloader_para_hdd-low-level-format-tool.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
C:\Documents and Settings\Administrador\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\Documents and Settings\LocalService\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\Documents and Settings\NetworkService\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\Documents and Settings\vinagre\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\WINDOWS\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
(end)
y volvìa a aparecer el mismo troyano, en la misma ubicaciòn, solo que esta vez con mayùsculas:
C:\Windows\assembly\GAC_MSIL\desktop.ini
Le hice varias pasasas tanto en modo seguro como en modo normal.
Me fijè en el detalle que al abrir cualquier programa, Ccleaner por ejemplo, saltaba un aviso del FIREWAL DE WINDOWS (???). Similar a esta (no tomè captura):
Si abrìa el navegador, este me redirigìa a dos pàginas concretas
(Ahora no dispongo su direcciòn, pero de todas maneras pensè no publicarla, por si alguien le da por copiarla y conectarse)
Como tenìa tiempo, me dije de eliminarlo por la fuerza, como hice en otra ocasiòn, con un live CD de linux, en este caso UBUNTU 11.0.
Una vez cargado este sistema en memoria me fui a todas las entradas que figuraban ahì, màs todos los archivos alojados en carpetas TEMP, y tambien los alojados en carpetas RECICLER.
Luego reinicio. Pasada otra vez con es escaneador de KARPERSKY , y otra vez estaba el "bicho".
Ademàs me fijè que salìa un aviso pequeñito del KARPERSKY. Era breve, tardaba unos segundos en cerrarse, no dejaba .log ni otro archivo, y mostraba una ruta incompleta, donde se ubicaba otro troyano,que pude tomar a bolìgrafo:
G/......0978007.exe
Es decir se habìa alojado en la segunda particiòn de mi segundo disco.
Era un problema, puesto que tenìa almacenados 150 GB de datos, y habìa una carpeta de unas 50 Gb con software, es decir, con muchìsimos .exe.
El tiempo me apremiaba. He hice una restauraciòn de sistema. Esta vez con un archivo ACRONIS unos meses anterior al que puse. Y lo dejo actualizando.
PENDIENTE: Elmininar este .exe de ese 2º disco duro.
CONCLUSIÒN DE MOMENTO: El problema parece ser que no es que me entre via web, como sospechabamos màs arriba, puede ser un archivo con "bicho" oculto.
Me indicò mi amigo Grissom que lo primero que tenìa que haber hecho, en vez de eliminar archivos, era eliminar la entrada del registro afectada:
Código: Seleccionar todo
Registry Data Items Detected: 1
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders|SecurityProviders (Trojan.FakeMS) -> Bad: (IqlunkItlokk.dll) Good: () -> No action taken.
En este caso, sigue venciendo el "bicho".
Saludos.
-
Saludos y ♪Forzatleti♫
- LeThe
- Site Admin
- Mensajes: 7046
- Registrado: Vie Jun 15, 2007 5:11 pm
- Ubicación: Florida, Estados Unidos
- Contactar:
Re: Virus rebelde: gac_msil desktop.ini
Use la herramienta katojc, con muy buenos resultados: http://www.letheonline.net/foro/viewtop ... =24&t=4839
Gracias.
Gracias.
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Si Lethe, pero en este caso el/los "bichos" van venciendo a Karpersky online + Malwarebytes + AVG2012
¡ A ver si puedo con ello !
Gracias y saludos.
¡ A ver si puedo con ello !
Gracias y saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Una cosa que he detectado en el kaspersky es que no detecta igual si no muestras los ocultos y los protegidos por el sistema antes de comenzar el escaneo
Ing. en Computación
Soporte Técnico a Equipo de Computo
Soporte Técnico a Equipo de Computo
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Gracias amigo Katojc. Pero en este PC tengo todos los archivos visibles, incluidos los de sistema.
Normalmente todos los PCs que monto van asì. Creo que una de las modificaciones que hago al CD de instalaciòn de Windows XP con nLite, era esa: archivos de sistema y demàs todos visibles.
Ya digo: el "bicho" me va ganando la partida
Gracias y saludos.
Normalmente todos los PCs que monto van asì. Creo que una de las modificaciones que hago al CD de instalaciòn de Windows XP con nLite, era esa: archivos de sistema y demàs todos visibles.
Ya digo: el "bicho" me va ganando la partida
Gracias y saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Existe una herramienta en el Hirens llamada HiJack This haz un escaneo con ese y publica el log para ver si te puedo ayudar con esto
Ing. en Computación
Soporte Técnico a Equipo de Computo
Soporte Técnico a Equipo de Computo
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Bueno amigos me estoy volviendo paranoico (??)
Sospecho que estoy siendo atacado por alguien, o algo (??)
Razones:
- Son virus muy raros, no se pueden eliminar por los mètodos habituales. Ademàs muy violentos: entran de manera masiva y te dejan el sistema hecho trizas.
- (??) Tambièn que logran ubicarse en otras particiones de otro disco duro (??) Esto lo pongo con interrogaciòn porque no lo tengo confirmado al 100%. Lo que si està claro es que su comportamiento es muy fuerte.
- Todo esto ocurre sòlo en un PC. En los otros PCs de la casa, y en mis PCs de pruebas y del trabajo no he detectado nada similar, hasta el momento. Siendo estos de similares caracterìsiticas (Windows XP Prof, etc) y navegando por los lugares habituales. Si bien esta navegaciòn no ha sido tan intensa como en el PC en cuestiòn.
- Tambien incidicar que es el PC que màs utilizo para descargas, principalmente descargas directas mediante Jdownloader. Y que tambièn almacena bastante cantidad de archivos.
Asì pues sospecho que alguien, o algo, a podido rastrear la I.P. de este PC, y lanzar un ataque (??)
Pregunto:
- Es esto posible ??. El que alguien o algo, via web o (??), haya localizado este PC, su I.P. me supongo (??), y haya lanzado un ataque ??
De momento estoy navegando a traves de esconder la IP con el programa IP HIDER.
Pero es un fastidio, interfiere en todo lo relacionado con FLASH y en las descargas, y asì por ejemplo, no puedo ver un video del YOUTUBE ni descargarme nada
Hasta aquì se acaban mis pocos conocimientos en Redes.
Es por ello que os solicito una ayuda, alguna "pista", a ver por dònde puedo solventar este problema. Y si es lo que sospecho, a ver como poder evitarlo.
POSTDATA: Gracias a "San ACRONIS" estoy aguantando el tipo un poco
Muchas gracias. Saludos.
Sospecho que estoy siendo atacado por alguien, o algo (??)
Razones:
- Son virus muy raros, no se pueden eliminar por los mètodos habituales. Ademàs muy violentos: entran de manera masiva y te dejan el sistema hecho trizas.
- (??) Tambièn que logran ubicarse en otras particiones de otro disco duro (??) Esto lo pongo con interrogaciòn porque no lo tengo confirmado al 100%. Lo que si està claro es que su comportamiento es muy fuerte.
- Todo esto ocurre sòlo en un PC. En los otros PCs de la casa, y en mis PCs de pruebas y del trabajo no he detectado nada similar, hasta el momento. Siendo estos de similares caracterìsiticas (Windows XP Prof, etc) y navegando por los lugares habituales. Si bien esta navegaciòn no ha sido tan intensa como en el PC en cuestiòn.
- Tambien incidicar que es el PC que màs utilizo para descargas, principalmente descargas directas mediante Jdownloader. Y que tambièn almacena bastante cantidad de archivos.
Asì pues sospecho que alguien, o algo, a podido rastrear la I.P. de este PC, y lanzar un ataque (??)
Pregunto:
- Es esto posible ??. El que alguien o algo, via web o (??), haya localizado este PC, su I.P. me supongo (??), y haya lanzado un ataque ??
De momento estoy navegando a traves de esconder la IP con el programa IP HIDER.
Pero es un fastidio, interfiere en todo lo relacionado con FLASH y en las descargas, y asì por ejemplo, no puedo ver un video del YOUTUBE ni descargarme nada
Hasta aquì se acaban mis pocos conocimientos en Redes.
Es por ello que os solicito una ayuda, alguna "pista", a ver por dònde puedo solventar este problema. Y si es lo que sospecho, a ver como poder evitarlo.
POSTDATA: Gracias a "San ACRONIS" estoy aguantando el tipo un poco
Muchas gracias. Saludos.
Saludos y ♪Forzatleti♫
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
katojc escribió:Existe una herramienta en el Hirens llamada HiJack This haz un escaneo con ese y publica el log para ver si te puedo ayudar con esto
Nos hemos cruzado amigo Katojc
He vuelto a reinstalar:
- Imagen de "San Acronis"
- Malwarebytes y luego Karspersky online, ambos en modo normal, sin problemas.
De momento hasta ahora llevo conectado a internet, via Firefox nada màs, por màs de 6 horas despuès de la ùltima reinstalaciòn sin problemas.
PREGUNTO:
HIJACK: Esta herramienta la utilizo ya mismo, o espero a que se produzca un ataque, con los sìntomas citados en post anteriores ??
Muchas gracias amigo (estupendo foro)
Saludos.
Saludos y ♪Forzatleti♫
- LeThe
- Site Admin
- Mensajes: 7046
- Registrado: Vie Jun 15, 2007 5:11 pm
- Ubicación: Florida, Estados Unidos
- Contactar:
Re: Virus rebelde: gac_msil desktop.ini
He usado mucho el HiJackthis pero lo he reemplazado casi al 100% con Autoruns.
Que tal el AVG Rescue CD? O mi recomendacion de sacar el disco y ponerlo en otra PC?
Que tal el AVG Rescue CD? O mi recomendacion de sacar el disco y ponerlo en otra PC?
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Gracias maestros por estas "pistas". He de ponerme con estos programas de anàlisis de procesos màs a fondo.He usado mucho el HiJackthis pero lo he reemplazado casi al 100% con Autoruns.
Ahora no estoy en el PC en cuestiòn. A ver si mañana reporto resultados con estos dos programas, y veo de paso si le ha entrado infecciòn.
A tener en cuenta la herramienta de AVG. Gracias por la pista.Que tal el AVG Rescue CD? O mi recomendacion de sacar el disco y ponerlo en otra PC?
Lo de sacar el disco ya lo tenìa pensado para mañana y analizarlo con uno de mis PCs de pruebas....pero...
... resulta que ese PC de pruebas tiene unos cuantos problemas de hardware, ya resueltos, pero me ha llevado casi 2 horas resolverlos .
(Hay dìas en que TODO te sale mal, ley de Murphy, etc )
Asì que voy a seguir la recomendaciòn de un amigo/maestro en esto de la informàtica, de descansar y asì analizar los problemas màs descansado, lo cual entronca con la recomendaciòn de otro amigo/maestro de "mente clara, no obcecarse"
Reportarè resultados. Muchas gracias amigos.
Saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
hasta se parece a la cancion de un grupo de rock mexicano llamado El Tri(Hay dìas en que TODO te sale mal, ley de Murphy, etc )
Cancion = "Nada me sale Bien"
http://www.youtube.com/watch?v=pslRbHlceRQ
aunque se utilizan muchos "modismos" que seguramente la gente de otros países no entenderá
Ing. en Computación
Soporte Técnico a Equipo de Computo
Soporte Técnico a Equipo de Computo
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Desde luego que hoy todo lo que hago esta màl, no hace falta que lo diga mi "vieja" que la tengo a màs de 100 km. de aquì :yahlol
Estaba probando un par de PCs y resultò que el teclado esta averiado tambièn
Menos mal que hay amigos como Katojc que acuden en ayuda de uno, con buenos consejos y buen Blues
Muchas gracias, y saludos.
Estaba probando un par de PCs y resultò que el teclado esta averiado tambièn
Menos mal que hay amigos como Katojc que acuden en ayuda de uno, con buenos consejos y buen Blues
Muchas gracias, y saludos.
Saludos y ♪Forzatleti♫
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Bueno entre el descanso y el buen R&roll mexicano uno afronta los problemas con otro aire
Adjunto el log de HIJACKTHIS:
OBSERVACIONES y SOSPECHAS:
Estas lineas:
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL
BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
De este sospecho bastante, yo no he usado nunca en este pc un ESCRITORIO REMOTO,
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PrivacyProvider - Unknown owner - C:\WINDOWS\system32\PrivacyProvider.exe
Sospecho tambièn de este proceso (??). Pongo una captura del AUTORUNS:
De estos procesos encuentro poca informaciòn, y/o en inglès, con lo cual no tengo la seguridad de que estos procesos sean malignos.
Si teneis y rato, rogarìa alguna sugerencia.
EDITADO:
Tras estos anàlisis con autoruns y Hijackthis, he pasado el KARPERSKY ONLINE y luego el Malwarebytes, ambos en MODO SEGURO, sin problemas
Muchas gracias y saludos.
Adjunto el log de HIJACKTHIS:
Código: Seleccionar todo
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:50:22, on 28/01/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\ARCHIV~1\AVG\AVG2012\avgrsx.exe
C:\Archivos de programa\AVG\AVG2012\avgcsrvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\AVG\AVG2012\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
C:\Archivos de programa\AVG\AVG2012\avgwdsvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Archivos de programa\AVG\AVG2012\avgnsx.exe
C:\Archivos de programa\AVG\AVG2012\AVGIDSAgent.exe
C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\HIJACKTHIS\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.ask.com/?l=dis&o=14597
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG2012\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Archivos de programa\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [IPHider] C:\Archivos de programa\IP Hider\IP Hider.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1298396948972
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG2012\avgpp.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: WatchDog de AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PrivacyProvider - Unknown owner - C:\WINDOWS\system32\PrivacyProvider.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 8947 bytes
Estas lineas:
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL
BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
De este sospecho bastante, yo no he usado nunca en este pc un ESCRITORIO REMOTO,
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PrivacyProvider - Unknown owner - C:\WINDOWS\system32\PrivacyProvider.exe
Sospecho tambièn de este proceso (??). Pongo una captura del AUTORUNS:
De estos procesos encuentro poca informaciòn, y/o en inglès, con lo cual no tengo la seguridad de que estos procesos sean malignos.
Si teneis y rato, rogarìa alguna sugerencia.
EDITADO:
Tras estos anàlisis con autoruns y Hijackthis, he pasado el KARPERSKY ONLINE y luego el Malwarebytes, ambos en MODO SEGURO, sin problemas
Muchas gracias y saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Comenta sobre la imagen creada con Acronis: que programas tienes incluidos en la ISO?
En estos casos rebeldes, es bueno tener una imagen ISO del S.O. pelada, es decir solo controladores, actualizaciones importantes, nada más, sin ningun programa. Luego instalas solo el antivirus y, muy importante, un escaneo completo, de todas las particiones.
Nota: estoy consciente que siempre es bueno encontrar la solución y que bicho lo produjo, pero en ocasiones el tiempo apremia y hay que tomar soluciones rápidas.
En estos casos rebeldes, es bueno tener una imagen ISO del S.O. pelada, es decir solo controladores, actualizaciones importantes, nada más, sin ningun programa. Luego instalas solo el antivirus y, muy importante, un escaneo completo, de todas las particiones.
Nota: estoy consciente que siempre es bueno encontrar la solución y que bicho lo produjo, pero en ocasiones el tiempo apremia y hay que tomar soluciones rápidas.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
sino por aquello que puede facilitar el aprendizaje.
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Bastantes, pero no muchos, y normalitos, el PC es de uso domèstico: Navegar, descargar, guardar fotos, videos, mùsica, etc . Normalmente los programas son gratuitos, salvo Nero, Photoshop, Partition Magic (bajados con la mula hace años y libres de "sospechas" ). El office 2010 es si acaso el prograba "bajado" màs reciente, pero llevo con el casi un año.Comenta sobre la imagen creada con Acronis: que programas tienes incluidos en la ISO?
Claro, es de las mejores cosas que he aprendido con vosotros: con el gran programa nLite efectuè y guardè varias ISOs de instalaciòn de XP "peladas", es decir, incluyendo sòlo actualizaciones y quitando algunos elementos:En estos casos rebeldes, es bueno tener una imagen ISO del S.O. pelada,
http://www.letheonline.net/manualnlite.htm
Y una cosa que he aprendido estos años es a ser muy "defensivo".
Precisamente antes de publicar el ùltimo post, estuve comentando con un compañero acerca de unos PCs que estoy montando, y le indicaba que habìa guardado varias imàgenes .tib efectuadas con ACRONIS TRUE IMAGE 10.0:
Sistema XP solo sin drivers - XP con drivers - XP drivers y actualizaciones- XP anterior y antivirus - XP con todos los programas.
Y ademàs de alguna de ellas por duplicado
En el caso que nos concierne, ambos PCs tienen exactemente el mismo modelo de Placa y Sistema, y de ellos, como de todos los PCs que monto, tengo varias imàgenes Acronis, con las que "salir del paso" , y bastante ràpido como los habituales foreros saben.
Para los recien llegados, sepan que el programa ACRONIS TRUE IMAGE es un autèntico salvavidas:
http://www.letheonline.net/restaura.htm
Si esto es màs que nada por no repetir el error yo, y evitar en lo posible que lo comentan otros.Nota: estoy consciente que siempre es bueno encontrar la solución y que bicho lo produjo
Tomo nota de tus recomendaciones amigo Menfis.
Estupendo foro, no me canso de repetirlo
Gracias y saludos.
Saludos y ♪Forzatleti♫
Re: Virus rebelde: gac_msil desktop.ini
Con respecto al Office 2010, los activadores que he probado, la mayoría tienen troyanos.
No sé como lo activastes el Office, pero chécalo por si acaso.
No sé como lo activastes el Office, pero chécalo por si acaso.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
sino por aquello que puede facilitar el aprendizaje.
- paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus rebelde: gac_msil desktop.ini
Gracias por la indicaciòn. Por eso resaltè lo de este programa
Lo he analizado, junto a todo el PC, con el nuevo AVIRA que me "recetò" un "curandero" , tambièn he analizado los activadores y no me ha detectado nada raro.
Creo que el problema, identificando los orìgenes, las causas, y arreglando los desperfectos, està solventado.
Muchìsimas gracias por vuestro tiempo, y vuestros consejos
Estupendo foro, no me cansarè de repetirlo
Saludos.
Lo he analizado, junto a todo el PC, con el nuevo AVIRA que me "recetò" un "curandero" , tambièn he analizado los activadores y no me ha detectado nada raro.
Creo que el problema, identificando los orìgenes, las causas, y arreglando los desperfectos, està solventado.
Muchìsimas gracias por vuestro tiempo, y vuestros consejos
Estupendo foro, no me cansarè de repetirlo
Saludos.
Saludos y ♪Forzatleti♫