Hola
aqui nuevamente
con un nuevo problema
desde hace un tiempo me parece esta ventana


ExeScripts Host
C:/documents and sttings/ nahuel hurtado/ Untitled2.vbs
line; 32
char: 1
Error:
code: 80040e96


realize todos los pasos para limpieza para memorias flash
sobre todo segui los pasos de este mensaje


andresfromsky
Usuario Registrado: abr 2008
Ubicación: Chile
Mensajes: 6
No puedo ver archivos y carpetas ocultas


y otros mas metodos de limpieza
y no me da resultados
solo logre resolver que se puedan ver los archivos ocultos

revise con el hijackthis y encontrE estA entrAda que le di FIX CHECKED

O4 - HKLM\..\Run: [msdts] c:\windows\system32\msdts.exe

hasta ahora desaparecio la ventana cuando iniciaba windows junto con la ventana de documentos (parece que resulto pero el virus o troyano me parece que todavia se debe encontrar en mi pc)


ASI QUE REALICE EL SCAN CON EL KASPERSKY Y PEGO EL LOG
PARA QUE LO REVISEN se agradece de antemano

miércoles, 18 de junio de 2008 10:51:45
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 18/06/2008
Registros en la base antivirus: 782141


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\

Estadísticas
Número de objeros analizados 75057
Virus encontrados 5
Objetos infectados 15 / 0
Objetos sospechosos 0
Duración del análisis 01:17:18

Bombre del objeto infectado Nombre del virus Última acción
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde1.zip/qwerty12.exe Infectados: Trojan.Win32.Agent.aoy saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde1.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde23.zip/qwerty12.exe Infectados: Trojan.Win32.Agent.aoy saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde23.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde34.zip/qwerty12.exe Infectados: Trojan.Win32.Agent.aoy saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde34.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde48.zip/qwerty12.exe Infectados: Trojan.Win32.Agent.aoy saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde48.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde59.zip/away.exe.exe Infectados: Email-Worm.Win32.Zhelatin.lj saltado

C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde59.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db.shadow Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Configuración local\Historial\History.IE5\MSHist0120080618200806 19\index.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\Escritorio\LIMPIEZA\MISMASXS\xp_fix.exe Infectados: Worm.Win32.VB.qr saltado

C:\Documents and Settings\nahuel hurtado\ntuser.dat Object is locked saltado

C:\Documents and Settings\nahuel hurtado\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\QooBox\Quarantine\C\WINDOWS\system32\mssrv32.ex e.vir Infectados: Trojan-Downloader.Win32.Dirat.aa saltado

C:\QooBox\Quarantine\C\WINDOWS\system32\wupdsvc9.e xe.vir Infectados: Trojan-Downloader.Win32.Dirat.aa saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\DGL\INFO.DGL Object is locked saltado

C:\WINDOWS\system32\filedata.tmp Infectados: Trojan.VBS.Agent.by saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\msdts.exe Infectados: Trojan.VBS.Agent.by saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

hola yo tambien tengo el mismo problema pero fue a raiz de un USB tube problemas y ahora me sale el mismo error k puedo hacer y con ese error no puedo ver los archivos ocultos! .... kisiera k tambien me ayuden para poder ver los archivos ocultos!

MIRA hasta ahora no me responden
puede ser que lo que hice esta bien
porque ya no tengo problemas
si es cierto que yo tambien fue por
usar la memoria usb pero segui estos pasos

anda a este enlace y segui los pasos para limpieza de flash

No puedo ver archivos y carpetas ocultas

http://www.forospyware.com/t166288.html

despues si sabes entrar a regedit (registro) modifica , revisa o crea
las entradas que te aconseja

newdev
Usuario

Con el debido permiso de mi colega maco1128. y de newdev lo copio
para que revises

Ésta es una secuela conocida que dejan algunos virus en las PC's que algunos antivirus no reparan. Me ha pasado más de una vez, para repararla procede de la siguiente manera:
1 pasoEntra el regedit
2 paso Accede a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N.
3 paso Verifica que existen los valores (tipo DWORD, si es de otro tipo elimínalo y crealo con el tipo correcto) CheckedValue y DefaultValue y que ambos tengan valor 2, si no encuentras una de las claves creala(s): Click Derecho + Nuevo + Valor DWORD + Le pones el nombre y le das el valor correspondiente.
4 paso Accede a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL .
5 pasoVerifica de igual forma que el valor CheckedValue existe pero que tenga valor 1 y que DefaultValue valor 2. Modifícalos o crealos de ser necesario.


con esto recien aparece los archivos ocultos

ahora yo finalmente con el HijackThis
localize esta entrada

O4 - HKLM\..\Run: [msdts] c:\windows\system32\msdts.exe

y le di checked con el HijackThis
y hasta ahora no me dio problemas
ya no me aparece la ventana y puedo ver los archivos ocultos

pero falta que alguien del foro me diga
si hice bien o no
asi que estoy a la espera

mira hice lo k me dijiste pero nada cada ves k reinicio o prendo la PC sale lo mismo! sale el error y se abre mis documentos ..... hice lo de los archivos ocultos x regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE est est bn los valores de DWORD pero cuando entro en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL el valro de CheckedValue es 0 pero cuando lo modifico y pongo archivo salir o la X de cerrar vuelvo a entrar a la misma tua en el registro y sigue en 0 lo elimine y trato de crear otro y emdice k ya existe! k puedo hacer!

hola amigo POLACO
en parte tienes razon
pero antes de crear CheckedValue en DWORD
tienes que eliminar el anterior checked value que debe estar escrito en otro formato
eliminas el anterior y creas el nuevo
ojo que me parece que tiene que ser escrito igual el CheckedValue con sus mayusculas y minusculas como esta.y darle la numeracion correspondiente cierras y vas a herramientas - opciones de carpeta y le das mostrar todo.
suerte y me cuentas si funciono.

en cuanto al tema de que aparece MIS DOCUMENTOS y la otra ventanita con el error te vuelvo a repetir
lo hice con el HijackThis
localize esta entrada

O4 - HKLM\..\Run: [msdts] c:\windows\system32\msdts.exe

y le di clik con el boton de FIXCHECKED

Y REINICIE LA PC Y NO SALIO MAS HASTA AHORA
SUERTE

mmm si lo hice pero nada no lo elimino y pongo crear nuevo valor DWORD y le pongo el nombre y me dice k ya existe! y si se k tiene k ir tal como esta escrito pero nada ese es mi problema

hola polaco
a ver si entendi
se resiste en el registro
lo cierras vuelves a entrar y nuevamente esta creado ahi de nuevo
como antes

prueba esto de eliminar el msdts.exe

pero tienes que encontrarlo
si es posible en modo seguro
y desactivar restaurar sistema

yo lo hice con el HijackThis

una vez que lo ubiques y lo eliminas
haz lo otro de corregir el registro

y no te olvides de pasar el antivirus online (Kaspersky Online Scanner )

yo lo hice con ese
y hasta ahora me dio resultado
sigue intentandolo a mi tambien
me paso lo mismo espero que
primero limpiaste todo sobre cookies e historial
y todo archivo temporal
luego desactiva el restaurar sistema
y reinicias en modo seguro

para mas detalles sigue estos pasos:

Realiza lo siguiente.............

Paso 1.- Descarga:
Flash_Disinfector.exe. Está al final del tema.

MismaSXs.exe.

Ccleaner.
Paso 2.- Reinicia en modo seguro. Ejecuta de a uno:
MismaSXs.exe;
Con los dispositivos USB desconectados ejecuta
MismaSXs.exe.
Conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y
ejecutas MismaSXs.exe de nuevo.


Flash_Disinfector;
Con los dispositivos USB desconectados ejecuta Flash_Disinfector.
Conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecutas
Flash_Disinfector de nuevo.

Paso 3.- Reinicia en modo normal y ejecutas el Ccleaner.
Usando primero su opción de "Limpiador" para borrar cookies,
temporales de Internet y todos los archivos que este te muestre como
obsoletos.
Despues usa su opción de "Registro" para limpiar todo el registro de
Windows (haciendo copia de seguridad).
Lo haces en cada una de las cuentas de usuario que hayas creado.

Nota: Si aun no puedes ver los archivos y/o carpetas ocultos, analizas "Mi Pc" con:Kaspersky Antivirus online.

- Pegas el reporte de kaspersky Antivirus online para revisarlo.

si puedes pega tmbien el reporte de HijackThis

a ver si tienes el msdts
suerte.............

mmm sabes k me acabo de dar cuent k tengo un CheckedValue pero en alfanumerico! tu crees k x eso no pueda crear de DWOR ???

me olvide esto es lo k salio con HijackThis v2




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:56, on 24/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\windows\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\windows\system32\svchost.exe
C:\windows\System32\WScript.exe
C:\windows\explorer.exe
C:\windows\system32\wscntfy.exe
C:\Archivos de programa\Tarifador\Tarifador.exe
C:\Juegos\HLCounterFull15\hl.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\PC7\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [msdts] c:\windows\system32\msdts.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [amva] C:\windows\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6CC8EC4-5F57-4917-BBD1-A426C550ACE9}: NameServer = 200.48.225.130,200.48.225.146
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3605 bytes

HOLA EN EL HijackThis

aparece esta linea dale fixchecked con el HijackThis

O4 - HKLM\..\Run: [msdts] c:\windows\system32\msdts.exe

reinicia y prueba veras que no aparece mas

al menos a mi me funciono y no aparecio mas la ventana de error
y tampoco se abria la carpeta mis documentos


tambien hay uno medio sospechoso que es esta linea

O4 - HKCU\..\Run: [amva] C:\windows\system32\amvo.exe
pero aqui si no puedo ayudarte voy abuscar y hazlo tu tambien
me parece haber leido algo de amvo.exe .....................

y si en cuanto al registro es asi tiene que ser con dword eliminalo
y crealo de nuevo en formato dword y aparecera los archivos ocultos

suerte

estuve leyendo y es asi vi que definitivamente amvo.exe si lo es
entra a este enlace y segui los pasos del piedra

http://www.forospyware.com/t139653.html

o tambien escribe en buscar ambo.exe
y te va dar muchas soluciones

suerte nuevamente