Author Topic: Probable Keylogger  (Read 11247 times)

0 Members and 1 Guest are viewing this topic.

Dorime

  • Guest
Probable Keylogger
« on: November 16, 2011, 03:44:46 PM »
Algun experto que me brinde un consejo  :-*

Tengo la actualizacion de Avast y aunque en el principio tenia el pantallazo azul no podia instalarlo y tenia que ingresar en version prueba, finalmente pude al eliminar totalmente la version anterior, aparentemente todo marcha bien y Avast no encuentra nada irregular pero estoy advirtiendo que cuando apago y enciendo la conexion a internet se desconecta un USB que externa y fisicamente no esta conectado en la computadora, he revisado el CCleaner y me lanza esto

Referencia MUI faltante   C:\Program Files\AVAST Software\Avast\Setup\avast.setup   HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache


Y este es el ultimo registro que en foma personalizada acabo de pasar

« Last Edit: November 20, 2011, 04:45:45 PM by Dorime »

Dorime

  • Guest
Re: Probable Keylogger
« Reply #1 on: November 16, 2011, 03:47:04 PM »


Alguien que me brinde una pauta a seguir ?  ???
« Last Edit: November 20, 2011, 04:43:48 PM by Dorime »

ady4um

  • Guest
Re: Probable Keylogger
« Reply #2 on: November 16, 2011, 06:08:44 PM »
Panel de Control -> Programas -> Avast -> Reparar.

Luego de la reparación, recinicia inmediatamente el sistema.

Testea / chequea y reporta aquí nuevamente.

Dorime

  • Guest
Re: Probable Keylogger
« Reply #3 on: November 17, 2011, 05:21:07 PM »
Gracias, he seguido las indicaciones y me salia esto  :


Este es el ultimo reporte que acabo de obtener :

*
* Informe de análisis de avast!
« Last Edit: November 21, 2011, 05:21:41 AM by Dorime »

Dorime

  • Guest
Re: Probable Keylogger
« Reply #4 on: November 17, 2011, 05:24:00 PM »

Estoy intentando subir una copia de los elementos en funcionamiento de mi task manager (vere como lo consigo)  ???
« Last Edit: November 20, 2011, 04:41:59 PM by Dorime »

Dorime

  • Guest
Re: Probable Keylogger
« Reply #5 on: November 17, 2011, 07:44:54 PM »
Definitivamente tengo un bicho indeseado que no se deja ver, pues fui a buscar carpetas y extenciones ocultas (Folder Options) en Control Panel acepte a la opcion mostrar todo y desmarque las de ocultar, pero al revisar nuevamente encuentro con sorpresa que en forma automatica todas las opciones de ocultar se ha activado.  >:(

Voy a desinstalar Avast y reinstalar nuevamente en Safe Zona a ver como me va  ::)

iroc9555

  • Guest
Re: Probable Keylogger
« Reply #6 on: November 17, 2011, 09:40:21 PM »
Dorime.

Como desinstalar Avast usando su herramienta de desinstalacion:

https://support.avast.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=732#idt_02

despues que desinstalaes Avast asegurate que " cuando apago y enciendo la conexion a internet se desconecta un USB que externa y fisicamente no esta conectado en la computadora " no este pasando para descartar que Avast sea el culpable de esa anomalia.

Vuelve a descargar Avast, no se que version estas usando, de el propio sitio de Avast y reinstalalo.

Una cosa. Si estabas usando otro antivirus distinto a Avast anteriormente, asegurate que lo desinstalastes completamente usando su herramienta de desinstalacion y metodo descrito en su pagina web. Avast no es muy amigo de pedacitos de AV por ahi que quedadan de otros AV.

Herramienta de desinstalacion de AV y AS:

http://singularlabs.com/uninstallers/security-software/

 
Instala Malwarebytes´ y actualizalo manualmente. Haz un barrido rapido para tener una segunda opinion de cualquier cosa que puedas estar infectado. No elimines nada si algo es encontrado. reporta aqui el analisis de MBAM.

http://www.filehippo.com/es/download_malwarebytes_anti_malware/

Con respecto a lo que CCleaner encuentra en su barrido del registro. CCleaner usa un barrido muy superficial por irregularidades en el registro para que hasta un nuevo usuario sin experiencia pueda usarlo y no cause mas daño de lo normal. No es recomendable limpiar el registro si no sabes que estas eliminando. Muchos programas de limpieza de registro pueden hacer mas daño que bien y muchos experto acuerdan que si no se sabe que se esta haciendo pueden ser mas perjudicial que cualquier cosa.

Con respecto a los resultados de tus barridos. Si pasas un barrido completo vas a obtener que Avast consigue archivos que no puede analizar porque estan ciendo usados en ese momento. Esto es normal. Tambien los archivos .ZIP o .RAR dicen que estan corruptos pero tambien es normal. Todo depende de como tienes seteado Avast para sus barridos y que tipo de logs quieres que te reporte.

Safe Zone es para ingresar en bancos o hacer transacciones con tarjata de credito. No fue diseñado para el dia a dia de navegacion o para instalar programas.

Suerte.

Dorime

  • Guest
Re: Probable Keylogger
« Reply #7 on: November 19, 2011, 05:14:39 AM »
Gracias por responder y por las pautas proporcionadas siguiendo las indicaciones elimine el programa avast desde safe mode (no safe zone como indique en un lapsus brutus)y alli mismo descargue de avast el nuevo programa que active sin complicaciones y al analizar la computadora me indica que no encuentra ninguna anomalia.

He eliminado CCleaner y en su lugar e instalado tambien Malwarebytes y tampoco me indica que mi computadora tenga anomalias, no obstante a los cambios efectuados aun asi persisten estas observaciones :

1.- Cuando apago y prendo la configuracion de internet se advierte visiblemente que se desconecta un USB que fisicamente no se encuentra conectado en la computadora

2.- Cuando manualmente desde Control Panel marco la opcion de mostrar todas las carpetas, files escondidos con sus extensiones y asimismo desmarco la opcion que indica no mostrar carpetas, tras unos segundos de efectuado el proceso al revisar nuevamente advierto con sorpresa, que automaticamente estas se vuelven a marcar en No mostrar carpetas ocultas y sus extensiones, ignorando completamente mi cambio manual.

3.- Con respecto a mis barridos, tengo la precaucion de no utilizar ningun programa ni mantener ninguna ventana abierta al momento de efectuar el analisis por lo que aqui adjunto la nueva que acabo de realizar con la version de hoy actualizada desde control panel  ;D

Dorime

  • Guest
Re: Probable Keylogger
« Reply #8 on: November 19, 2011, 05:33:21 AM »
*
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb [E] The process cannot access the file because it is being used by another process (32)

« Last Edit: November 20, 2011, 04:44:36 PM by Dorime »

Dorime

  • Guest
Re: Probable Keylogger
« Reply #9 on: November 19, 2011, 05:33:58 AM »

*
* Análisis detenido: Friday, November 18, 2011 8:27:44 PM
* Tiempo de ejecución: 10 minuto(s), 48 segundo(s)
*
« Last Edit: November 20, 2011, 04:44:57 PM by Dorime »

ady4um

  • Guest
Re: Probable Keylogger
« Reply #10 on: November 19, 2011, 01:06:00 PM »
He eliminado CCleaner y en su lugar e instalado tambien Malwarebytes

Esas son 2 herramientas con diferentes objetivos.

Quote

1.- Cuando apago y prendo la configuracion de internet se advierte visiblemente que se desconecta un USB que fisicamente no se encuentra conectado en la computadora


Intenta usar http://www.nirsoft.net/utils/usb_devices_view.html para eliminar los "devices fantasmas". Si sabes inglés, utiliza esa versión en lugar de la traducción.

Quote
2.- Cuando manualmente desde Control Panel marco la opcion de mostrar todas las carpetas, files escondidos con sus extensiones y asimismo desmarco la opcion que indica no mostrar carpetas, tras unos segundos de efectuado el proceso al revisar nuevamente advierto con sorpresa, que automaticamente estas se vuelven a marcar en No mostrar carpetas ocultas y sus extensiones, ignorando completamente mi cambio manual.

Dependiendo de la versón de Windows, puedes requerir hacer click en "aplicar", o también puede ser necesario "actualizar" la ventana de Windows Explorer. Mientras haces el cambio de configuración, cierra todas las otras ventanas. Intenta un reboot después de cambiar la configuración y revisala nuevamente.

En algunos casos, algún item del Registro de Windows queda corrupto y el cambio no queda realmente grabado / salvado.

Claro que también es posible que algún malware esté intentando ocultarse de tu vista.

Quote
3.- Con respecto a mis barridos, tengo la precaucion de no utilizar ningun programa ni mantener ninguna ventana abierta al momento de efectuar el analisis por lo que aqui adjunto la nueva que acabo de realizar con la version de hoy actualizada desde control panel  ;D

Por favor utiliza el "attachment" de cada post para agregar los logs parciales, aunque no creo que sea necesario el log, si no tenemos indicaciones sobre lo que estaríamos buscando (Avast ya te dijo que no encontró nada).

iroc9555

  • Guest
Re: Probable Keylogger
« Reply #11 on: November 19, 2011, 01:13:36 PM »
Dorime.

Como te dije antes, esos programas que no se pueden scanear porque " estan siendo usados ", es muy comun.

Puedes mantener CCleaner es muy bueno para borrar la basura y tiene otras buenas funciones. Lo que tienes que tener cuidado es con el limpiador de registro.

Malwarebytes' ( MBAM ) es muy bueno para una segunda opinion, barrido rapido. Mantenlo actualizado manualmente cada dia o un dia si uno no. Normalmente MBAM tiene de 3 a 4 actualizaciones por dia pero el gratis no las hace automaticamente.

El problema del USB que se desconecta y las carpetas que aparesen o no puede ser indicacion de malware, systema de archivos corruptos, o un hardware mal desinstalado.

No se que Windows usas pero ve a " Administrador de Dispositivos "; PC > Propiedades > Hardware. Ve si algo esta en amarillo o rojo. Esto seria para buscar inconsistencias con el hardware instalado.

Para chequear por archivos corruptos haz un CHKDSK. Te dejo este sitio web explicando. Es lo mismo para todos los Windows. Tambien se tarda el chequeo ten paciensia.

http://www.todoprogramas.com/trucos/windows7/comousarelchkdskparalacomprobaciondeldiscoenwindows7

Hay otro chequeo, sfc /scannow, pero necesitas tener el CD de instalacion de Windows y es diferente el procedimiento para cada Windows.

Para asegurarte de que no tienes una infeccion es mejor buscar ayuda de expertos. Si sabes ingles abre un topico nuevo en " Viruses and Worms " aqui en Avast donde essexboy te ayudara:

Primero lee e instalas los programas que te piden aqui:

Malwarebytes' ( ya lo tienes, pero actualizalo y haz un scan nuevo )
OTL ( tienes que seguir las instrucciones )
aswMBR.exe ( sigue las instrucciones )

http://forum.avast.com/index.php?topic=53253.0

Sus resultados los anexas como .txt, Busca  " Additional Options... " al final del post cuando lo estes escribiendo y abre un nuevo topico aqui:

http://forum.avast.com/index.php?board=4.0

Te aconsejo hacerlo aqui en Avast porque es rapido, el mas rapido que conosco. En otros sitios se tardan hasta tres dias para contestarte. Asi que buscate un amigo que sepa ingles y pa' lante.

Si no tienes que abrir un topico de ayuda aqui:

http://www.forospyware.com/foro-de-virus-y-spywares/

El unico sitio de confiansa en español que se que es bueno y seguro.

Suerte.

Dorime

  • Guest
Creo que lo encontre !!
« Reply #12 on: November 20, 2011, 03:12:27 PM »
Lo encontre !!!  ;D

Al menos eso espero, actualice el Malwarebyte y al ejecutar me salio que nada pero yo insistia en que algo no estaba bien pues en todo caso podria aplicar la opcion de carpetas ocultas, he eliminado desde Malwarebyte algunas extensiones de Windows defender y otras extensiones que no tenian nombre, ni mencionaban de donde provenian y esto es lo que salio  ???

Dorime

  • Guest
Re: Probable Keylogger
« Reply #13 on: November 20, 2011, 03:18:33 PM »
*
* Informe de análisis de avast!
* Este archivo es generado automáticamente
*
* Nombre del análisis: Dorime
* Iniciado el: domingo, 20 de noviembre de 2011 5:47:56
* VPS: 111120-0, 11/20/2011
*

Proceso 3920 [mbamservice.exe], bloque de memoria 0x0000000001060000, tamaño del bloque 1048576 [L] Win32:Regrun-HV [Trj] (0)
Proceso 3920 [mbamservice.exe], bloque de memoria 0x0000000002520000, tamaño del bloque 2097152 [L] Win32:Crypt-GCA [Trj] (0)
Proceso 3920 [mbamservice.exe], bloque de memoria 0x0000000002720000, tamaño del bloque 4194304 [L] Win32:FakeAlert-NO [Trj] (0)
Proceso 3920 [mbamservice.exe], bloque de memoria 0x0000000002B20000, tamaño del bloque 8388608 [L] Win32:FakeAlert-ALB [Trj] (0)
Proceso 3920 [mbamservice.exe], bloque de memoria 0x00000000035E0000, tamaño del bloque 16580608 [L] Sf:Mystic [Cryp] (0)
Proceso 3920 [mbamservice.exe], bloque de memoria 0x0000000008580000, tamaño del bloque 16580608 [L] Win32:Bamital-S [Trj] (0)
Proceso 3920 [mbamservice.exe], bloque de memoria 0x0000000009550000, tamaño del bloque 16580608 [L] Win32:Jifas-EW [Trj] (0)
Proceso 3920 [mbamservice.exe], bloque de memoria 0x000000000A520000, tamaño del bloque 13979648 [L] Win32:Agent-AHBJ [Rtk] (0)
C:\Boot\BCD [E] The process cannot access the file because it is being used by another process (32)
C:\Boot\BCD.LOG [E] The process cannot access the file because it is being used by another process (32)
C:\pagefile.sys [E] The process cannot access the file because it is being used by another process (32)
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log [E] The process cannot access the file because it is being used by another process (32)
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSStmp.log [E] The process cannot access the file because it is being used by another process (32)
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb [E] The process cannot access the file because it is being used by another process (32)
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb [E] The process cannot access the file because it is being used by another process (32)
C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{4b748e6b-10db-11e1-b821-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{4e66e61a-0e6b-11e1-84ab-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{5eb1c9f3-0a95-11e1-af44-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{600ce116-1057-11e1-9145-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{746e249c-0ff4-11e1-b2f2-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{b369b3fe-08f8-11e1-88aa-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{b809e2bf-0a83-11e1-8896-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{c625ac83-1012-11e1-bbe2-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{c66cfa2f-0b46-11e1-959d-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{cf0146aa-11bc-11e1-8b50-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{cf0146b0-11bc-11e1-8b50-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{edf5892b-09df-11e1-a517-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\System Volume Information\{f55e4907-12ba-11e1-bfc7-001d09589d61}{3808876b-c176-4e48-b7ae-04046e6cc752} [E] Access is denied (5)
C:\Users\QINA\AppData\Local\Google\Chrome\User Data\Default\Cache\data_0 [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Google\Chrome\User Data\Default\Cache\data_1 [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Google\Chrome\User Data\Default\Cache\data_2 [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Google\Chrome\User Data\Default\Cache\data_3 [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Google\Chrome\User Data\Default\Cache\index [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Google\Chrome\User Data\Default\Current Session [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Microsoft\Windows\UsrClass.dat [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Microsoft\Windows Defender\FileTracker\{B730A67C-979C-43DE-8B86-8BD0C5F760A3} [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Temp\etilqs_7iXET2lrUTnGENr [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Temp\etilqs_OuQFMQikvMXCBAH [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Temp\fla4F1B.tmp [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\AppData\Local\Temp\msiB01C.tmp|>emc_radio.exe [E] El archivo RAR está dañado. (42127)
C:\Users\QINA\AppData\Local\Temp\msiB01C.tmp|>emc_tv.exe [E] El archivo RAR está dañado. (42127)
C:\Users\QINA\AppData\Local\Temp\msiB01C.tmp|>emc_webcam.exe [E] El archivo RAR está dañado. (42127)
C:\Users\QINA\ntuser.dat [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\ntuser.dat.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Users\QINA\ntuser.dat.LOG2 [E] The process cannot access the file because it is being used by another process (32)

Dorime

  • Guest
Re: Probable Keylogger
« Reply #14 on: November 20, 2011, 03:19:12 PM »


C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\catroot2\edb.log [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\COMPONENTS [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\COMPONENTS.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\COMPONENTS.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\DEFAULT [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\DEFAULT.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\DEFAULT.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\RegBack\COMPONENTS [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\RegBack\DEFAULT [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\RegBack\SAM [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\RegBack\SECURITY [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\RegBack\SOFTWARE [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\RegBack\SYSTEM [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SAM [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SAM.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SAM.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SECURITY [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SECURITY.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SECURITY.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SOFTWARE [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SOFTWARE.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SOFTWARE.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SYSTEM [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SYSTEM.LOG1 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\config\SYSTEM.LOG2 [E] The process cannot access the file because it is being used by another process (32)
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl [E] Access is denied (5)
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl [E] Access is denied (5)
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl [E] Access is denied (5)
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl [E] Access is denied (5)
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTkerberos.etl [E] Access is denied (5)
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl [E] Access is denied (5)
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMuroc System Trace.etl [E] Access is denied (5)
C:\Windows\Temp\_avast_\Webshlock.txt [E] The process cannot access the file because it is being used by another process (32)
Archivos infectados: 8
Archivos totales: 180608
Carpetas totales: 10257
Tamaño total: 66.7 GB

*
* Análisis detenido: Sunday, November 20, 2011 6:00:40 AM
* Tiempo de ejecución: 12 minuto(s), 44 segundo(s)
*