no encuentra regedit.sys - no restaura ni abre administrador de tareas

[billyjoker]

Hola, a raíz de que metí mi pendrive me salió un aviso del antivirus de que estaba infectado, me sugirió de eliminar/mover al baúl una serie de archivos y yo le di a todos "eliminar". A raíz de eso, consecuencias:



- Mensaje de alert: no se pudo encontrar la ruta C:\WINDOWS\system32\regedit.sys

- No puedo restaurar sistema: se me quedó deshabilitado, lo conseguí rehabilitar cambiando desde el registro la deshabilitación, pero no me deja restaurar a ningún punto de los que tenía creado anteriormente, se queda en el día actual.

- No puedo abrir administrador de tareas: me vuelve a salir "no se pudo encontrar la ruta C:\WINDOWS\system32\regedit.sys"

- Internet muy lento o no funciona. Además le cuesta desplazarse la barra vertical, como si estuviera el sistema muy saturado



Medidas adoptadas:



- Pasé el CCleaner, reparé el registro, limpié temporales...

- Pasé el AntiMalwareBytes y drcureit

- Arranqué en modo seguro, pero todo siguió igual

- Conseguí arrancar internet en modo seguro con funciones de red.



Log de hijack:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 8:56:22, on 24/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\acs.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Telefonica\bin\sprtsvc.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\StkASv2K.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\IEEE 802.11 Wireless LAN\ACU.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Winamp\Winampa.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\M-Audio Audiophile USB\Dmn\ma003dmn.exe

C:\Archivos de programa\Stickies\stickies.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l

O4 - HKLM\..\Run: [ACU] C:\Archivos de programa\IEEE 802.11 Wireless LAN\ACU.exe -nogui

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stickies.lnk = C:\Archivos de programa\Stickies\stickies.exe

O4 - Global Startup: MA003DMN.LNK = C:\Archivos de programa\M-Audio Audiophile USB\Dmn\ma003dmn.exe

O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



--

End of file - 8250 bytes



He vuelto a eecanear con Avast y me ha encontrado un par de virus, VisthUpd.exe y A0000069.exe, ahora puedo conectarme a internet iniciando windows normalmente, pero va superlenta la barra de arriba a abajo, como refrescando la pantalla cada vez que hago un movimiento...

Por cierto, no me deja arranzar el Zonealarm. Ahora le estoy pasando el scaner de panda online y ya me ha detectado 6 infecciones...

Gracias y un saludo.

[msc hotline sat]

Empiece por probar con el ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y si en el informe no se detectara nada, proceda con el SPROCES, mucho mas exhaustivo que el HJT:



https://foros.zonavirus.com/viewtopic.php?f=5&t=29543



saludos



ms, 25-6-2010

RESMAD

[billyjoker]

¿Dónde puedo descargar gratuitamente ambos programas? Gracias

[msc hotline sat]

Ya indicaba los links de descarga en mi anterior post.



Para evaluacion en este foro puedes usarlos sin cargo (aunque tienen Copyrigth de SATINFO y se debe contratar licencia de uso en otro caso)



Solo para la descarga hay que enviar un SMS para mantenimiento del servicio.



saludos



ms, 26-6-2010

[billyjoker]

A eso me refería, hay que " Envia 1 SMS con la palabra SAT al 35000 * ". No sabía que este foro funcionaba así.



Gracias igualmente pero no me interesa hacerlo así. Lo siento por las molestias ocasionadas.

[msc hotline sat]

La mayoría de webs de descarga usan dicho método para ayuda al mantenimiento de sus servicios, y asi poder acceder a las utilidades para solucionar los problemas planteados.



El otro camino de acceder a dichas utilidades es contratar su licencia de uso con SATINFO, con el coste correspondiente por sus servicios, lo cual permite durante 1 año el acceso y actualizacion de las mismas. Ello lo puedes contratar en cualquier distribuidor informático u ONLINE a través de distribuidores concertados, como en este [url=http://dsav.net/descargas.php]DISTRIBUIDOR ONLINE[/url]



Creo que con dichas utilidades y nuestras indicaciones, podremos encontrar la causa y solucionar el problema, pero tu decides.



En cualquier caso, gracias por la confianza depositada en nuestro foro.



saludos



ms, 26-6-2010