Virus que no me deja restaurar ni instalar antivirus...

[aaron123]

Hola!

Estoy realmente jodido... todo empezo esta mañana que de golpe el antivirus (avg) me detecto algunos virus... tengo la mala costumbre de no fijarme en el nombre.Pense que no seria nada pero segui con el pc y me di cuenta que cuando pulso encima de un acceso directo( explorer, algun archivo comprimido etc) me tarda en cargar o me carga a la segunda vez que lo pulso ( eso ya me parecio raro) y pense en restaurar el sistema, voy y pongo el punto del viernes y cuando me reinicia y todo me sale que no se ha podido restaurar pq no hay cambios en el sistema :? ... al ver eso puse el AVG en marcha y me fui a ver la tele y al volver veo que no se termino de escanear sino que salio esa pantalla azul del windows xp que pone algo de errores en la memoria o algo asi... pare el pc y desinstale el avg y intente instalar otro antivirus, cual fue mi sorpresa? que cuando pulso el exe del antivirus me sale esa pantalla azul otra vez... no me deja instalarlo.Otra cosa que me di cuenta es que en la C: se me crearon 8 archivos (cd1041.nls, 4bd.tmp, 4be.tmp, 4bf.tmp, 4c0.tmp, 4c1.tmp, 4c3.tmp, 4c4.tmp) el unico que no me deja borrar es el cd1041.nls aunque lo borre en Modo a prueba de fallos se me vuelve a crear.

No se que hacer, el pc me va lento, se me ejecutan las aplicaciones a la segunda o tercera vez que las pulso... no puedo instalar antivirus :(

Pongo el log del HIJACK:



Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 12:16:18, on 17/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WLANSTA.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Creative\Shared Files\CamTray.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\FlashGet\flashget.exe

C:\Mis documentos\Programas\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.79.130.77:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Archivos de programa\TechSmith\SnagIt 6\SnagItBHO.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 6\SnagItIEAddin.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Archivos de programa\Creative\Shared Files\CamTray.exe"

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\PARTIC~1\CONFIG~1\Temp\winlogon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\iyywefj.dll

O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{08EC6282-F797-478E-AE74-59C450406215}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2E2C1DF-A585-4565-AF4A-EB056E812BC4}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{08EC6282-F797-478E-AE74-59C450406215}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{08EC6282-F797-478E-AE74-59C450406215}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS3\Services\Tcpip\..\{08EC6282-F797-478E-AE74-59C450406215}: NameServer = 194.179.1.100,194.179.1.101

O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O21 - SSODL: System - {4A1F6E5D-1481-4387-B228-A521E8F97702} - (no file)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - (no file)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe



--

End of file - 10532 bytes





Espero vuestra ayuda, un saludo!

[Doohan05]

Yo solo comentar que todos los problemas que estoy viendo siempre está el spoolsv.exe que tengo yo.... Madremia si en todos los foreros ese ejecutable es malo.... Pfff que epidemia!!! Y lo mismo digo del wuauclt.exe :?



Suerte



Saludos Doohan05.

[msc hotline sat]

Tiene claros malwares. Pruebe estas utilidades:



ELISTARA, ELITRIIP y LPSFIX:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y del LPSFIX:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)





Tras todo ello, comentenos el resultado posteandonos el contenido del C:\infosat.txt y si persiste algun problema, posteenos log de entonces del HJT



saludos



ms, 17-06-2007

[aaron123]

ok muchas gracias, hoy por la mañana hare lo que comentas y lo posteare... espero que se arregle pronto, un saludo. :wink:



PD: eso es solo para averiguar el problema que tengo? o pasando esos programas arregla aglo?

[msc hotline sat]

Es para arreglarlo del todo, si bien puede que se pida alguna muestra de variantes no conocidas, pero ello lo veremos en el infosat.txt



saludos



ms, 18-06-2007

[aaron123]

hola... pase las dos primeras aplicaciones que me comentaste y ELISTARA me encontro el malware.rpcc... el problema es que me pide que descargue ELINOTIF.dll y cuando abri el explorer no me funciona internet, ahora si estoy jodido :( , posteo desde el de mi hermana y no tiene grabadora, solo disquetera, y el mio tiene grabadora pero no disquetera xD no se como pasar ese archivo, pero vamos dudo que si lo consigo pasar a mi pc me solucione el problema.No se que hacer.

Me lio con estos programas, un saludo.

[msc hotline sat]

iPara los casos en que el infosat indique necesita el ELINOTIF:



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469



pero ello no es la causa de lo que indica, ya que si no está no puede usarlo y se queda sin poder eliminar el virus del registro, desde donde lanza el virus antes de que se cargue windows, de forma que ni arrancando en modo seguro se puede eliminar.



Dicha DLL ya la copiará cuando arranque normalmente, ahora vamos a ver de recuperar el arranque, que puede haber perdido por muchas causas sin tener nada que ver la accion del ELISTARA, y mas en este caso que no ha hecho la faena al encontrar a faltar la DLL complementaria indicada.



Simplemente arranque con el CD de instalacion y pulse ENTER como si fuera a instalar, y tras detectar la particion le ofrecerá REPARAR o Reinstalar. Pulse en REPARAR y le sobreescribirá todos los ficheros de sistema sin perder ningun dato ni aplicacion instalada, de manera que el fichero que pudiera haberse dañado por un aterrizaje de cabezales o malfuncion de algun componente o apliacion, será restablecido y ya podrá arrancar normalmente, tras lo cual, lo primero debe ser actualizar los parches lanzando un windowsupdate.



Si no se le ha averiado algo del ordenador, por causas fortuitas de entorno o averia de componentes, con lo indicado podrá volver a arrancar, pero le quedará por eliminar los virus, copie el ELINOTIF.DLL en la misma carpeta que el ELISTARA y tras probar este ultimo, reinicie y terminará el proceso y con ello la eliminacion del virus.



saludos



ms, 18-06-2007

[aaron123]

Hola, lo que tengo mal no es el arranque, es que no se me conecta a internet, antes de usar el programa si que me funcionaba... ahora incluso me salen mensajes de error de esos que pone que se cerrara en 1 minuto.Como puedo recuperar la conexion?

[aaron123]

perdona si soy un poco pelmazo pero es que esto va cada vez a peor...

[msc hotline sat]

Falta de parches o error de sistema.



Para poder seguir provisionalmente lanza un Inicio -> Ejecutar -> Shutdown -a



y detendrás el shutdown, pero tienes que reparar el problema, y posiblemente es por ficheros dañados ante un aterrizaje de cabezales o cierre abrupto de windows, aconsejo REPARAR, como indicaba en mi post anterior



saludos



ms, 18-06-2007

[aaron123]

Vale, reparare el sistema y ya te contare, muchas gracias [b]msc[/b].

[msc hotline sat]

Es un placer. Cuentanos tus progresos al respecto, gracias



saludos



ms, 18-06-2007