bd bulknet, sin wifi, sin ftp, sin modo seguro(SOLUCIONADO)

carlitos · Mensaje por **carlitos** » 11 Jul 2007, 17:57

He sido atacado por el backdoor bulknet. Creo que todavia queda algo aunque los antvirus me dicen que estoy limpio, pero ...

1.No puedo arrancar en modo seguro, solo en modo normal.

2.Tengo un archivo el escritorio con 0 bytes que se llama CA7Q877L. y que no desaparece de ninguna manera.

3.Tengo el wifi hecho polvo. No puedo conectar con nada. Me sale este mensaje en la ventana de "Conexiones de red inalámbricas" :

[i]"Windows no puede configurar esta conexión inalámbrica.

Si tiene habilitado otro programa para administrar esta conexión inalámbrica, use dicho software.

Si desea que Windows configure esta conexión inalámbrica, inicie el servicio Configuración inalámbrica rápida (WZC), vea el artículo 87122 en Microsoft Knowledge Base en el sitio web de microsoft.com"[/i]

He mirado iniciar, parar, manual, automático los servicios y nada.

4.Cada vez que conecto el cable de red al router, empieza a enviar y recibir paquetes de información sin parar. Los leds no paran quietos.

5.Tengo el programa de ftp ( leechftp ) que no llega a conectar con ningún servidor.

Gracias de antemano

Aquí les dejo mi log :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:16:00, on 11/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\ARCHIV~1\ThinkPad\UTILIT~1\NPDTray.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\WINDOWS\System32\RegSrvc.exe

C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Archivos de programa\Varis\TRAYDAY.EXE

C:\WINDOWS\SYSTEM32\cidaemon.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: C:\WINDOWS\system32\gejd9j3jr.dll - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NPDTRAY] C:\ARCHIV~1\ThinkPad\UTILIT~1\NPDTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QCWLIcon] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: TrayDay.lnk = C:\Archivos de programa\Varis\TRAYDAY.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtw32.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: Applet SIA - https://arg3875.drussl.com/TruePassSample/applets/appletsia.cab

O16 - DPF: TruePass EPF 8,0,000,239 - https://www.e-credit.ad/TruePassSampleApp/servlets/AppletDownloadServlet/entrusttruepassapplet-epf.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: kdg9049i904ktkgtj - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll (file missing)

O23 - Service: DirectX Service (DirectGext) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)

O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--

End of file - 6532 bytes

Mensaje por **msc hotline sat** » 11 Jul 2007, 18:08

Mira de enviarnos para analizar este fichero

V3.exe

(localizalo con un Inicio -> Buscar)

y elimina estas claves:

O2 - BHO: C:\WINDOWS\system32\gejd9j3jr.dll - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll (file missing)

O4 - Startup: PowerReg Scheduler V3.exe

O22 - SharedTaskScheduler: kdg9049i904ktkgtj - {20AD49A2-94F3-42bD-F434-2604812C897C} - C:\WINDOWS\system32\gejd9j3jr.dll (file missing)

O23 - Service: DirectX Service (DirectGext) - Unknown owner - c:\windows\system32\directx.exe (file missing)

v->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y tras ello, por si hubieran otras claves maliciosas no visibles en con el HJT, prueba el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS

MS, 11-07-2007

carlitos · Mensaje por **carlitos** » 12 Jul 2007, 01:14

He eliminado lo enunciado excepto :

O4 - Startup: PowerReg Scheduler V3.exe

( Creo recordar que venia instalado de fabrica )

De todas maneras lo he enviado por email.

Al comenzar el analisis con ELISTARA, me ha dicho :

Eliminado Trojano Alexa

Y después ha ido pidiendo la eliminación ( o no ) de los demàs.

He eliminado todos !

Después he reiniciado y he conectado el cable ethernet.

Ha mejorado mucho !!!

He contado que ha enviado "tan solo" 3300 paquetes y ha recibido otros 1700 paquetes en los primeros 10 minutos de conexion.

Sin hacer nada, ni enviar correo ni nada. Antes eran muchisimos más.

Ahora, de vez en cuando se para algunos segundos y no va tan locamente.

Aquí está el log de InfoSat.txt :

Wed Jul 11 23:38:22 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM32\KR_DONE1 --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Soldeu Esquí Club\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 23:40:19 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Soldeu Esquí Club\Mis documentos\Docs SEC\0 ARXIU\2003-04 i Anteriors\ORD Compac\S.E.C\webmaster\mailings\software\Multimail\MULTIMAIL.EXE --> Eliminado, BanLoad(dldr)

C:\Documents and Settings\Soldeu Esquí Club\Mis documentos\Docs SEC\0 ARXIU\2003-04 i Anteriors\webmaster\mailings\software\Multimail\MULTIMAIL.EXE --> Eliminado, BanLoad(dldr)

C:\WINDOWS\system32\_GEJD9J3JR3.DLL --> Eliminado, DownLoader-Small.DDX

Wed Jul 11 23:56:04 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

De todas maneras, sigue con el problema del wifi.

El log del ftp continúa diciendo ( después de conectar con el server ) :

< 200 Type set to A

> LIST

< 425 Unable to build data connection: Connection refused

~ Imposible listar directorio para "/public_html/"

Mensaje por **msc hotline sat** » 12 Jul 2007, 06:35

Bueno, te has sacado de encima este peligroso BANLOAD, de todas maneras si tuvieras datos bancario en este ordenador, piensa que antes de eliminarlo, pueden haber salido hacia el hacker ... obra en consecuencia

Cuando recibamos este V3.exe lo analizaremos e informaremos

saludos

ms, 12-07-2007

Mensaje por **msc hotline sat** » 12 Jul 2007, 07:03

Mientras prueba de renombrar este V3.EXE a V3.VIR y tras reiniciar mira si persiste el problema, y tras ello, segun resultado, puedes volver a renombrar dicho fichero a su nombre original.

Tambien puedes probar eliminar esta clave:

O16 - DPF: TruePass EPF 8,0,000,239 - https://www.e-credit.ad/TruePassSampleApp/servlets/AppletDownloadServlet/entrusttruepassapplet-epf.cab

(aunque sea del Crèdit Andorrà, parece estar dañada ...)

y nos cuentas el resultado, gracias

saludos

ms, 12-07-2007

Mensaje por **msc hotline sat** » 12 Jul 2007, 10:43

Aparte de lo indicado, recibido y analizado el fichero P..R..S.. V3.exe se pasa a controlar por cadenas y eliminar claves y demas en la version de hoy del ELISTARA 14.41, que subiremos a la web a las 16 H GMT

saludos

ms, 12.07-2007

carlitos · Mensaje por **carlitos** » 12 Jul 2007, 23:42

Casi ... conseguido

He renombrado v3.exe a v3.vir. Al arrancar pide de abrirlo y he cancelado ( está en inicio/proramas/inicio ! )

Al reiniciar me he llevado la grata sorpresa que al conectar el ethernet no ha empezado a enviar información de nuevo hasta ... que llevaba 3:30 minutos.

A los 3:30 llevaba 57 paquetes enviados y 7 paquetes recibidos.

A los 10:00 a llegado a 20.000 paquetes enviados y 14.800 paquetes recibidos !

Comentaré que tengo actualizaciones automáticas desactivadas y las hago manualmente.

Ahora el ftp si puede conectar y listar los archivos de todos los servidores.

Lamentablemente el wifi continua muerto !

Al ver que seguia enviando y recibiendo muchos paquetes, decidi desconectarlo de la red.

Al reiniciar probe modo seguro y continua sin poder entrar.

Entré en normal y probé conectar a la red de nuevo. De nuevo envia y recibe paquetes a montón.

Le vuelvo a pasar ELISTARA ( nueva versión )

Este es el log ( de hoy ) :

Thu Jul 12 22:22:10 2007

EliStartPage v14.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 12 22:22:29 2007

EliStartPage v14.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Soldeu Esquí Club\Menú Inicio\Programas\Inicio\POWERREG SCHEDULER V3.VIR --> Eliminado, PowerReg

carlitos · Mensaje por **carlitos** » 13 Jul 2007, 00:13

Olvidé comentar que noto que el ordenador funciona mucho más agil al abrir menús, copiar, etc.

A continuación el log de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:12:25, on 12/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\ARCHIV~1\ThinkPad\UTILIT~1\NPDTray.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\WINDOWS\System32\RegSrvc.exe

C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\TpKmpSVC.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Varis\TRAYDAY.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NPDTRAY] C:\ARCHIV~1\ThinkPad\UTILIT~1\NPDTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QCWLIcon] C:\ARCHIV~1\ThinkPad\CONNEC~1\QCWLIcon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Archivos de programa\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: TrayDay.lnk = C:\Archivos de programa\Varis\TRAYDAY.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtw32.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: Applet SIA - https://arg3875.drussl.com/TruePassSample/applets/appletsia.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: DirectX Service (DirectGext) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Archivos de programa\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)

O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--

End of file - 5699 bytes

carlitos · Mensaje por **carlitos** » 13 Jul 2007, 01:42

He recuperado wifi.

He seguido los pasos indicados aquí :

http://www.fermu.com/content/view/385/2/lang,es/

Según se le en uno de los posts, un troyano puede provocar esta desconfiguracion.

He activado de nuevo Restaurar Sistema ...

Ahora falta poder entrar en modo seguro ...

Agradezco de antemano la ayuda prestada.

De todas maneras, no sé si estoy limpio del todo devido al tema del envio de paquetes ...

Mensaje por **msc hotline sat** » 13 Jul 2007, 14:21

pUES MIRA DE ELIMINAR ESTA CLAVE Y EL LOG QUEDARÁ LIMPIO DEL TODO:

O23 - Service: DirectX Service (DirectGext) - Unknown owner - c:\windows\system32\directx.exe (file missing)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Comentanos el resultado, gracias

saludos

ms, 13-07-2007

carlitos · Mensaje por **carlitos** » 13 Jul 2007, 14:32

OK.

Como puedo hacer para poder recuperar y acceder a "modo seguro" ?

Cuando intento por F8, llego a la pantalla negra, selecciono opcion "modo seguro".

Acto seguido salen ( muy rapido ) unas lineas blancas con fondo negro de arriba a abajo con una especie de listado de archivos. Pasa muy rapido y no puedo llegar a leer nada.

Se para todo y sale la pantalla negra con el cursor en la esquina superior izquierda, sin dejar pulsar nada.

Al cabo de mucho rato, sale pantalla azul de windows y acto se apaga y reinicia solo.

Al volver entra en pantalla de selección de modo seguro y dice que ha tenido un error.

Da opción a entrar en modo normal ... y eso hago.

Como arreglarlo ?

Mensaje por **msc hotline sat** » 13 Jul 2007, 14:39

Vea lo indicado en :

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

saludos

ms, 13-07-2007

carlitos · Mensaje por **carlitos** » 19 Jul 2007, 00:17

Grácias por todo !

Recuperado el estado normal.

Conexion usando 53 paquetes enviados y 2 paquetes recibidos. Si no hago nada, no pasa nada. Va perfecto !

Recuperado el modo seguro.

Recuperado el wifi.

Recuperada la conexion FTP con todos los servidores.

Muchas gracias por la ayuda !

Mensaje por **msc hotline sat** » 19 Jul 2007, 13:06

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 19 de Julio de 2007