Tengo un virus que crea restricciones

Responder
bfg10k
Mensajes: 15
Registrado: 13 Feb 2007, 02:12

Tengo un virus que crea restricciones

Mensaje por bfg10k » 23 Ago 2007, 03:10

Hola.Les escribo porque tengo un virus que genera un ícono en la barra de tareas , cada 5 minutos abre una ventana de alerta y no me permite ingrear al panel de control por las restricciones que crea.He podido observar que varias personas han tenido el mismo problema.A continuación posteo los logs del hijackthis, del elistara y del elitriip:



Wed Aug 22 18:56:11 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.90,85.255.112.5

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 22 18:56:17 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Aug 22 19:04:39 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Aug 22 19:05:54 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Wed Aug 22 19:05:58 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Aug 22 19:12:06 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\









Logfile of HijackThis v1.99.1

Scan saved at 06:52:47 p.m., on 22/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\printer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\PC\Mis documentos\MARTÍN\05-Cosas varias\1MARTÍN\Programas\ANTIVIRUS\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O4 - Global Startup: DSLMON.lnk = ?

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113596004968

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 85.255.113.90,85.255.112.5

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe

O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT NtLmSspUserAccess7MSDTC (NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceCiSvc (srserviceCiSvc) - Unknown owner - C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)



desde ya gracias por su atención

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Ago 2007, 03:53

Pues empieza por reconfigurar adecuadamente los servidores de DNS, ya que estas usando unos maliciosos de Ukraina, segun te informa el INFOSAT.TXT:



"Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.90,85.255.112.5 "





Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp





Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas





Aparte, elimina estas claves:



O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe



O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe



O4 - Startup: system.exe



O4 - Global Startup: autorun.exe





O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1





O16 - DPF: {33331111-1111-1111-1111-615111193427} -



y tras ello reinicia y elimina estos ficheros:





C:\WINDOWS\system32\printer.exe



C:\WINDOWS\system32\WinAvXX.exe



system.exe



autorun.exe



y finaliza probando el ELISHELL, PARA ELIMINAR CORRECTAMENTE LA CLAVE DE LANZAMIENTO DEL PRINTER.EXE:





ELISHELL

http://www.zonavirus.com/descargas/elishell.asp



Y una vez reinicies, cuentanos el resultado, gracias



saludos



ms, 23-08-2007



Nota:



















ms.
Última edición por msc hotline sat el 29 Ago 2007, 07:33, editado 2 veces en total.

bfg10k
Mensajes: 15
Registrado: 13 Feb 2007, 02:12

Mensaje por bfg10k » 23 Ago 2007, 04:54

ya hice lo que me dijeron(menos reconfigurar adecuadamente los servidores de DNS porque no se como hacerlo)y el problema sigue.¿Debería haber deshabilitado la restauración del sistema para eliminar las claves y al lanzar el elishell?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Ago 2007, 05:41

Pues mira, como que en tu caso tienes otras tres claves O17 con los servidores de DNS supuestamente correctos, usa dichas IP como buenas y entralas en el DNSCONFG que te indicamos anteriormente



208.67.220.220



y con el ELISHELL lo que haremos sera restaurar la clave



F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe



eliminandole la carga del printer.exe y dejandola como debe ser:



F2 - REG:system.ini: Shell=Explorer.exe



compruebalo lanzando de nuevo el HJT tras ello, y mira que en la O17 no figure ya la linea de los servidores de INHOSTER en Ukraina:



O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 85.255.113.90,85.255.112.5



Y mira de enviarnos las muestras pedidas, para poder controlar dicho virus con nuestras utilidades...



saludos



ms, 23-07-2008

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 05:43

Aparte de lo de los servidores de DNS maliciosos, para el WINAVXX:



Con la nueva version del ELISTARA 14.51 YA DISPONIBLE EN ESTA WEB para evaluacion, se controla este virus, descarguela y pruebela:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 28-08-2007

bfg10k
Mensajes: 15
Registrado: 13 Feb 2007, 02:12

Mensaje por bfg10k » 28 Ago 2007, 07:08

Hola.

Les comento que bajé el elistara que ya controla el molesto virus(o malware, creo) que yo y tanta gente tenía.Lo corrí y al parecer lo ha elminado, pero las restricciones siguen.Aquí posteo los resultados del elistara y hijackthis:







Tue Aug 28 00:28:51 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINAVXX.EXE --> Eliminado Malware.WinAVXX

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Malware.WinAVXX Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "WINAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Entrada Eliminada [HKLM\...\Run] "WINAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.90,85.255.112.5

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Aug 28 00:29:13 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\AUTORUN.EXE --> Eliminado, Malware.WinAVXX

C:\Documents and Settings\PC\Menú Inicio\Programas\Inicio\SYSTEM.EXE --> Eliminado, Malware.WinAVXX

C:\Documents and Settings\PC\Mis documentos\MARTÍN\05-Cosas varias\1MARTÍN\Programas\ANTIVIRUS\hijackthis\backups\BACKUP-20070822-233411-455-AUTORUN.EXE --> Eliminado, Malware.WinAVXX

C:\Documents and Settings\PC\Mis documentos\MARTÍN\05-Cosas varias\1MARTÍN\Programas\ANTIVIRUS\hijackthis\backups\BACKUP-20070822-233411-641-SYSTEM.EXE --> Eliminado, Malware.WinAVXX

C:\WINDOWS\system32\PRINTER.EXE.VIR --> Eliminado, Malware.WinAVXX



Tue Aug 28 00:37:13 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Aug 28 00:40:17 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.90,85.255.112.5

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Aug 28 00:40:31 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Aug 28 00:47:52 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Aug 28 01:02:02 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE









Logfile of HijackThis v1.99.1

Scan saved at 01:02:58 a.m., on 28/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\PC\Mis documentos\MARTÍN\05-Cosas varias\1MARTÍN\Programas\ANTIVIRUS\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = ?

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113596004968

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 208.67.220.220

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe

O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT NtLmSspUserAccess7MSDTC (NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceCiSvc (srserviceCiSvc) - Unknown owner - C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)



También les cuento que el elishell me dice que el "shell" actual es "EXPLORER.EXE"¿Es esto normal?

Desde ya les agradezco la paciencia y la predispocisión que tienen para aydarnos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 07:37

Pues elimina esta clave:



O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1







Ya esta implementada la eliminacion de otra al respecto, pero hoy ademas implementaremos esta, en la 14.52, gracias



saludos



ms, 28-08-2007

bfg10k
Mensajes: 15
Registrado: 13 Feb 2007, 02:12

Mensaje por bfg10k » 28 Ago 2007, 08:27

Eliminé la clave que me dijeron,pero las restricciones siguen.También he notado que el ícono del panel de control ha desaparecido de: inicio->configuración.

A pesar de esto tengo permitido acceder al administrador de tareas de windows.Posteo un nuevo log del hijackthis generado después de haber eliminado la clave indicada:



Logfile of HijackThis v1.99.1

Scan saved at 02:27:41 a.m., on 28/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\PC\Mis documentos\MARTÍN\05-Cosas varias\1MARTÍN\Programas\ANTIVIRUS\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113596004968

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 208.67.220.220

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe

O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT NtLmSspUserAccess7MSDTC (NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceCiSvc (srserviceCiSvc) - Unknown owner - C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 09:17

Vale, es que no precisabas qué restricciones, y al ver la clave del REGEDIT hemos ido a por ella.



La del Taskmanager el HJT no la mira, prueba el SPROCES.EXE que es mas exhaustivo:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras SALIR, posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 28-08-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 09:22

Aparte hay estas claves de servicios que al indicar FILE MISSING pueden estar ausentes u ocultos, ver si con un inicio buscar encuentra alguno de los ficheros "missing" y si es asi, renombrelo a extension .VIR y envienoslo para analizar, y tras reiniciar elimina dichas claves:



O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)





O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - *&€|û.exe (file missing)



(NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)



O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)



C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)



O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)



saludos



ms, 28-08-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 28 Ago 2007, 09:25

Aparte hay estas claves de servicios que al indicar FILE MISSING pueden estar ausentes u ocultos, ver si con un inicio buscar encuentra alguno de los ficheros "missing" y si es asi, renombrelo a extension .VIR y envienoslo para analizar, y tras reiniciar elimina dichas claves:



O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)





O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - *&€|û.exe (file missing)



(NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)



O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)



C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - *&€|û.exe (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)



O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)













saludos



ms, 28-08-2007

bfg10k
Mensajes: 15
Registrado: 13 Feb 2007, 02:12

Mensaje por bfg10k » 29 Ago 2007, 05:05

Bueno...hice lo que me dijeron,pero las restricciones siguen.No encontré ninguno de los archivos "missing".Corrí el SPROCES.EXE y este fue el log:



Tue Aug 28 22:43:24 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\DOCUMENTS AND SETTINGS\PC\MIS DOCUMENTOS\MARTÍN\05-COSAS VARIAS\1MARTÍN\PROGRAMAS\ANTIVIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 192.168.200.3 ad.doubleclick.net

O1 - Hosts: 192.168.200.3 ad.fastclick.net

O1 - Hosts: 192.168.200.3 ads.fastclick.net

O1 - Hosts: 192.168.200.3 atdmt.com

O1 - Hosts: 192.168.200.3 awaps.net

O1 - Hosts: 192.168.200.3 banner.fastclick.net

O1 - Hosts: 192.168.200.3 banners.fastclick.net

O1 - Hosts: 192.168.200.3 click.atdmt.com

O1 - Hosts: 192.168.200.3 clicks.atdmt.com

O1 - Hosts: 192.168.200.3 engine.awaps.net

O1 - Hosts: 192.168.200.3 fastclick.net

O1 - Hosts: 192.168.200.3 ftp.avp.ch

O1 - Hosts: 192.168.200.3 ftp.kasperskylab.ru

O1 - Hosts: 192.168.200.3 updates5.kaspersky-labs.com

O1 - Hosts: 192.168.200.3 http://www.awaps.net

O1 - Hosts: 192.168.200.3 http://www.symantec.com

O1 - Hosts: 192.168.200.3 http://www.viruslist.ru

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: DSLMON.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113596004968

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 208.67.220.220

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: AVG Network Redirector (AvgTdi) - GRISOFT, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdi.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe

O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT NtLmSspUserAccess7MSDTC (NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Europe Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceCiSvc (srserviceCiSvc) - Unknown owner - C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iMSPCLOj - Unknown owner - C:\DOCUME~1\PC\CONFIG~1\Temp\iMSPCLOj.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvax.sys

O23 - Service: NVIDIA nForce MCP Networking Adapter Driver (NVENET) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENET.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvapu.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RapFile - Internet Security Systems, Inc. - C:\WINDOWS\system32\drivers\RapFile.sys

O23 - Service: RapNet - Internet Security Systems, Inc. - C:\WINDOWS\system32\drivers\RapNet.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: black - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\BlackDrv.sys (file missing)

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)



46 Servicios.

31 de Carga Automatica.

12 de Carga Manual.

3 Deshabilitados.





-----------------------------------------------------------------------------

Luego eliminé las claves que me dijeron.Corrí nuevamente el SPROCES.EXE y este fue el nuevo log:



Tue Aug 28 23:01:41 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\PC\MIS DOCUMENTOS\MARTÍN\05-COSAS VARIAS\1MARTÍN\PROGRAMAS\ANTIVIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 192.168.200.3 ad.doubleclick.net

O1 - Hosts: 192.168.200.3 ad.fastclick.net

O1 - Hosts: 192.168.200.3 ads.fastclick.net

O1 - Hosts: 192.168.200.3 atdmt.com

O1 - Hosts: 192.168.200.3 awaps.net

O1 - Hosts: 192.168.200.3 banner.fastclick.net

O1 - Hosts: 192.168.200.3 banners.fastclick.net

O1 - Hosts: 192.168.200.3 click.atdmt.com

O1 - Hosts: 192.168.200.3 clicks.atdmt.com

O1 - Hosts: 192.168.200.3 engine.awaps.net

O1 - Hosts: 192.168.200.3 fastclick.net

O1 - Hosts: 192.168.200.3 ftp.avp.ch

O1 - Hosts: 192.168.200.3 ftp.kasperskylab.ru

O1 - Hosts: 192.168.200.3 updates5.kaspersky-labs.com

O1 - Hosts: 192.168.200.3 http://www.awaps.net

O1 - Hosts: 192.168.200.3 http://www.symantec.com

O1 - Hosts: 192.168.200.3 http://www.viruslist.ru

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: DSLMON.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113596004968

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C14F3FC1-1CDC-43BD-A3DA-77CF1D7D0900}: NameServer = 208.67.220.220

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: AVG Network Redirector (AvgTdi) - GRISOFT, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdi.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Iniciador de procesos de servidor DCOM DcomLaunchRpcLocator (DcomLaunchRpcLocator) - Unknown owner - C:\WINDOWS\system32\1041v.exe (file missing)

O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Sistema de sucesos COM+ EventSystemTrkWks (EventSystemTrkWks) - Unknown owner - C:\WINDOWS\system32\acluih.exe (file missing)

O23 - Service: Acceso a dispositivo de interfaz humana HidServWmiApSrv (HidServWmiApSrv) - Unknown owner - C:\WINDOWS\system32\Adobep.exe (file missing)

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe

O23 - Service: DSDM de DDE de red NetDDEdsdmRSVP (NetDDEdsdmRSVP) - Unknown owner - C:\WINDOWS\system32\3com_dmih.exe (file missing)

O23 - Service: Conexiones de red Netmanwuauserv (Netmanwuauserv) - Unknown owner - C:\WINDOWS\system32\ADADIX2Knh.exe (file missing)

O23 - Service: NLA (Network Location Awareness) Nlasrservice (Nlasrservice) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT NtLmSspUserAccess7MSDTC (NtLmSspUserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\acelpdecp.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto RDSessMgrNetDDEdsdm (RDSessMgrNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\adptifhb.exe (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Europe Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Notificación de sucesos del sistema SENSIDriverT (SENSIDriverT) - Unknown owner - C:\WINDOWS\system32\acctresn.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceCiSvc (srserviceCiSvc) - Unknown owner - C:\WINDOWS\system32\acledith.exe (file missing)

O23 - Service: Servicio de restauración de sistema srserviceRpcSs (srserviceRpcSs) - Unknown owner - C:\WINDOWS\system32\1031f.exe (file missing)

O23 - Service: Registros y alertas de rendimiento SysmonLogRemoteAccess (SysmonLogRemoteAccess) - Unknown owner - C:\WINDOWS\system32\activedsl.exe (file missing)

O23 - Service: Servicios de Terminal Server TermServiceNetlogon (TermServiceNetlogon) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)

O23 - Service: Cliente de seguimiento de vinculos distribuidos TrkWksAvg7UpdSvc (TrkWksAvg7UpdSvc) - Unknown owner - C:\WINDOWS\system32\ahuit.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC (UserAccess7MSDTC) - Unknown owner - C:\WINDOWS\system32\12520850px.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) UserAccess7MSDTC UserAccess7MSDTCNla (UserAccess7MSDTCNla) - Unknown owner - C:\WINDOWS\system32\activedshf.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Extensiones de controlador de Instrumental de administración de Windows WmiRasMan (WmiRasMan) - Unknown owner - C:\WINDOWS\system32\activedshb.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient (WZCSVCWebClient) - Unknown owner - C:\WINDOWS\system32\ADADIX2Kn.exe (file missing)

O23 - Service: Configuración inalámbrica rápida WZCSVCWebClient WZCSVCWebClientUPS (WZCSVCWebClientUPS) - Unknown owner - C:\WINDOWS\system32\actxprxyd.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iMSPCLOj - Unknown owner - C:\DOCUME~1\PC\CONFIG~1\Temp\iMSPCLOj.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvax.sys

O23 - Service: NVIDIA nForce MCP Networking Adapter Driver (NVENET) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENET.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvapu.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: RapFile - Internet Security Systems, Inc. - C:\WINDOWS\system32\drivers\RapFile.sys

O23 - Service: RapNet - Internet Security Systems, Inc. - C:\WINDOWS\system32\drivers\RapNet.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: black - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\BlackDrv.sys (file missing)

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)



46 Servicios.

31 de Carga Automatica.

12 de Carga Manual.

3 Deshabilitados.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 29 Ago 2007, 07:30

Pues persisten los FILE MISSING, señal que no se eliminaron las claves al estar en uso, por lo que pueden existir los ficheros aunque esten ocultos



Pero especialmentehay esta sospechosa:



O23 - Service: Cliente DNS DnscacheUMWdf (DnscacheUMWdf) - Unknown owner - C:\WINDOWS\SYSTEM32\*&€|û srv (file missing)



y ademas ahora tienes el HOSTS modificado, elimina estas claves tambien:



O1 - Hosts: 192.168.200.3 ad.doubleclick.net

O1 - Hosts: 192.168.200.3 ad.fastclick.net

O1 - Hosts: 192.168.200.3 ads.fastclick.net

O1 - Hosts: 192.168.200.3 atdmt.com

O1 - Hosts: 192.168.200.3 awaps.net

O1 - Hosts: 192.168.200.3 banner.fastclick.net

O1 - Hosts: 192.168.200.3 banners.fastclick.net

O1 - Hosts: 192.168.200.3 click.atdmt.com

O1 - Hosts: 192.168.200.3 clicks.atdmt.com

O1 - Hosts: 192.168.200.3 engine.awaps.net

O1 - Hosts: 192.168.200.3 fastclick.net

O1 - Hosts: 192.168.200.3 ftp.avp.ch

O1 - Hosts: 192.168.200.3 ftp.kasperskylab.ru

O1 - Hosts: 192.168.200.3 updates5.kaspersky-labs.com

O1 - Hosts: 192.168.200.3 http://www.awaps.net

O1 - Hosts: 192.168.200.3 http://www.symantec.com

O1 - Hosts: 192.168.200.3 http://www.viruslist.ru



y esta ultima clave es especialmente sospechosa al indicar FILE MISSING:



O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)



Comprueba si con un Inicio -> Buscar esncuentras el fichero que lanza... y si es asi lo renombras a extension .VIR



saludos



ms, 29-08-2007



Nota: Las restricciones aparecen por haber sido modificado el registro de sistema, y la manera correcta de restaurarlas es accediendo a un punto de restauracion anterior al problema, aunque ello implique perder las aplicaciones instaladas posterioemente. Tengalo en cuenta. ms.

Responder

Volver a “Foro Virus - Cuentanos tu problema”