Win32 y ventanas emergentes (SOLUCIONADO)

[msc hotline sat]

Pues lo que tienes aqui sospechoso y maliciosos es:



O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\txealdqj.dll",forkonce





Elimina esta clave, y envianos el fichero :



C:\WINDOWS\system32\txealdqj.dll



para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms., 20-09-2007

[PRiSPeR]

He pasado el ELISTARA y este es el log:





Thu Sep 20 17:48:37 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 17:49:01 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Thu Sep 20 17:57:32 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 17:57:34 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 17:59:44 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 17:59:48 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Thu Sep 20 18:09:10 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 18:09:15 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Thu Sep 20 18:21:57 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 20 18:22:02 2007

EliStartPage v14.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)







Me dice que es imposible eliminarlo, al reiniciar se eliminará. He reiniciado ya varias veces, pero no hay mandera, no lo elimina. Es uno de los archivos que mandé el otro día.

[msc hotline sat]

Si está en uso desde Appinit o protegido con privilegios de NTFS, mejor arranca en consola de recuperacion (con el CD de instalacion) y eliminalo desde el entorno DOS con DELETE !



Si no te acuerdas de los comandos CD, DEL y demas, dinoslo y te indicaremos proceso a seguir.



saludos



ms, 20-09-2007



NOTA :De todas formas veo que es un BHO:.. Prueba el ELISTARA arrancando en modo seguro, a lo mejor es suficiente, y renombra la extension del fichero a .VIR , asi no estará en uso en el próximo reinicio. ms.

[PRiSPeR]

[quote="msc hotline sat"]Si está en uso desde Appinit o protegido con privilegios de NTFS, mejor arranca en consola de recuperacion (con el CD de instalacion) y eliminalo desde el entorno DOS con DELETE !



Si no te acuerdas de los comandos CD, DEL y demas, dinoslo y te indicaremos proceso a seguir.



saludos



ms, 20-09-2007



NOTA :De todas formas veo que es un BHO:.. Prueba el ELISTARA arrancando en <a title='modo seguro con funciones de red' href='http://www.zonavirus.com/datos/articulos/172/Como_Arrancar_modo_seguro_o_prueba_fallos.asp'><b>modo seguro</b></a>, a lo mejor es suficiente, y renombra la extension del fichero a .VIR , asi no estará en uso en el próximo reinicio. ms.[/quote]

El problema es que no tengo ningún CD de instalación aquí en el trabajo y no me atrevo a hacerlo con el msconfig, no sea que no vuelva a arrancar. El caso es que paso el elistara, pero sigue sin poder eliminarlo.



Voy a ver si este fin de semana me puedo hacer con un CD de windows XP y puedo arrancarlo como decís vosotros.



Saludos, PRiS.

[msc hotline sat]

Mira, acabamos de hacer la version 10.57 del ELIBAGLA para una emergencia, pruebala, no sea caso de que tengas el rootkit de la nueva variante controlada, que te impida arrancar en modo segur0 y fuera la causa de tu problema



La voy a subir aunque no fuera lo previsto, pero excepcionalmente lo haré y la pruebas, y si lo detectaras, BINGO, luego ya podrias arrancar en modo segur0...



<Te informo aqui mismo cuando lo haya hecho>



Venga, ya está subida la nueva version, pruebala y nos informas de si te ha detectado algo, o aunque no diga nada, si tras probarla ya puedes arrancar en modo segur0, gracias



saludos



ms, 21-09-2007

[msc hotline sat]

Recibida muestra ya es detectada por el actual ELISTARA como Vundo8, compruebalo



saludos



ms, 21-09-2007

[PRiSPeR]

Buenos días.



He pasado el elistara esta mañana y el resultado ha sido el siguiente:



Mon Sep 24 09:57:58 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KJCDHPMU.DLL --> JuanSearch(BHO) Renombrado a .VIR

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\kjcdhpmu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 10:00:57 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\GXBYGTFK.DLL --> Eliminado JuanSearch(BHO)

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\gxbygtfk.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 10:01:08 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KJCDHPMU.DLL.VIR --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Mon Sep 24 10:12:35 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 10:12:38 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)





No me deja eliminar el vundo6 ese, me dice que al reiniciar se eliminará, pero ni reiniciando 6 veces consigue eliminarlo.



He vuelto a enviar la muestra que envié en su día, no se si tengo que enviar la muestra a día de hoy, por si ha cambiado algo.



A parte de eso, no se si tiene algo que ver con este fichero, me sigue saliendo el kaspersky con un troyano que proviene de una página de internet y también me pide autorización con el explorer y el iexplore. Dice lo siguiente:



-------------------------------------

[size=100][i]Proceso C:\WINDOWS\Explorer.EXE (PID: 1060) intenta enviar datos a través de una aplicación de confianza.



Dirección objetivo:

http://tresni.net/index.html/



Datos:

i



Datos codificados:

cmp=aff&lid=cat_test&nid=vm&affid=67605&guid=1cbeb2cf+0A5707F686AD437DA6C210376A19F9D1&url=http:%2F%2Fomgteykillkennyqweqweqweq

Referer: http://inetseeker.com[/i]

----------------------

Proceso C:\WINDOWS\Explorer.EXE (PID: 1060) intenta enviar datos a través de una aplicación de confianza.



Dirección objetivo:

http://89.188.16.16/trafc-2/rfe.php



Datos:

i



Datos codificados:

cmp=nm_was_meta_kw&nid=ku&uid=EDE4C7E661D011DC8F37F67605FDFFFF&guid=7BE3C8BE61BA45B2A92576224B6939AA&affid=67605&lid=virus&url=http:%2F%2Fforos.zonavirus.com%2Fposting.php

-------------------------

Proceso C:\WINDOWS\Explorer.EXE (PID: 1060) intenta enviar datos a través de una aplicación de confianza.



Dirección objetivo:

http://89.188.16.10/go//



Datos:

i



Datos codificados:

cmp=ghrnc_revolution&nid=ku&uid=EDE4C7E661D011DC8F37F67605FDFFFF&guid=7BE3C8BE61BA45B2A92576224B6939AA&url=http:%2F%2Fforos.zonavirus.com%2Fposting.php%3Fmode=editpost%26p=115121&affid=67605&lid=http[/size]



------------------------------

[size=100]Proceso C:\WINDOWS\Explorer.EXE (PID: 1060) intenta enviar datos a través de una aplicación de confianza.



Dirección objetivo:

http://65.243.103.60/go//



Datos:

cmp=vm_mg_old&nid=ku&lid=com&uid=ede4c7e661d011dc8f37f67605fdffff&guid=7be3c8be61ba45b2a92576224b6939aa&affid=67605&url=http:%2F%2Fforos.zonavirus.com%2Fposting.php

CookieX: ghrnc=0[/size]



Saludos, PRiS.



[size=75]P.D. No quisiera marear tanto, pero es que me lleva loca y no quisiera formatear el ordenador por culpa de los virus estos...[/size]

[msc hotline sat]

Como ya hemos indicado en otros Temas, mañana analizaremos el codigo fuente de esta nueva version del ELISTARA, pues parece no informar de que el falta el ELINOTIF, pero como que se trata de un VUNDO 6, ver de copiarlo a la misma ruta del ELISTARA :




[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]





saludos



ms, 24-09-2007



nota:





Datos IP involucradas:





65.243.103.60 BS Bahamas 23 New Providence Nassau 25.0833 -77.3500 Verizon Business Maxil Communications





89.188.16.10 NL Netherlands 01 Drenthe Roden 53.1333 6.4333 Duocast The Netherlands

[PRiSPeR]

He copiado el elinotif en la misma ruta del elistara y sigue saliendo lo mismo. Cada vez que lo paso me elimina alguno nuevo :(



El los del día de hoy entero:





[size=100] Mon Sep 24 09:50:44 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Sep 24 09:50:45 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Sep 24 09:54:54 2007

EliBagle v10.57 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Sep 24 09:55:01 2007

EliBagle v10.57 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Sep 24 09:57:58 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KJCDHPMU.DLL --> JuanSearch(BHO) Renombrado a .VIR

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\kjcdhpmu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 10:00:57 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\GXBYGTFK.DLL --> Eliminado JuanSearch(BHO)

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\gxbygtfk.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 10:01:08 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KJCDHPMU.DLL.VIR --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Mon Sep 24 10:12:35 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 10:12:38 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Mon Sep 24 12:18:08 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\UOOEPKBE.DLL --> JuanSearch(BHO) Renombrado a .VIR

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\uooepkbe.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 12:19:01 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\UOOEPKBE.DLL.VIR --> Eliminado, JuanSearch(BHO)



Mon Sep 24 12:28:32 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BVCNSHKP.DLL --> Eliminado JuanSearch(BHO)

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\bvcnshkp.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 12:28:45 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Mon Sep 24 12:51:57 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVSDYJLF.DLL --> Eliminado JuanSearch(BHO)

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\system32\svsdyjlf.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 12:52:08 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)



Mon Sep 24 16:42:15 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 16:42:34 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\FKRHUQRO.EXE --> Eliminado, FotoMoto

C:\WINDOWS\system32\SSTTU.DLL --> Acceso Denegado, Vundo6(notify)[/size]



Saludos, PRiS.

[msc hotline sat]

Pues este fichero C:\WINDOWS\system32\SSTTU.DLL está bien protegido por algun RootKit o por privilegios de NTFS, y ni arrancando con el ELINOTIF se deja...



Pues si no es a las buenas, habrá de ser a las malas ! Proceda a arrancar con el CD de instalacion, acceda a consola de recuperacion y desde alli elimine dicho fichero en modo DOS, con un DEL al viejo estilo



Es muy simple, pero si no se acuerda, diganoslo y le ayudaremos



saludos



ms, 24-09-2007

[PRiSPeR]

Pdríais ayudarme a arrancar con el CD de recuperación?



A ver, yo meto el CD de instalación de windows, apago el ordenador y lo vuelvo a encender. Ya no se seguir más :oops:



Tengo que apretar F8 como siempre decís y seguir las instrucciones?



Saludos, PRiS.

[msc hotline sat]

No, una vez configurado el BIOS con prioridad de arranque para CD, al colocar el CD y arrancar debe ofrecer acceder a la consola de recuperacion (R) o porceder a Instalar (Enter), y pulsando R se ha de acceder a un entorno DOS desde el que se tiene acceso a la zona de datos NTFS



Si recuerdas el MSDOS, lo demas en pan chupado, acceder al directorio donde esfá el fichero y borrarlo



saludos



ms, 24-09-2007

[PRiSPeR]

En MSDOS tendría que poner el nombre del fichero que sería C:\WINDOWS\SYSTEM32\SSTTU.DLL así, no? Supongo que ya me dirá si quiero borrarlo o no (hace años que no entro en MSDOS)



Y la otra cuestión es... configurar el BIOS con prioridad de arranque para CD. Podríais ayudarme? :oops:



Saludos, PRiS.

[msc hotline sat]

Accedes al SETUP , posiblemente pulsando DEL o SUP al arrancar, y en preferencias de arranque o BOOT SEQUENCE o como le llamen en tu BIOS, seleccionas como primero el arranque desde CD



Y ya veo que se te ha olvidado ir en bicicleta !



Cuando hayas arrancado con el CD y estés en consola de recuperacion, escribe:



C: <enter>



CD \WINDOWS <enter>



CD SYSTEM32 <enter>



DEL SSTTU.DLL <enter>





Y, tras reiniciar, nos cuentas el resultado



saludos



ms, 24-09-2007

[msc hotline sat]

Recibida la muestra, aisladamente es detectada y controlada perfectamente por el actual ELISTARA...



Está claro que hay algo mas en el ordenador que nos impedía su acceso y eliminación, como puede ser un RootKit que esté protegiendolo, y muy bien por cierto !



Para poder detectar y controlar este "protector", necesitamos nos postees el SPROCLOG.TXT que generará tras probar el SPROCLOG.EXE :





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 25-09-2007

[PRiSPeR]

Os dejo el log que habeis pedido.



Tue Sep 25 18:35:30 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\EPSON\EPW!3 SSRP\E_S30RP1.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\PSISERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6172\SASERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\SILICON INTEGRATED SYSTEMS\SISRAIDPACKAGE\SRAID.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_02\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\SITEADVISOR\6172\SITEADV.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\MINI20\MINI20.EXE

C:\WINDOWS\SYSTEM32\SISTRAY.EXE

C:\FOXINMO\INMOBIL6.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\PC\MIS DOCUMENTOS\DOCUMENTOS ESI\PROGRAMAS PARA INTERNET\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: (no name) - {72193739-3597-48B2-8932-63DAFAE5B452} - C:\WINDOWS\system32\ssttu.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.dll

O4 - HKLM\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Mini20] "C:\Mini20\Mini20.exe"

O4 - HKLM\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S85.tmp" /EF "HKCU"

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SiSRaid] "C:\Archivos de programa\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\qfvqddce.dll",sitypnow

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: Adobe Reader Speed Launch.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Utility Tray.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://bombonrubi.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/es/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E490D2D6-8F8A-4E0F-B470-586ABA6DB72A}: NameServer = 212.145.159.141,212.145.4.98

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6172\SiteAdv.dll

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O20 - Winlogon Notify: WRNOTIFIER - WRLOGONNTF.DLL (file missing)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: CdaC15BA - Macrovision Europe Ltd - C:\WINDOWS\system32\drivers\CdaC15BA.SYS

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Datos de programa\EPSON\EPW!3 SSRP\E_S30RP1.EXE

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6172\SAService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: CO_Mon - Unknown owner - C:\WINDOWS\system32\Drivers\CO_Mon.sys (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SiS315 - Silicon Integrated Systems Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisgrp.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



22 Servicios.

10 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.







De la otra forma desde el CD no pude hacer nada.



Saludos, PRiS.

[msc hotline sat]

Ahí persiste o se regenera esta clave maliciosa:



O2 - BHO: (no name) - {72193739-3597-48B2-8932-63DAFAE5B452} - C:\WINDOWS\system32\ssttu.dll



eliminala, y esta tambien:



O20 - Winlogon Notify: WRNOTIFIER - WRLOGONNTF.DLL (file missing)



Es cuanto puedo decirte a la vista del log.



Pero hazlo arrancando en modo seguro, comos e indica en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y sobre lo de que arrancando desde CD no puedes hacer nada, cuentanos donde te encallas...



Arranca de CD o de disco duro ???



Si arranca de CD, te ofrece lo de pulsar (R) para entrar en consola de recuperacion ???



Si llegas a la consola, escribes las frases y pulsas Enter tras cada una de ellas ???



Bueno, ya me diras, mas claro el agua :lol:



saludos



ms, 25-09-2007

[PRiSPeR]

[quote="msc hotline sat"]Ahí persiste o se regenera esta clave maliciosa:



O2 - BHO: (no name) - {72193739-3597-48B2-8932-63DAFAE5B452} - C:\WINDOWS\system32\ssttu.dll



eliminala, y esta tambien:



O20 - Winlogon Notify: WRNOTIFIER - WRLOGONNTF.DLL (file missing)



Es cuanto puedo decirte a la vista del log.



Pero hazlo arrancando en modo seguro, comos e indica en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y sobre lo de que arrancando desde CD no puedes hacer nada, cuentanos donde te encallas...



Arranca de CD o de disco duro ???



Si arranca de CD, te ofrece lo de pulsar (R) para entrar en consola de recuperacion ???



[b][color=red]Si, arranco de CD y pulso R[/color][/b]



Si llegas a la consola, escribes las frases y pulsas Enter tras cada una de ellas ???



[b][color=red]Escribo la frase de CD \WINDOWS y al darle al enter me dice que no se encuentra (o algo parecido) y ya no puedo continuar[/color][/b]



Bueno, ya me diras, mas claro el agua :lol:



saludos



ms, 25-09-2007[/quote]

[PRiSPeR]

[quote="PRiSPeR"][quote="msc hotline sat"]Ahí persiste o se regenera esta clave maliciosa:



O2 - BHO: (no name) - {72193739-3597-48B2-8932-63DAFAE5B452} - C:\WINDOWS\system32\ssttu.dll



eliminala, y esta tambien:



O20 - Winlogon Notify: WRNOTIFIER - WRLOGONNTF.DLL (file missing)



Es cuanto puedo decirte a la vista del log.



Pero hazlo arrancando en modo seguro, comos e indica en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y sobre lo de que arrancando desde CD no puedes hacer nada, cuentanos donde te encallas...



Arranca de CD o de disco duro ???



Si arranca de CD, te ofrece lo de pulsar (R) para entrar en consola de recuperacion ???



[b][color=red]Si, arranco de CD y pulso R[/color][/b]



Si llegas a la consola, escribes las frases y pulsas Enter tras cada una de ellas ???



[b][color=red]Escribo la frase de CD \WINDOWS y al darle al enter me dice que no se encuentra (o algo parecido) y ya no puedo continuar[/color][/b]



[color=red]Ah! Y tecleo también chkdsk /p/r por si hubiese algo mal y me dice que hay dos partes del sistema que no se pueden restaurar[/color]



Bueno, ya me diras, mas claro el agua :lol:



saludos



ms, 25-09-2007[/quote][/quote]

[msc hotline sat]

Entre entrar en consola de recuperacion y el CD \WINDOWS <enter> hay el C: <enter> o no lo puse ???



voy a ver



sí, ahí está:


[quote="msc"]
C: <enter>



CD \WINDOWS <enter>



CD SYSTEM32 <enter>



DEL SSTTU.DLL <enter>


[/quote]



y ojo con los espacios, solo lo hay entre C: y la barra, no entre la barra y WINDOWS ... !!!



SALUDOS



MS, 25-09-2007

[PRiSPeR]

Si, si, puse primero lo de C: y le di a enter. Me he saltado este paso explicandotelo porque lo daba por hecho :lol: y continué con lo anteriormente dicho. Así que es imposible arrancar el ordenador en modo seguro :cry:

[msc hotline sat]

Pues una vez en C:, debes poder entrar en el directorio de windows con CD \windows (ojo con el espacio entre CD y la barra, tal como he dicho)



si no es asi, haz DIR C:\ y nos dices si hay o no directorio windows ...



saludos



ms, 25-09-2007

[PRiSPeR]

Te comento el arranque con el CD de windows.



He puesto C:<enter>



CD \WINDOWS<enter>



[i]No hay disco o CD en la unidad[/i]



He cambiado a poner DIR C:<enter>



[i]Directorio de C:\[/i]

[i]No hay disco o CD en la unidad[/i]



Entonces he cambiado a CHKDSK /P/R



[i]El volumen parece contener uno o más problemas irrecuperables[/i]





:( PRiS

[PRiSPeR]

Además, he tenido abierta la carpeta de archivos temporales de internet y me he dado cuenta que se me generan unas cookies ellas solas sin entrar a ninguna página.



Otra cosa rara que hace el ordenador es que estoy escribiendo aquí y de repente deja de escribir, como si hubiese deseleccionado la página ésta.



Está haciendo cosas muy raras. Tengo ya en el baúl del avast un montón de troyanos:



* Win32:Vundo-gen49[Adw]

* Win32:Downloader-KK[Trj]

* Win32:Agent-LAP[Trj]



Parece que quieran tomar posesión de mi ordenador! :evil:



PRiS

[msc hotline sat]

A ver, si no encuentras nada en C: ya no es solo que no accedas a la carpeta c:\windows, sino que no accedes a la zona lógica del disco duro !!!



Estas en peligro de perder todo el acceso a este disco duro !!!



Si tienes datos importantes es aconsejable tener copia de seguridad al día !!!



Eso de que arrancando con el Cd de instalacion de windows y desde la consola de recuperacion no accedas a la zona de datos, es muy preocupante !!!





Comprueba que sea el CD de instalacion de WINDOWS XP o de WINDOWS 2000, para que sea compatible NTFS, no vaya a ser uno de WINDOWS98 que era solo FAT32...



y no uses una copia o sucedaneos, sino el original de Microsoft, que es con el que tenemos que trabajar !



saludos



ms, 26-09-2007

[PRiSPeR]

Entonces no hay nada que pueda hacer? Sólo formatear el ordenador?



Copias de seguridad hago todas las semanas.



Gracias, PRiS.

[msc hotline sat]

En absoluto !, de lo que se trata es de encontrar la causa del porqué no accedes arrancando con el CD de instalacion.



Confirmas que éste es el original de Microsoft para la instalacion de XP o de 2000 ???



Es muy raro pues ellos son compatibles NTFS y consecuentemente FAT32, a diferencia del de W98, que solo lo era para FAT32.



Mira que sea original, sino buscalo !



saludos



ms, 26-09-2007

[PRiSPeR]

Pues es uno grabado que me dio el informatico :oops: pero ya he pedido que me traigan el original del windows XP profesional.



Yo en mi casa tengo el home edition y no me sirve, además que lo tengo dentro del ordenador.

[msc hotline sat]

XP PROFESIONAL O XINDOWS 2000 PERO ORIGINAL, PLEASE



saludos



ms, 26-09-2007

[PRiSPeR]

Ok!



En cuanto lo consiga te digo algo y volvemos a empezar :roll: