Me desespera el Trojan.W32.looksky, y no se que más hacer

[jisaav]

Saludos Cordiales a todos!



Trataré de ser lo más explícito posible. NO soy experto en computadoras (ni aspiro serlo), pero soy un usuario frecuente de la misma. Ayer, descargando libros vía "rapidshare", recuerdo que en algún momento se me preguntó por la opción de permitir acceso a una aplicación en el internet. Tengo una laptop, que compré usada, y que venía con el McAfee (aplicación que me alertó del intento); no tengo los discos para respaldar ese antivirus, y no quiero desinstalarlo por eso. [b] En una de las descargas, comenzó a aparecer una ventana con un alerta de seguridad, informándome que el Trojan.W32.looksky había sido detectado en mi máquina[/b], además de detalles.. el pirmer impulso fue aceptar la sugerencia de que al aceptar, se realizaría une escaneo en mi computadora para removerla inmediatamente. Ese fue mi error, tarde me dí cuenta. Al ver que el McAfee (por no estar actualizado supongo) no detectó virus, decidí probar con otra cosa. Primero eliminé el Internet Explorer, ya que no podía abrir página alguna, no podía cambiar la página de inicio (que era una oferta de eliminar spyware). Luego de eliminarlo, descargué con el explorador firefox el "AVG antispyware 7.5" en modalidad de [i]freeware[/i], y éste detectó 5 amenazas, las cuales mandó a su opción de cuarentena, luego las borre y no tengo registro de éllas. Al parecer ya no tendría el problema de la ventana emergente con mensaje de virus. También había un aviso emergente en la barra de herramientas (donde está el reloj de windows, en el escritorio), previniendome acerca de que Windows había detectado spwware.



Por fín, decidí no instalar otro antivirus para evitar conflictos con el McAfee, y al parecer el AVG había eliminado el spyware. Más tarde , instalé la versión 7 del internet explorer (yo uso version 6.0 por cuestiones de trabajos temporales en un blog), y parecía que ya no tendría los inconvenientes. Porsupuesto, la computadora se puso demasiado lenta! Todo esto fue ayer sábado. Lucía como que no había resuelto el problema





Hoy al conectarme de nuevo, volví a descargar otro libro en "rapidshare" y el problema de las ventanas emergentes continuó, y sigue aun; decidí eliminar nuevamente el IE 7.0. El AVG antispyware detectó y limpió lo siguiente:



C:\Program Files\DIGStream\digstream.exe -> Not-A-Virus.Downloader.Win32.DigStream : Limpios.

C:\System Volume Information\_restore{4B1AEA69-B95E-4955-A6A6-502CD89CDA69}\RP234\A0070256.dll -> Not-A-Virus.Monitor.Win32.AKL.25 : Limpios.





Estas ventanas emergentes siguen apareciendo, pero no me afectan el firefox (que bueno!!) pero la computadora está muy lenta. Nuevamento hoy domingo corrí el virus Scan del mcAfee y el AVG antispyware, pero ya no detectan nada. Decidí entonces buscar ayuda, y recurro a Uds. No quiero hacer otra cosa antes de recibir un consejo.



He revisado dos de los temas planteados por otros usuarios, espero no haber transgredido las políticas del foro, el tema ya ha sido tratado antes, pero mucho agradecería una respuesta.



Muchpisimas Gracias de antemano, espero su valioso consejo!!!

:wink:

[lucl]

Bueno pues como ya sabras no damos soporte al firefox, entonces pasate esta herramienta que te indico pero te advierto que esta preparada para el explorer, una vez la pases te dejara un log en C infosat.txt,



http://www.zonavirus.com/descargas/elistara.asp





ademas complementa con hijackthis, saludos



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[jisaav]

Gracias por tu respuesta! Debo confesaros que revisé con más clama el mensaje referido al troyano con que titulé mi post original, e hice lo que fue recomendado a la usuaria que tenía el mismo problema. También he revisado otros foros, donde a preguntas parecidas contestan entre otras cosas, lo siguiente:



[i]Prueba con el "REMOVE IT PRO" es gratuito y se actualiza diariamente. Excelente!!!

http://removeit-pro-xt.uptodown.com/... [/i]

Yo lo probé y eliminó 5 troyanos, no está demás tenerlo en cuenta.



[i]Para eliminar el virus Trojan.w32.looksky hay que realizar los siguientes pasos:

- Busca y descarga el archivo "SmitFraudFix" y lo descomprimes.

- Reinicia en modo a prueba de fallos

- Ejecuta smitfraudfix.cmd

- Selecciona la opción 2

- Te preguntará si quieres limpiar el registro (Do you want to clean the registry ?) Di que Si

- La herramienta comprobará si tienes el archivo wininet infectado, si lo está y te pregunta si lo quieres reemplazar le dices que si, [/i] También eliminó cosas maliciosas..



También he hecho lo que me ha recomendado [b][i]lucl[/i][/b], es decir, descargar ElistarA, (también se leyó eso en un mensaje de la zona antiSpyware de zonavirus.com), y además he descargado el Elitriip. NOTA: creo quel el archivo de texto que se genera es comun para ambas aplicaciones.





De cualquier manera, ahora han dejado de aparecer los alertas de virus y de spyware, por lo que considero el problema está resuelto (aparentemente).

Espero este post pueda servir a todos quienes presenten el mismo inconveniete, y aquí copio el mensaje de ElistarA





Mon Sep 24 00:40:15 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MSMDEV.DLL.Muestra EliStartPage v14.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MSMDEV.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\MSMHOST.DLL.Muestra EliStartPage v14.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MSMHOST.DLL --> Renombrado a .VIR

C:\WINDOWS\NSDUO.DLL --> Eliminado AdWare.Agent.BN(BHO)

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\WT\WEBDRIVER.DLL --> Eliminado

C:\PROGRAM FILES\SHOPPINGREPORT\BIN\2.0.22\SHOPPINGREPORT.DLL --> Eliminado ShopprReports

C:\Documents and Settings\Owner\Desktop\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Owner\Desktop\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Owner\Desktop\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Owner\Favorites\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Owner\Favorites\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Owner\Favorites\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminada Class, "{100EB1FD-D03E-47FD-81F3-EE91287F9465}" -> C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{20EA9658-6BC3-4599-A87D-6371FE9295FC}" -> C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{88418AA3-16F5-4FC2-A9D8-90B1266DF841}" -> C:\WINDOWS\nsduo.dll

Eliminada Class, "{A16AD1E9-F69A-45AF-9462-B1C286708842}" -> C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}" -> C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Class, "{C9CCBB35-D123-4A31-AFFC-9B2933132116}" -> C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll

Eliminada Carpeta "%Application Data%\ShoppingReport"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 00:55:02 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\NSDUO.DLL --> Eliminado, AdWare.Agent.BN(BHO)

C:\WINDOWS\system32\IGFXPPH.DLL --> Acceso Denegado, NetNucleus(BHO/TB)



Mon Sep 24 01:14:42 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Sep 24 01:15:13 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Samsung\ML-1610\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)



Mon Sep 24 01:32:02 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Sep 24 01:32:14 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\IGFXPPH.DLL.VIR --> Eliminado, NetNucleus(BHO/TB)



Mon Sep 24 01:40:07 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Sep 24 01:40:15 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Sep 24 02:10:54 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\MSMDEV.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\MSMDEV.DLL.Muestra EliStartPage v14.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MSMDEV.DLL --> Eliminado

C:\WINDOWS\MSMHOST.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\MSMHOST.DLL.Muestra EliStartPage v14.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MSMHOST.DLL --> Eliminado

C:\WINDOWS\NSDUO.DLL --> Eliminado AdWare.Agent.BN(BHO)

Eliminada Class, "{88418AA3-16F5-4FC2-A9D8-90B1266DF841}" -> C:\WINDOWS\nsduo.dll

Eliminada Carpeta "%WinDir%\WT"

Eliminada Carpeta "%Archivos de Programa%\ShoppingReport"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 02:21:26 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 02:21:30 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Owner\Desktop\SmitfraudFix\REBOOT.EXE --> Eliminado, DollarRevenue (dldr)



Mon Sep 24 02:21:46 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Sep 24 02:21:52 2007

EliTriIP v3.91 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Sep 24 03:29:44 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 24 03:29:49 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Sep 24 03:36:36 2007

EliStartPage v14.69 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\









Aquí el de SmitFraudFix v2.227



Scan done at 2:19:52,12, 24/09/2007

Run from C:\Documents and Settings\Owner\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode



»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix



HKLM\SYSTEM\CS3\Services\Tcpip\..\{A8BC0267-C774-4B56-B7FD-A6F09CC21FA2}: DhcpNameServer=200.75.113.68 200.75.113.67

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=200.75.113.68 200.75.113.67



»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix



HKLM\SYSTEM\CS3\Services\Tcpip\..\{A8BC0267-C774-4B56-B7FD-A6F09CC21FA2}: DhcpNameServer=200.75.113.68 200.75.113.67

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=200.75.113.68 200.75.113.67





AvIsO: los links a hijackthis están dándome como respuesta ERROR, creo que los enlaces están rotos. Espero que al reinstalar IE 7.0, no suceda esto otra vez... Con su respuesta se puede poner fina a este tema!







[b]NUEVAMENTE MUCHAS GRACIAS!!![/b] :) [/i]

[msc hotline sat]

Pues mejor centrate en lo indicado en un solo foro, sino estas enmarañando los resultados con otras utilidades aplicadas.



Tal como se te dice en el infosat, envianos estos ficheros para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\MSMDEV.DLL.Muestra EliStartPage v14.69



Por favor, envienos una muestra del fichero

C:\Muestras\MSMHOST.DLL.Muestra EliStartPage v14.69



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y tal como te decia lucl, posteanos el log del HJT.



saludos



ms, 24-09-2007



Nota y siquieres seguir con nosotros, dejate estar de SmitFraudFix y otras historias que no aconsejamos ! pero por si te sirve de algo, las IP indicadas en el el log del SmitFraud hacen referencia a Barquisemeto, en Venezuela, con nudo en la zona de la imagen anexa.



saludos



ms, 24-09-2007

[jisaav]

Saludos msc. Tiene Ud. razón, solo debí avocarme a su respuesta y no ligar respuestas de otros foros.



Para serle franco, no entiendo ahora lo que hay que hacer, respecto a enviar la muestra. Creo que es por mi cansancio en este momento. Así que aprovecharé el foro tanto como pueda par resolver este percance:



1. Exactamente cuál archivo (supongo que se refiere Ud. a eso cuando dice "fichero") debo mandar por email? Cual de las dos direcciones? (zonavirus@satinfo.es ó virus@satinfo.es)



"[i][u]Por favor, envienos una muestra del fichero

C:\Muestras\MSMDEV.DLL.Muestra EliStartPage v14.69[/i][/u]"



2. Donde encuentro ese archivo ?



3. Si es un archivo de texto (disculpe mi ignorancia), como le pongo la clave?



4. Aun no he reinstalado el Internet Explorer, me recomienda Ud. instalarlo?



5. Lucl me ha informado que no trabajan con firefox, y a veces no se cual utilizar, podría ud. hacerme una recomendación (recuerde, soy un usuario comun, no experto).



6. Espero continuar aquí en los foros de zonavirus, no utilizaré el smitfraudfix, sufro algún riesgo por haberlo utilizado? (Espero que no).



7. En realidad, repito, el problema "parece haberse resuelto", ya que no me han salido ventanitas emergentes alertandome de spyware ni virus.. Como puedo saber si finalmente no ocurrirá otra vez?



8. No entendí su comentario del IP de la persona en Barquisimeto. Si puede Ud. rastrear mi ubicación, sabrá que estoy aproximadamente a 800 Km al este de la ciudad de Barquisimeto, aquí en Venezuela. No lo tome a mal, es que no sé que puedo hacer con la IP de esa persona.



9. Por último, msc refiere este enlace, en donde en el aparte de HJT dice: [b][i]ELIMINACION DE CLAVES CON HJT

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED: [/i][/b]



Cuál casilla debo marca en la izquierda para luego eliminarlas con Fix Checked? Todas? o algunas en particular? Espero su respuesta para poder hacerlo correctamente.



A continuación, le copio el registro que me generó el HJT



Saludos cordiales lucl y msc.



Logfile of HijackThis v1.99.1

Scan saved at 10:00:51 a.m., on 24/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\DVDRAMSV.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

c:\TOSHIBA\IVP\swupdate\swupdtmr.exe

C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Synaptics\SynTP\Toshiba.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Toshiba\Tvs\TvsTray.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\WINDOWS\system32\dla\DLACTRLW.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\toshiba\ivp\ism\pinger.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\McAfee.com\VSO\mcvsshld.exe

c:\program files\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\PROGRA~1\mcafee.com\mps\mscifapp.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe

C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\TOSHIBA\ConfigFree\CFXFER.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Ares\Ares.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\WINDOWS\explorer.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Owner\Desktop\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\PROGRA~1\mcafee.com\mps\mcbrhlpr.dll

O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll

O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\DLACTRLW.exe

O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=072407 serial=DR12WES-3007622-EUW lang=EN

O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions

O4 - HKLM\..\RunOnce: [KB926239] rundll32.exe apphelp.dll,ShimFlushCache

O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps

O4 - HKLM\..\RunOnce: [MP11_EnsureDeviceRescan] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wpd_ci.dll,DoCmd remove rescan

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups

O4 - HKCU\..\RunOnce: [WMC_WMPDBExport] C:\Program Files\Windows Media Player\wmdbexport.exe

O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.toshibadirect.com/dpdstart

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\IVP\swupdate\swupdtmr.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe



[/i][/u]

[jisaav]

Disculpen!!!



No había visto que se creó una carpeta llamada Muestras en el disco duro!!!



He hecho tal cual lo que me recomiendan, están ambas muestras en en RAR, como adjunto, y el título del email que les estoy enviando es REF "JISAAV".



Espero respuesta enel foro, gracias y saludos cordiales!

[msc hotline sat]

Del log de HJT, elimina esta clave:



O4 - HKLM\..\RunOnce: [MP11_EnsureDeviceRescan] C:\WINDOWS\system32\rundll32.exe





y respondo a tus preguntas:



1.- Las utilidades son para uso exclusivo de los asociados al Servicio tecnico de SATINFO, que han de enviar las muestras a la cuenta de virus@satinfo.es , pero por ser STAINFO patrocinador de este foro, los foreros de zonavirus pueden probar estas utilidades en concepto de evaluacion y enviar las muestras a la cuenta de zonavirus@satinfo.es , ya que en la otra requeririan numero de registro que no tienen, sino son descartadas.





2.- Dicho fichero está en la carpeta C:\Muestras\ , como se indica claramente:



"Por favor, envienos una muestra del fichero

C:\Muestras\MSMDEV.DLL.Muestra EliStartPage v14.69"



3.- No es un fichero de texto, las DLL son ejecutables compilados para librerias dinamicas, pero fuera cual fuera el tipoi de fichero se le puede empaquetar en un ZIP o RAR con password, si bien no se denen enviar ficheros de texto para analizar en SATINFOP, al no poderse monitorizar, sino en tal caso postearlo con un copiar y pegar como respuesta al Tema en cuestion, en el foro:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



4.- El internet Explorer es imprescindible tenerlo instalado, sino no tendria las actualizaciones automaticas de los parches que mensaulmente va publicando microsoft



5.- El firefox es una alternativa , sucedaneo del I.E., pero no es compatible ni con windowsupdate ni con instalacion de muchas aplicaciones, ademas de que no usa las mismas claves, por ello no le afectan los mismos virus, pero los que lo hacen noi son controlados por las aplicacioenes que usamos, por elo no le damos soporte.



6.- No sé lo que le puede haber hecho dicha aplicacion, logicamente debe estar hecha por tecnicos profesionales, que sabrán lo que se hacen, pero no nos lo pida a nosotros ...



7.- De momento el ELISTARA ha eliminado el fichero troyano de donde estaba, y lo ma movido a la carpeta c:\muestras\ para poder proceder a su analisis, y mientras ya está fuera de ciruclacion, pero no por ello está libre de riesgo de volver a infectarse o de que se regenere. Por ello se le pide una muestra, para analizar su comportamiento y controlar sus acciones a partir de proximas versiones.



8.- El dato de la IP en cuestion lo indica el SmitFraudFix :



HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=200.75.113.68 200.75.113.67



Quizas es el servidor de DNS que tiene configurado, solo se lo indico a título de información, por si confirma que lo es, o todo lo contrario ??? Vd sabrá si lo conoce o sabe de algo o alquien en Barquisimeto, yo no, de Venezuela solo he estado en Caracas.



9.- No, solo se debe eliminar las que se indiquen, si es el caso, y justamente al principio de este post se indica eliminar una, pues proceda con ello.





Cuando hayas enviado la muestra y la analicemos, ya controlaremos dicho fichero y sus compinches, asi como las claves de registro relacionadas, pero aparte te recomiendo uses el Site Advisor de McAfee para tener informacion de las webs a visitar antes de hacerlo:



http://www.siteadvisor.com



saludos



ms, 24-09-2007

[jisaav]

msc, perdí la conexión a internet por varios minutos, y decidí reiniciar la pc. Sucede que el Windows soliciaba actualizaciones,y acepté esa opción.



He visto tu respuesta, gracias por lo preciso.



Te preguntaba por el I.E. y el firefox porque ayer cuando tenía el troyano, no podía abrir página alguna, y no como hubiese podido resolver eso. Generalmente no uso el firefox, pero fue con ése explorador que pude llegar al foro de zonavirus.com

Ya he enviado a zonavirus-at-satinfo-dot-com las muestras. Ahora voy a visitar el siteadvisor que me recomiendas.



Lo malo ha sido que al momento de correr nuevamente el HJT, el fichero que me recomiendas eliminar no aparece. Te copio el log, qué hago ahora?:



Logfile of HijackThis v1.99.1

Scan saved at 12:23:26 p.m., on 24/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\DVDRAMSV.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\PROGRA~1\mcafee.com\vso\OasClnt.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

c:\program files\mcafee.com\vso\mcvsshld.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

c:\TOSHIBA\IVP\swupdate\swupdtmr.exe

C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Synaptics\SynTP\Toshiba.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Toshiba\Tvs\TvsTray.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\WINDOWS\system32\dla\DLACTRLW.exe

C:\toshiba\ivp\ism\pinger.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\TPSBattM.exe

c:\program files\mcafee.com\agent\mcagent.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\PROGRA~1\mcafee.com\mps\mscifapp.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\TOSHIBA\ConfigFree\CFXFER.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Ares\Ares.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

C:\Documents and Settings\Owner\Desktop\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\PROGRA~1\mcafee.com\mps\mcbrhlpr.dll

O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll

O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\DLACTRLW.exe

O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=072407 serial=DR12WES-3007622-EUW lang=EN

O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.toshibadirect.com/dpdstart

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\IVP\swupdate\swupdtmr.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe



Saludos!

[msc hotline sat]

Ya no debía haber salido en el log anterior, pues los RUNONCE son claves creadas para ser ejecutadas solo en el proximo reinicio y, salvo que no puedan hacerlo pot cualquier caso, son borradas y ya desaparecen, como debe ser el caso, pero como que permanecía en el log analizado, le indcamos borrarla.



Si ya no está, tanto mejor, se ahorra eliminarla.



El log así queda limpio, y quedamos pendientes de recibir el fichero pedido para analizarlo e implementar su control y eliminaicon, si procede en las proximas versiones de nuestras utilidades



estos ficheros ya han sido renombrados a .VIR de forma que ya estan fuera de circulacion, pero tras probar la version de la utilidad que los controle, ya seran incluso eliminados de la carpeta c:\muestras, como tambien sus parientes en el disco duro.



Seguiremos informando



saludos



ms, 24-09-2007

[jisaav]

[quote="msc hotline sat"]...y quedamos pendientes de recibir el fichero pedido para analizarlo e implementar su control y eliminaicon, si procede en las proximas versiones de nuestras utilidades



estos ficheros ya han sido renombrados a .VIR de forma que ya estan fuiera de circulacion, pero tras probar la version de la utilidad que los controle, ya seran incluso eliminados de la carpeta c:\muestras, como tambien sus parientes en el disco duro.



Seguiremos informando



saludos



ms, 24-09-2007[/quote]

Amigo msc, me impresiona su motivación y disposición para ayudar, grandiosa!



He enviado las muestras de los ficheros a zonavirus@satinfo.es, espero haya sido recibida, no se si Ud, tiene acceso a ese email, pero allí est´pa tal cual se recomienda, comprimido en RAR y con la clave para abrir que es

[i]virus[/i]



Hasta pronto

[msc hotline sat]

Se hace lo que se puede...



Y hoy no podemos, poque es fiesta en Barcelona y SATINFO no trabaja, pero mañana sí, y veremos de qué se trata e informaremos



saludos



ms, 24-09-2007

[msc hotline sat]

Detectado nuevo adware en la muestra enviada, se implementa su control y eliminaicon en la nueva version 14.70 del ELISTARA de hoy, que estara disponible a partir de las 19 h GMT en esta web, para evaluacion en el foro de zonavirus



saludos



ms, 25-09-2007

[jisaav]

Hola nuevamente... Debo admitir que he descargado otros libros y quizás éllo haya propiciado los spywares que detectó en la muestra. Como no tendré tiempo en muchos años para leer todos esos libros, creo que no entraré allí nuevamente en un buen tiempo (jeje)..



He descargado el archivo de siteadvisor.com, y en verdad es una gran ayuda, ya que al usar google de una vez conozco el status de cualquier página que aparezca en las respuestas del buscador..



He visto su mensaje y he descargado la últimna versión de hoy 25 de sept (19:00 hrs, -4 en GMT) del ElisatarA, y el resultado que me dió lo copio a continuación (en negrita). Durante la corrida del mismo surgió un aviso alertándome lo siguiente:



[i]Acceso denegado a la carpeta

C:\Documents and Settings\Application Data\

Microsoft\eHome\EPG\tracehelper (16)[/i]



y al darle al botón de Aceptar, el registro ha continuado corriendose. Cómo se ha hecho esta carpeta inaccesible?



Aquí el resultado, ahora sí:



[b]Tue Sep 25 17:53:30 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{31CBB13B-244D-4C44-AED5-DCAD70F66281}" -> C:\WINDOWS\nsduo.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 25 17:54:02 2007

EliStartPage v14.70 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Owner\Desktop\ELIMINA SPYWARE (NO BORRAR MCAFEE)\Muestras\MSMDEV.DLL.MUESTRA ELISTARTPAGE V14.69 --> Eliminado, AdWare.Agent.BN

C:\Documents and Settings\Owner\Desktop\ELIMINA SPYWARE (NO BORRAR MCAFEE)\Muestras\MSMHOST.DLL.MUESTRA ELISTARTPAGE V14.69 --> Eliminado, AdWare.Agent.BN[/b]





Otra cosa, el VirusScan de McAfee me advirtió acerca de un programa potencialmente no requerido (PUP) y posiblemente contentivo de Spyware y AdWare; al preguntarme si yo quería que lo eliminara y yo aceptar, aparece una respuesta de que no se puede eliminar. Es un archivo ejecutable, pero no copié el nombre ni ubicación. Me falta información para hacer la pregunta que quiero, pero espero tener esa información en un rato.



Saludos

[msc hotline sat]

Bien, pues con el ELISTARA 14.70 ya se han detectado y eliminado las muestras que pedia la anterior 14.69, con lo cual este problema queda resuelto



Otra cosa es lo que indica de un nuevo PUP que "que no se puede eliminar. Es un archivo ejecutable, pero no copié el nombre ni ubicación. Me falta información para hacer la pregunta que quiero, pero espero tener esa información en un rato. "



Pues debe estar en uso y por ello windows no deja eliminarlo. Cuando sepa de qué fichero se trata, nos envia muestra para analizar:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 26-09-2007

[jisaav]

[b]Saludos msc.



Acerca del programa potencialmente no deseado que me reporta el McAfee, listo los mensajes (los identifico con números) que me da, y envío una archivo jpg como adjunto, con imágenes de esos mensajes:[/b]



[i]1. PUP Found

The file C:/System Volume Information/_restore[aB1AEA69-B95E-4955-A6A... is a Pottentialy Unwanted Program (such as spuware and asware) and has been blocked from running on your computer. If you don´t recognize it remove this PUP. if you recognize it, trust this PUP, and then rerun the program taht triggered this alert.

I want:

*Remove this PUP

*Trust this PUP

*Find out more information

*Continue what I was doing [/i]





[b]Cuando tomo la opción de removerlo, porque no sé que es, me aparece un cuadro dando la siguiente información:[/b]



[i]2. [u]PUP Found[/u]:

Program name: [color=cyan]generic PUP.g[/color]

File Name: [color=cyan]A0071366.exe[/color]

File Path: C:/System Volume Information...

Status: [color=red]Cannot be cleaned[/color]



Verify that the file is not write-protected and try again [/i]



[b]Cuando presiono el enlace con la ubicación del archivo, me aparece un cuadro con la siguiente información:[/b]



[i]3. C:/System Volume Information/_restore[aB1AEA69-B95E-4955-A6A6-502CD89CDA69]/RP242[/i]



[b]Cuando trato de llegar a ese archvo,simplemente no encuentro la carpeta [u]System Volume Information[/u][/b]



[b]Finalmente, cuando trato de removerlo desde el McAfee, me aparece un mensaje informndo que no se puede debido a que está en uso:[/b]



[i]4. The file "A0071366.exe cannot be cleaned. verify that the file is not write-potected and try again[/i]







[b]A cotinuación coloco el registro que me dió hace pocos momentos la versión mas reciente del elistara 14.80[/b]



Wed Oct 10 10:59:33 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 10 10:59:35 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



[b]El Elistara 14.80 parece no reconocer ese archivo, y como me solicitas una muestra no puedo enviarla porque no la reconoce. Además, cuando lo estuve corriendo, me dio en siguiente mensaje:[/b]



Acceso denegado a la carpeta:

C:/Documents and Settings/All Users/Application Data/Microsoft/eHome/EPG/tracehelper (16)



Que me sugieres hacer?[/img][/u]

[lucl]

Debes desactivar restaurar sistema y pasar tu antivirus para que elimine el pop-up que tienes en restore.



Ve a inicio---todos los programas----accesorios----herramientas---restaurar sistema



una vez pasado tu antivirus reinicia el pc y vuelve a activar restaurar sistema





En cuanto a lo que dices del elistara



C:/Documents and Settings/All Users/Application Data/Microsoft/eHome/EPG/[b]tracehelper [/b]



intenta llegar a lo que te remarco en negrita y ver si puedes enviarnoslo, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[jisaav]

Hola lucl, saludos!



Mira, traté de hacer la restauración, pero la respuesta que me da el System Restore es que no se puede restaurar el sistema.



Tengo una duda, y es que a pesar de que tengo n McAffe instalado, creo que es una versión de prueba, porque no hepodido actualizarla desde hace tiempo. Pero no la he querido borrar porque no tengo un disco de respaldo del mismo. Y para no estar desprotejido, tengo la versión libre del avast antivirus y el AVG antispyware, pero tengo entendido que tener más de un antivirus instalado puede crear conflictos en el funcionamiento de la computadora.. NO se si algo de esto tenga que ver con que no se pudo hacer la restauración del sistema. He mandado hacer los análisis más exahustivos en búsqueda de virus o spaywares pero no encuentran nada. Lo malo es que la pc sigue en lento funcionamiento.







Entrpe a buscar en la dirección donde está el tracehelper, pero la carpeta está vacía. Te anexo foto de los archivos que están allí, pero la carpeta [i][b]tracehelper[/b][/i], te repito, está vacía. Que me sugieres? Como puedo saber por qué está lenta la compu?

[msc hotline sat]

A ver, lucl no te dice que restaures el sistema, sino que desactives la restauracion del sistema para que el antivirus o antispyware que lances a continuacion (en modo segur0) pueda llegar y eliminar los malwares que hubiera en el apartado del RESTORE (System Volume Information), zona a la que de lo contrario no podría llegar por estar protegida.



Mira en como arrancar en modo segur0 la manera de desactivar dicho restauracion de sistema.



Una vez desactivada, arranca en modo seguro y lanza el McAfee que te detecta dicho malware y asi podrás llegar a dicha carpeta del RESTORE y eliminarlo.



Y mejor tener un solo antivirus instalado, de lo contrario pueden colisionar y sobre todo seguro que te ralentizan los procesos



Una vez eliminado, puedes volver a activar la RESTAURACION de sistema, e incluso hacer un punto de restauracion al final, siempre aconsejable para poder acceder a él si lo necesitas algun día.



saludos



ms, 11-10-2007

[jisaav]

administradores, he intentado hacer lo que me dijiste de en modo seguro correr en antivirus, pero no pudo eliminar el malware del System Volume Restore.



Ya hace unos días que lo íntenté, cro que incluso semanas, y hoy lo he intenatdo otra vez hace un rato pero mi pc está lenta, aunque sí responde. Eliminé hace tiempo el otro antivirus, así que no debe ser poreso. Pero la lentitud de la pc me empieza a preocupar, no he desintalado el McAfee porque no tengo respaldo de éllo.



La pregunta que les haré es si me recomiendas correr el HJT, a ver que encuentran de extraño...



aquí dejo el log:



Logfile of HijackThis v1.99.1

Scan saved at 01:10:29 p.m., on 02/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\PROGRA~1\mcafee.com\vso\OasClnt.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

c:\program files\mcafee.com\vso\mcvsshld.exe

c:\program files\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Synaptics\SynTP\Toshiba.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Toshiba\Tvs\TvsTray.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\WINDOWS\system32\dla\DLACTRLW.exe

C:\toshiba\ivp\ism\pinger.exe

C:\Program Files\SiteAdvisor\6172\SAService.exe

c:\TOSHIBA\IVP\swupdate\swupdtmr.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\PROGRA~1\mcafee.com\mps\mscifapp.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe

C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\SiteAdvisor\6172\SiteAdv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Ares\Ares.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

C:\WINDOWS\system32\dllhost.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\Program Files\TOSHIBA\ConfigFree\CFXFER.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\Owner\LOCALS~1\Temp\Rar$EX00.063\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6172\SiteAdv.dll

O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\PROGRA~1\mcafee.com\mps\mcbrhlpr.dll

O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll

O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6172\SiteAdv.dll

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\DLACTRLW.exe

O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SiteAdvisor] C:\Program Files\SiteAdvisor\6172\SiteAdv.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.toshibadirect.com/dpdstart

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6172\SiteAdv.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Servicio SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6172\SAService.exe

O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\IVP\swupdate\swupdtmr.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

[msc hotline sat]

Pues a ver si aprendes a desactivar la restauracion de sistema...


[quote="msc"]A ver, lucl no te dice que restaures el sistema, sino que desactives la restauracion del sistema para que el antivirus o antispyware que lances a continuacion (en M0D0 SEGUR0) pueda llegar y eliminar los malwares que hubiera en el apartado del RESTORE (System Volume Information), zona a la que de lo contrario no podría llegar por estar protegida.



Mira en como arrancar en M0D0 SEGUR0 la manera de desactivar dicho restauracion de sistema.



Una vez desactivada, arranca en modo seguro y lanza el McAfee que te detecta dicho malware y asi podrás llegar a dicha carpeta del RESTORE y eliminarlo. [/quote]

lo explicamos en el TEMA de MODO SEGUR0 , pero repetimos:



Para desactivar la restauracion de sistema, pulsan con el boton derecho del mouse en MIPC, ir a PROPIEDADES (abajo del todo de la ventana), luego a RESTAURAR SISTEMA (arriba, en la barra) y la primera casilla que te indica DESACTIVAR RESTAURAR SISTEMA, marcala, luego aplicar y aceptar...



ya nos contarás !



saludos



ms, 2-11-2007