Bastantes problemas.

[Kanorro]

Hola. Yo llevo ya al menos un par de años con todo tipo de problemas: Me aparece continuamente en el fondo de pantalla la restauracion de active desktop, no puedo definir una pagina de inicio, no me deja actualizar windows en la desde la pagina de microsoft a service pack 2 de windows xp, se me bloquea el internet explorer de vez en cuando, no puedo imprimir porque me dice que la memoria no se puede "read", tengo bastantes procesos al iniciar windows, en fin... unas cuantas cosas y quisiera saber a que se debe todo esto.



Logfile of HijackThis v1.99.1

Scan saved at 19:39:14, on 19/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system\NOTEPAD.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\WINDOWS\System32\lsasss.exe

C:\windows\system32\drivers\mzqdd.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\iexplore.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: Shell=Explorer.exe,browideo.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [vsqysaaa] C:\WINDOWS\System32\vsqysaaa.exe

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\System32\lsasss.exe

O4 - HKLM\..\Run: [_] c:\windows\system32\drivers\mzqdd.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\MV0F2Z4X\ELISTARA.29092007[1].EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [vsqysaaa] C:\WINDOWS\System32\vsqysaaa.exe

O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll (file missing)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0582731ba366d547dd05/netzip/RdxIE601_es.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DE7200C-B62D-4D2E-AB06-D6A499FF10CD}: NameServer = 85.255.114.21,85.255.112.190

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F420B79-8176-4DA4-B7DD-90D771350F55}: NameServer = 85.255.114.21,85.255.112.190

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documentos\Settings\arm32.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: IEFilter - {C52F74F8-51B3-4D18-8612-12F5CD5781D5} - C:\WINDOWS\system32\IEFilter.dll (file missing)

O21 - SSODL: Protocol Agent - {28BA8EFA-5AE1-4CDE-8588-9C3C1EEDB751} - C:\WINDOWS\System32\jobeui10.dll (file missing)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: .NET Runtime Optimization Service v1.000.3.1434 - Unknown owner - C:\WINDOWS\System32\swhfpaaa.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SP service (SPsys) - Unknown owner - C:\WINDOWS\System32\spsys.exe (file missing)



Gracias de antemano.

[msc hotline sat]

Empieza por lanzar un windowsupdate, que te faltan todos los parches del SP2 y posteriores ... !!!





Luego envianos estos ficheros sospechosos para analizar:



C:\WINDOWS\System32\lsasss.exe



C:\windows\system32\drivers\mzqdd.exe



C:\windows\system32\browideo.exe



C:\WINDOWS\System32\vsqysaaa.exe



:\WINDOWS\System32\iexplore.exe



C:\WINDOWS\System32\regscan.exe



C:\Documents and Settings\All Users\Documentos\Settings\arm32.dll



C:\WINDOWS\System32\vbsys2.dll







y elimina estas claves:



O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)



O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)



O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)



O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)



O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)



O21 - SSODL: IEFilter - {C52F74F8-51B3-4D18-8612-12F5CD5781D5} - C:\WINDOWS\system32\IEFilter.dll (file missing)



O21 - SSODL: Protocol Agent - {28BA8EFA-5AE1-4CDE-8588-9C3C1EEDB751} - C:\WINDOWS\System32\jobeui10.dll (file missing)



O23 - Service: .NET Runtime Optimization Service v1.000.3.1434 - Unknown owner - C:\WINDOWS\System32\swhfpaaa.exe (file missing)



O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)



O23 - Service: SP service (SPsys) - Unknown owner - C:\WINDOWS\System32\spsys.exe (file missing)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







y tienes configurados como servidores de DNS unos maliciosos de Ukraina !!! (85.255.114.21,85.255.112.190)



85.255.114.21 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



85.255.112.190 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company





Consulta a tu ISP y cuando tengas las IP de los que proceden seguiremos.





saludos



ms, 19-09-2007

[Kanorro]

He eliminado las claves que usted me dijo, pero la misma página de microsoft no me permite descargar el sp2, y el archivo de muestras no puedo enviárselo, ya que el antivirus del correo de yahoo y el de hotmail me dejan adjuntarlo.



Saludos.

[msc hotline sat]

Hablamos de desinstalar el SP2, no descargarlo de la pagina de microsoft , eso ya lo hará el update cuando se lance, tras haber podido reparar.



Para ello ir a Inicio -> Panel de Control -> Agregar o Quitar programas



y respecto al envio de muestras, desde hace 20 años lo hacemos a diario con McAfee , a base de empaquetar los ficheros en un ZIP o RAR con password VIRUS y asi nadie lo intercepta, tal como ya indicamos en el link que indicamos:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 20-09-2007

[msc hotline sat]

Recibidas muestras, si bien algunas son .PF que no nos sirven para monitorizar (son prefecth), las restantes pasan a ser controladas por las nuevas versiones de hoy del ELISTARA y del ELITRIIP, que podrán descargarse de esta web a partir de las 19 h GMT, para pruebas de evaluacion en el foro de zonavirus





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







saludos



ms, 25-09-2007

[Kanorro]

Aqui esta el resultado:



Sun Sep 30 13:13:34 2007

EliTriIP v3.93 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORE.EXE.Muestra EliTriIP v3.93

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IEXPLORE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINAMP.EXE.Muestra EliTriIP v3.93

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINAMP.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Sep 30 13:18:12 2007

EliTriIP v3.93 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Usuario\Escritorio\Nueva carpeta\regscan.exe --> Eliminado, Proxy.Horst



Sun Sep 30 13:21:50 2007

EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCCBXX] -> C:\WINDOWS\SYSTEM32\ddccbxx.dll

Key Eliminada [WinLogon\Notify\DDCCBXX] -> C:\WINDOWS\SYSTEM32\DDCCBXX.DLL

Key Eliminada [WinLogon\Notify\HGGHIFE] -> C:\WINDOWS\SYSTEM32\HGGHIFE.DLL

C:\WINDOWS\SYSTEM32\DDCCBXX.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\MZQDD.EXE --> Eliminado Resourcer o Patched.AF

C:\WINDOWS\SYSTEM32\VBSYS2.DLL --> Clicker.Agent.AC Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DDCCBXX.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\A0NUM724.DLL --> Eliminado Adware.XHelper(BHO)

C:\WINDOWS\SYSTEM32\VJCLWTRU.DLL --> JuanSearch(BHO) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DDCCBXX.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\HGGHIFE.DLL --> DownLoader.ConHook(notify) Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "_"="c:\windows\system32\drivers\mzqdd.exe"

Eliminada Class, "{54645654-2225-4455-44A1-9F4543D34546}" -> C:\WINDOWS\System32\vbsys2.dll

Eliminada Class, "{733E9132-53CA-4C97-9AC9-145C4502FA20}" -> C:\WINDOWS\system32\ddccbxx.dll

Eliminada Class, "{85589B5D-D53D-4237-A677-46B82EA275F3}" -> C:\WINDOWS\System32\A0num724.dll

Eliminada Class, "{CF46BFB3-2ACC-441B-B82B-36B9562C7FF1}" -> C:\WINDOWS\System32\vjclwtru.dll

Eliminado Servicio, "DomainService"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.114.21,85.255.112.190

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Sep 30 13:30:05 2007

EliStartPage v14.73 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCCBXX] -> C:\WINDOWS\SYSTEM32\ddccbxx.dll

Key Eliminada [WinLogon\Notify\DDCCBXX] -> C:\WINDOWS\SYSTEM32\DDCCBXX.DLL

C:\WINDOWS\SYSTEM32\DDCCBXX.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDCCBXX.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDCCBXX.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Eliminada Class, "{733E9132-53CA-4C97-9AC9-145C4502FA20}" -> C:\WINDOWS\system32\ddccbxx.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.114.21,85.255.112.190

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

El ELITRIIP detecta estos ficheros el una ruta atiica o erroneos:



Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORE.EXE.Muestra EliTriIP v3.93



Por favor, envienos una muestra del fichero

C:\Muestras\WINAMP.EXE.Muestra EliTriIP v3.93



Envienoslos para analizar



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y el ELISTARA encuentra CONHOOK en ficheros a los que no tiene acceso, pruebe de copiar el ELINOTIF.DLL en la misma carpeta del ELISTARA y vuelve a ejecutar este:




[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]





y por ultimo, persiste la configuracion de los servidores de INHOSTER como sus servidores de DNS... Asi le pueden llevar al huerto !



saludos



ms, 30-09-2007