sigo con fcmedx y hldrrr, imposible librarme de ellos(CLOSED

pit23 · Mensaje por **pit23** » 07 Nov 2007, 12:28

aunque me las elimine sigo teniendolas y el ordenador sigue funcionando igual de lento no han desaparecido, por mas que analizo sigo con ellas aunque me ponga eliminadas siempre me pone lo mismo, he bloqueado registro de windows pero no sirve de nada.

ya tuve unproblema con fcmedx anteriormente, lo solucione con elistar pero ahora no hace nada, el hldrrr sigue sin marcharse y relentizando mi ordenador, el problema no esta solucionado.

Mensaje por **msc hotline sat** » 07 Nov 2007, 12:39

Pues localiza estos ficheros y envianoslos para analizar

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Aparte, mira si los puedes eliminar con el KILLBOX, sino lo podrías probar con el FILE ASASSIN:

http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp

saludos

ms, 7-11-2007

pit23 · Mensaje por **pit23** » 07 Nov 2007, 15:25

ya use killbox y sin resultado el que me dices lo usare ahora a ver que pasa, de buscar ya desisto no en cuentro nada me dice que esta en system32 y miro en modo recurperacion de windows y no veo ningun fcmedx ni hldrrr ni welcome ni nada de lo que me decis, solo un fc.exe o dll no se donde buscar ni como.

ya me parece que hace tiempo encontre un fcmedx.exe o dll y os lo mande, use despues elistar y se me fue el problema a reiniciar el pc porque me dijo elistar que se eliminaria al iniciar el pc y se soluciono, pero con este fcmedx no hay manera, creo que si esta el problema en el fcmedx.exe, pero no doy con el, puede ser que se cambie de nombre a laguno parecido?

por ejemplo fc.exe o algo asi?

si miras post anteriores mios veras que tuve un problema con este archivo

salud y rock and roll

Mensaje por **msc hotline sat** » 07 Nov 2007, 15:30

No, no, nada que ver con FC.exe

Lo raro es que se regeneren las claves... ???

Hoy vamos a subir un nuevo ELIBAGLA, pruebalo, porque al parecer tienes algo relacionado con él, pero muy oculto y desconocido...

saludos

ms, 7-11-2007

pit23 · Mensaje por **pit23** » 07 Nov 2007, 15:36

espero impaciente elibagla porque ya me estoy empezando a desesperar, he bloqueado regedit a ver si pasa algo y eliminado restaurar sistema estoy empezando a especializarme en esto ya a base de darle,

es hldrrr

Mensaje por **msc hotline sat** » 07 Nov 2007, 15:47

Bueno, como que esta mañana hemos implementado 10 nuevas muestras al respecto y estabamos a la espera de implementar el control de las que fueran llegando, vamos a compilar el ELIBAGLA actual, y en 15 minutos te lo subo para que lo pruebes.

Te informare cuando lo haya hecho

saludos

ms, 7-11-2007

Mensaje por **msc hotline sat** » 07 Nov 2007, 15:54

Venga, ya puedes probarla

https://foros.zonavirus.com/aqui-vp119768.html#119768

saludos

ms, 7-11-2007

Mensaje por **msc hotline sat** » 07 Nov 2007, 15:57

Te recuerdo:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 7-11-2007

pit23 · Mensaje por **pit23** » 07 Nov 2007, 21:42

nada de nada pero siguen ai fcmedx y hldrrr sigo viendo y borrando sus registros y siguen apareciendo, el ordenador sigue igual

Wed Nov 07 17:53:32 2007

EliBagle v10.67 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Nov 07 17:53:34 2007

EliBagle v10.67 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 9062

Nº Total de Ficheros: 85441

Nº de Ficheros Analizados: 14036

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

una pregunta,

puedo arrancar con un emulador de windows o algo parecido como erd comander o alguna aplicacion parecida que busque archivos sin arrancar el sistema me han dicho que hay aplicaciones para ello, a ver si encuentro alguno y lo puedo eliminar o mandaroslo

Claudia34 · Mensaje por **Claudia34** » 08 Nov 2007, 02:12

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Mensaje por **msc hotline sat** » 08 Nov 2007, 07:20

Pues nada, a ver si con los AV ONLINE indicados por Claudia detectas algo, ya nos contarás

Mientras, ve probando las nuevas versiones de ELIBAGLA que vamos haciendo, pues esta mosca la tenemos detrás de la oreja (quizás por eso no la vemos :wink: )

saludos

ms, 8-11-2007

pit23 · Mensaje por **pit23** » 08 Nov 2007, 12:11

ayer hice unas cosas, entre con el erd cmander a mi ordenador, entre a los registros que estan bloqueados en windows, porque los bloquee yo, borre todas las entradas de registro de hldrrr, fcmedx, welcome, cryptoforge y un tal =083 que me dicen tiene que ver con hldrrr, tambien use una aplicacion que sirve para borrar procesos que se arrancan solos, autoarranque dentro tambien de erd comander y me encontro hldrrr kewelcomereboot y un win32 todos ellos sin rutas, los elimine,y al volverlos a buscar con ese programa no me aparecian;

luego arranque windows normalmente, y como tengo los regstros bloqueados me ha quedado un log como este:

Logfile of HijackThis v1.99.1

Scan saved at 11:58:41, on 08/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Documents and Settings\bea\Escritorio\HT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: GN-WIKG Utility.lnk = C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143936916109

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-514232ec889cf491.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/en-US/TSEasyInstallX.CAB

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

eos si hay algo que sigue trabajando por ai que me toca las narices y no se que es, aunque parece que esto va un poco mejor, de momento y me carga el antvirus

Mensaje por **msc hotline sat** » 08 Nov 2007, 12:54

Sí, algo tienes que ha desactivado la edicion del REGEDIT...

Prueba el ELISTARA para normalizarlo

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Aparte elimina estas claves:

O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y como que tienes por ahí un Root Kit, tras hacer lo indicado, proximos HJT lanzalos en modo segur0 , pues sino pueden ser ocultados.

saludos

ms, 8-11-2007

pit23 · Mensaje por **pit23** » 08 Nov 2007, 13:45

el registro lo he desabilitado yo, las claves que me dices no puedo eliminarlas,

y no encuentro los archivos por ninguna de las maneras, solo he encontrado un srsvc.dll

los antivirus online nada

Mensaje por **msc hotline sat** » 08 Nov 2007, 15:19

Mira si con Inicio -> Buscar los encuentras, y sino pruebalo en modo seguro.

Es muy importante lo que dices, pues si no las puedes eliminar es porque están en uso, y por tanto están...

Y el que no los puedas ver es una señal de un posible RootKit que los esconde... igual es lo que estamos buscando !!!

A ver si los encuentras y nos los puedes enviar. gracias

saludos

ms, 8-11-2007

pit23 · Mensaje por **pit23** » 08 Nov 2007, 15:56

ya lo he intentado de todas las formas y solo he dado con un srsvc que os he enviado a ver si es algo de eso, ya no se como buscarlos, no me aparecen ni en modo recuperacion de windows, seguire buscando

Mensaje por **msc hotline sat** » 08 Nov 2007, 16:13

Recibido fichero, es del sistema operativo de windows, XP SP2, no es eso.

ms.

Mensaje por **msc hotline sat** » 08 Nov 2007, 16:21

Bueno, este no es, deja la clave ya que hemos encontrado el fichero y es bueno, es que eso de FILE MISSING sale tanto cuando no está como cuando está oculto, y en este caso estaba oculto, pero era bueno.

Pero ha servido para mirar qué podia ser el otro, y BINGO !, creo que es el que nos ha hecho perder tanto tiempo:

http://greatis.com/appdata/d/SysDir/k/kernlx86.exe_Removal.htm

es un rootkit que si no encuentras por las buenas, habremos de arrancar en consola de recuperacion (con el CD de instalacion) y sacarlo a un disquete u otro medio, y enviarnoslo para analizar.

Esta claro que si no puedes eliminar la clave es que está en uso, y el primero vale, ya lo has encontrado, pero este segundo... hemos de encontrarlo sin arrancar con él, y la manera es hacerlo con el CD de instalacion y seleccionar R, entrar en la consola y buscar el fichero y enviarnoslo para analizar

saludos

ms, 8-11-2007

Mensaje por **msc hotline sat** » 08 Nov 2007, 16:40

Incluso puede que veamos el fichero sin necesidad de arrancar de esta forma:

Desde una ventada al DOS haz un NETSTOP WNKRN <enter> a ver si detenido el servicio ya vemos el fichero kernlx86.exe, incluso lanzando entonces un HJT ya no dice FILE MISSING !!!

Enhorabuena, que vemos la luz !

Incluso tras enviarnos la muestra de dicho fichero, podremos probar con un SC DELETE WNKRN <enter> a ver si matamos proceso y fichero, pero no antes de enviarnos la muestra !!!

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 8-11-2007

pit23 · Mensaje por **pit23** » 08 Nov 2007, 17:55

no estoy con mi pc pero esta noche en cuanto llegue sera lo primero que haga.

ese kernlx86 ya lo busque haciendo lo de recuperar con el cd de windows y no lo encontre en system32 di con uno que era kernl32 o algo parecido, pero con todo lo que me dices intentare sacar algo a ver que pasa.

¿si entro con el cd de windows y doy con el en modo recuperacion del sistema y le cambio los permisos del fichero de oculto y fichero del sistema me aparecera?¿o cambio su nombre a .vir?

ire haciendo y esta noche os lo mado a ver si puedo

Mensaje por **msc hotline sat** » 08 Nov 2007, 18:03

Eso es lo que pensamos, que sea un ROOTKIT que se oculte si arrancas con el disco duro, pero no arrancando desde CD.

Pero antes, prueba lo del NETSTOP o incluso podriamos probar de deternet el servicio con SC STOP WNKRN <enter> y a ver si a continuacion con un dir \kernlx86.exe /a /s ya lo vieras, en tal caso estamos salvados !

Quien persevera logra, pero hay que perseverar mucho para pescar tiburones, a pesar de que este es gordo !!!

saludos

ms, 8-11-2007

pit23 · Mensaje por **pit23** » 09 Nov 2007, 01:41

bueno he hecho algo de lo que me has dicho he descargado runreg y me ha encontrado los dos srsvc.exe y kernlx86 me los ha eliminado directamente ya no me aparecen en el log de hit, el fayo ha sido hacer eso y no encontralos y mandaroslos.

aun me queda algo que no se que es que me quita la opcion de opciones de carpeta, me la a eliminado y no puedo acceder a ella, aqui os dejo mi nuevo log

Logfile of HijackThis v1.99.1

Scan saved at 0:54:38, on 09/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\bea\Escritorio\EliBaglA.exe

C:\ARCHIV~1\Greatis\REGRUN~1\regrun2.exe

C:\Documents and Settings\bea\Escritorio\HT.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe

O4 - HKLM\..\Run: [@RegRunOnSecure] C:\ARCHIV~1\Greatis\REGRUN~1\OnSecure.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Regrun2] C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

O4 - HKCU\..\Run: [Registry] "C:\Archivos de programa\Greatis\RegRunSuite\lsoon.exe" -1 30 "C:\Archivos de programa\Greatis\RegRunSuite\rescue.exe" /a "c:\backreg\rstore.ini"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: GN-WIKG Utility.lnk = C:\Archivos de programa\Gigabyte\Gigabyte GN-WIKG Wireless Mini PCI Adapter\Installer\WINXP\GNConfig.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143936916109

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/es/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-514232ec889cf491.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/en-US/TSEasyInstallX.CAB

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

pit23 · Mensaje por **pit23** » 09 Nov 2007, 03:05

lo de opciones de carpeta resuelto al pasar el nuevo elistar, me encontro esto,

Fri Nov 09 01:43:37 2007

EliBagle v10.67 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Nov 09 01:52:32 2007

EliStartPage v14.99 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado ShellServiceObjectDelayLoad, "CDRecorder029" -> SpamTool

Eliminados Ficheros Temporales del IE

pero el ordenador me parece que sigue funcionando lento el reproductor de musica va algunas veces lento, algo sigue trabajando por ai

Mensaje por **msc hotline sat** » 09 Nov 2007, 07:07

Pues que mal !

Le indiqué el link para que viera informacion sobre el troyano, no para que pasara el RUNREG, eso no se lo hemos dicho nunca, pues eliminadas las pistas ha quemado las naves, y de nada nos sirve el trabajo hecho de cara al futuro, para controlar el desconocido y ayudar a los demas con ello, que es la funcion del foro, pero en fin, si a Vd le ha servido, cerramos el Tema definitivamente y cuente con los de RUNREG a partir de ahora, ya que a nosotros nos ha fastidiado!

Despues de 63 post (44 del inicial y 21 de este) no esperabamos que nos dejara de banda y tomara esta iniciativa.

Pues nada, vivir para ver, tema cerrado!

ms.

sigo con fcmedx y hldrrr, imposible librarme de ellos(CLOSED

sigo con fcmedx y hldrrr, imposible librarme de ellos(CLOSED

el kill ya lo use y nada

espero impaciente

mi infosat de elibagla

mi log nuevo

eso ya lo he hecho

ya lo he hecho de todas las maneras

voy a intentarlo

me parece que estamos terminando con ellos

problema de opciones de carpeta solucionado