no me va internet ni el fire ni el antivirus (SOLUCIONADO)

[pit23]

no se que mepasa, dejan de funcionarme las cosas, dejo de funcionar el fire el antivirus, no me dejaba ejecutar el hijac, y de repente no puedo entrar ni al mesenger ni a internet ni con explorer ni mozilla aqui va mi log





Logfile of HijackThis v1.99.1

Scan saved at 20:52:39, on 26/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\System32\khooker.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\NMapWin\bin\nmapserv.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\pit\Escritorio\ELIBAGLA.06032008.EXE

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\nutsrv4.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Archivos de programa\Rational\Rational Test\nutcroot\bin\ncoeenv.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IMC] C:\Archivos de programa\FriendFinder\FriendFinder Messenger 30\imc.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142364447762

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://tioartgallery.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{925A3E04-FA71-423B-9639-BB47480C1991}: NameServer = 80.58.61.250

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: NMap - Unknown owner - C:\Archivos de programa\NMapWin\bin\nmapserv.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

grache

[Claudia34]

Pues mientras descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469



Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.





Saludos.

[flacoroo]

bajate primero este archivo [url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url] lo jeecutas en modo normal y despues en modo seguro y ya despues haz lo que te dice Claudia34, ya despues nos pegas el resultado, y despues debes de reinstalar todos tus programas de proteccion: Antivirus, antispyware, etc....

[msc hotline sat]

Y del analisis del log del HJT, vemos esta clave que se debe eliminar:



O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)



pues:

http://www.bleepingcomputer.com/startups/shost.exe-1914.html



y por si existiera este fichero, mira de buscarlo con un Inicio -> Buscar -> Todos los ficheros y carpetas - SHOST:EXE y si lo encuentras, envianoslo para su alaisis y control



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 27-2-2008





NOTA: y esta ultima, eliminala tambien:



O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)



pues http://www.castlecops.com/o23list-784.html



y si encontraras el fichero, envianoslo tambien. ms.

[pit23]

ya hice todo lo que me indicasteis pero ejecutando elistar elitrip elibagla arrancando mi pc con un emulador de windows que evita que se cargue el original ya que no me es posible arrancar en modo a seguro porque el pc se salta ese paso y arranca en modo normal, no me encuentran nada el archivo de texto que me decis esta vacio, no puedo conectarme a internet establece conexion pero el explorer y el mozilla no cargan ninguna pagina.

si no encontrais algo en mi log no se que puede pasar, el antivirus y el fire ya los he hecho funcionar y no les pasa nada pero me sigue pasando lo indicado anteriormente, eliminare las claves indicadas y ya os contare.

la ultima actualizacion del elibagla la mande yo un hldrrr.exe, que al pasarlo me elimino

gracias

[msc hotline sat]

Pues la muestra enviada ya se controla con el actual ELIBAGLA 11.06





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 27-2-2008

[pit23]

yo uso elistar y demas herramientas de vez en cuando,hace 2 o tres dias pase una version de ellos antigua,y me dijo

que enviase muestaras del hldrrr.exe y las mande, junto con el infosat, actualizaron elibagla con la muestra

y me la elimino, despues me empezaron a pasar estos problemas y empece el post, pase todos otra vez y no me encuentran nada, pero sigo con todos los problemas anteriores.

no se que puede pasar

borrare las entradas y os cuento

gracias

[pit23]

no me deja eliminar ninguna de las entradas, que me has indicado

[msc hotline sat]

Se pide que cada vez que se prueba una utilidad de evaluacion, se postee el infosat.txt ...



Baja la ultima version del ELIBAGLA, 11.06 Y POSTEANOS EL INFOSAT, posiblemente indique ACCESO DENEGADO, en cuyo caso ya aplicaremos lo correspondiente, pero veamos el infosat, gracias



saludos



ms, 27-2-2008

[pit23]

aqui va lo que pone en infosat despues de pasar elibagla ultima version

Wed Feb 27 17:21:52 2008

EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 27 17:21:53 2008

EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9744

Nº Total de Ficheros: 84711

Nº de Ficheros Analizados: 12976

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pue no, no es el caso que impida ser eliminado, sino que al parecer no es conocido ???



Posteanos log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 28-2-2008

[pit23]

aqui va mi hij



Logfile of HijackThis v1.99.1

Scan saved at 15:00:26, on 28/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\NMapWin\bin\nmapserv.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\sistray.EXE

C:\WINDOWS\system32\khooker.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Interfaz de usuario de inicio d sesión de Windows] C:\program files\Common Files\system\logonui.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IMC] C:\Archivos de programa\FriendFinder\FriendFinder Messenger 30\imc.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142364447762

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://tioartgallery.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{925A3E04-FA71-423B-9639-BB47480C1991}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: NMap - Unknown owner - C:\Archivos de programa\NMapWin\bin\nmapserv.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

[msc hotline sat]

Pues envianos este fichero para analizar:



C:\program files\Common Files\system\logonui.exe





y elimina estas claves:



O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)



O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 28-2-2008

[pit23]

ya he mandado las muestras de logonui, encontre varios archivos con ese nombre pero no en la ruta que me indicaste, los mande todos

las entradas que dices no pudo eliminarlas

[msc hotline sat]

Hemos recibido varios ficheros pero no el que pediamos, que aunque se llame igual no es el de la carpeta de sistema, que nos has enviado



El que necesitamos es el que figura en tu log:



C:\program files\Common Files\system\logonui.exe



los otros que tengas no tienen porqué ser malwares, es mas, seguramente son del sistema.



saludos



ms, 28-2-2008

[pit23]

ese archivo en esa carpeta no figura, no figura ni la carpeta, ni en modo recuperacion de windows, no esta ai el fichero que me pides solo he dado con esos sin cargar el sistema operativo, estara oculto por un rootkit?

[msc hotline sat]

Si no puedes eliminar las claves es probable que esté en uso, oculto por lo que dices.



Mira si lo localizas viendo los ocultos o con atributo de sistema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Y si es el caso, renombralo a .VIR y arrancando en modo seguro luego miras de eliminar las claves



saludos



ms, 28-2-2008

[pit23]

yo arranco mi ordenador con un cd que se llama erdcomander, que evita que se cargue windows y en caso de no poder acceder puedes recuperar toda la informacion que desees, los archivos estan todos visibles porque no se ejecutan es como si no hubieses arrancado el ordenador, y aun asi no aparece los unicos que aparecen son los que os mande

[msc hotline sat]

Pues mejor que mejor, pero tampoco ves los que tienen atributo de oculto o de sistema, por lo cual conviene pruebes lo indicado, y si asi tampoco lo ves y no lo tienes, pues ya no insistiremos mas en ello.



En tal caso, por si hubiera algun RootKit, posteanos el log generado por esta aplicacion:





ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)

http://download.nai.com/products/mcafee ... ective.zip





y a la vista del mismo, obraremos en consecuencia



saludos



ms, 28-2-2008

[pit23]

voy a pasar que me dices, he estado mirando sobre shost y logonui y sobre shost.exe e encontrado una pagina interesante ,

http://www.symantec.com/security_response/writeup.jsp?docid=2003-082916-1108-99&tabid=2



el enlace que me has pasado no funciona

[msc hotline sat]

Sí, tienes razon, se copió mal:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



y celebro que te ayude el articulo de Symantec...



saludos



ms, 28-2-2008

[pit23]

estoy mirando cosas y intentando pasar antivirus pero sin internet va un poco lenta la cosa porque las bases no se actualizan y no logro mucho, contestare en la medida de lo posible, intento pasar kaspersky v 07 pero me rechaza todas las licencias, ya seguire informando porque tengo restringido el uso del pc, este desde el que escribo no es mio.

me he descargado las ultimas versiones de ilitrip elistar y elibagla las paso y os pongo el infosat mañana. gracias otra vez si encuentro algo os lo mando

[msc hotline sat]

Ya puestos, mira si te funciona el AV ONLINE de CA, arranca para ello en modo segur0 con funciones de Red, asi si hay suerte y detecta algo, incluso lo eliminará y todo !



https://www.eset.es/analisis-online/



saludos



ms, 29-2-2008

[pit23]

no puedo entrar en modo seguro el ordenador se rinicia normalmente

[msc hotline sat]

Pues lanzalo en modo normal, y por lo menos sabremos si tienes algo y obraremos en consecuencia, o mejor en este caso usa este otro, ya que no vamos a eliminarlo sino solo detectarlo si es que lo hay:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar





saludos



ms, 29-2-2008

[pit23]

no podia ni iniciar en modo a prueba de fallos ni conectarme a internet, no podia pasar el escaneo que me decias, pero instale el kaspersky v07 sin bases actualizadas y no me encontro nada, instale el nod 32 igual sin poder actualizar las bases porque no podia conectarme y escaneando sin ellas actualizadas me encontro dos archivos infectados y me los elimino, parece que ya todo va bien, siento no poder enviaros muestras pero necesitaba el ordenardor y esa a sido la unica forma de elminarlo gracias a todos

estas han sido las entradas

C:\System Volume Information\_restore{BD535BB1-E53D-4725-937A-E680E2CB17A2}\RP2\A0011987.EXE - Probablemente desconocido NewHeur_PE (Virus) [7]

C:\Documents and Settings\pit\Escritorio\ultimas de elistar\ELIBAGLA.08032008.EXE - Probablemente desconocido NewHeur_PE (Virus) [7]

hos mando dos muestras que me ha guardado en la carpeta de infectados, el elibagla me lo detecta como virus pero bueno, la primera yo creo que ha sido la importante

[msc hotline sat]

La deteccion del ELIBAGLA como infectado por nuevo desconocido es un falso positivo del antivirus que ha empleado, eso pasa en las mejores familias...



Y analizaremos la otra muestra que dice nos envia y la controlaremos, si procede, con nuestras utilidades (aunque me temo que sea copia del ELIBAGLA en el restore)



Asi que igual no podemos aprovechar nada, la pena es que no pudieras lanzar el escaneo ONLINE que te indicamos



Sea como fuere, ya que has eliminado los posibles virus (y mas) , damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 1-3-2009

[msc hotline sat]

Postcierre:



Recibido fichero con extension NQF (encriptado con XOR A5 parece ser de una carpeta de cuarentena) , corresponde al ELIBAGLA , y se supone un falso positivo del antivirus que está usando.



Ello nos puede pasar hasta a nosotros, lo que pasa es que nosotros corregimos rápido los falsos positivos mientras que a otros les cuesta mas... :roll:



saludos



ms, 4-3-2008