Me satura intenet por el puerto 25 :-S (SOLUCIONADO)

araña13 · Mensaje por **araña13** » 21 Feb 2008, 12:51

Hola os envio el log haber si me podeis ayudar que he probado de todo pero enseguida vuelve no hay forma el ordenador va bien pero internet no va y he mirado porque algo esta enviando mensajes por el puerto 25 sin parar me podeis ayudar...

Gracias de antemano..

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:56:25, on 18/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Labtec NumPad\Magickey.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\ARCHIV~1\SMC\SMC286~1.0AD\PRISMS~1.EXE

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://buscador.eresmas.com?skin=mini

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.es

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: (no name) - {0237F865-3DC6-4E27-5787-64A20F74C01B} - (no file)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {46BE25C8-5A6C-44D8-BF67-38BDDF3F50F7} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6ab31242-86b6-4310-a010-b3e43491913f} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {8CCFE5A0-2025-411B-9CD2-1A2DE66F4A7C} - (no file)

O2 - BHO: (no name) - {AC074CD1-1553-4C92-9AD1-6A78BA38ABEE} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O2 - BHO: (no name) - {EDAFD813-608C-4F29-DE2E-4BE6078158E1} - (no file)

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Enable Labtec NumPad.lnk = C:\Archivos de programa\Labtec NumPad\Magickey.exe

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: SMC2862W-G EZ Connect g 802.11g Wireless USB Utility.lnk = C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

O15 - Trusted Zone: *.adultfinger.com

O15 - Trusted Zone: http://www.citibank.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{03B96336-68A8-4F3C-B495-B4705652F965}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A0788AA-7CEF-4C69-829A-E5723D80E39E}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCCCF620-0A99-4809-A7B5-F953B47FBB90}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9B506D-E429-4AA4-8916-35B1C574C034}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.21 85.255.112.137

O17 - HKLM\System\CS1\Services\Tcpip\..\{03B96336-68A8-4F3C-B495-B4705652F965}: NameServer = 85.255.115.21,85.255.112.137

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\..\{03B96336-68A8-4F3C-B495-B4705652F965}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\..\{03B96336-68A8-4F3C-B495-B4705652F965}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: tsrxmwtz - tsrxmwtz.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe (file missing)

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Microsoft P2P2 Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

--

End of file - 11591 bytes

Mensaje por **msc hotline sat** » 21 Feb 2008, 13:02

Tienes tela larga para cortar en este ordenador !!!

Empezando por el servidor de DNS, que lo tienes configurado con estas IP:

85.255.115.21 85.255.112.137, que corresponden a DNS servers maliciosos de Ukraina:

85.255.115.21 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.

85.255.112.137 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.

y siguiendo por asignacion de sitios seguros a determinadas webs, como

O15 - Trusted Zone: *.adultfinger.com

clave que sugiero eliminar, y otras muchas hierbas...

>~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Empieza por probar el ELISTARA y tras ello nos posteas el c:\infisat.txt resultante y lanzas de nuevo el HJT y nos posteas nuevo log, y veremos por donde seguirmos... :roll:

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 21-2-2008

araña13 · Mensaje por **araña13** » 21 Feb 2008, 14:14

Gracias por la ayuda por lo menos ya no me veo tan solo en este asunto porque los antivirus y antispy por ellos mismos no solucionan nada.

Me has dejado impresionado con los DNS que fuerte que me lo hayan cambiado el DNS empezaré por ello espero lo consiga solucionar poco a poco con tu ayuda.Gracias de nuevo sigo en ello.....Mañana estoy de viaje pero poco a poco haber si esta noche empiezo por el DNS.

Mensaje por **msc hotline sat** » 22 Feb 2008, 07:33

Para ello disponemos del CONFGDNS, pruebalo:

http://www.zonavirus.com/descargas/confgdns.asp

saludos

ms, 22-2-2008

arana13 · Mensaje por **arana13** » 22 Feb 2008, 08:52

Gracias lo haré con ese programa pero a partir del lunes que este finde no tendré ese portatil que estoy de viaje.

Le daré a eliminar todo eso haber que tal responde y pego el log haber por donde seguir ;)

Saludos

P.D: Por cierto no he podido entrar con el usuario Araña13 y he tenido crear este arana13 no entiendo porque he pedido el password y lo pongo bien que raro pero bueno seguiré con arana13 igual la ñ da problemas que en otros foros me ha pasado.

Mensaje por **msc hotline sat** » 22 Feb 2008, 13:00

Lo del password y nick es posible que sea por la nueva version del foro que estamos implementando, igual no reconoce ñas eñes...

Pero nuestro ADMIN está apañando todas las anomaías que detectamos y pronto estará como el antiguo (esperemos)

Y el lunes cuando vuelvas, sigue con lo indicado

saludos

ms, 22-2-2008

arana13 · Mensaje por **arana13** » 26 Feb 2008, 08:43

Hola ya he vuelto de viaje y he podido dedicarle tiempo al ordenador y he limpiado las lineas del registro indicadas en anteriores repuestas en modo seguro con HijackThis. Luego le he pasado el ELISTARA y luego el SPYbot y luego el superantispyware , despues el Cleaner y por ultimo el panda en local todo ello en modo seguro y bueno creo han encontrado lo de dns como siempre pero siempre me volvia pero ahora al tener el registro bien espero funcione bien porque ayer en algun paso intermedio aun no lo vi muy alla :-S pero no me dio tiempo a probar bien.

Lo que no he echo es ir a borrar ningún fichero a ningun sitio si ves algo del antiguo log que implique despues borrar fichero me avisas que no lo he echo.

En principio las ip de los DNS las tengo configuradas que vaya automaticamente asi que supongo que no hace falta la ponga con el CONFGDNS porque me pide una ip y no la tengo? Yo tengo telefonica.

Bueno al final no me he podido volver a pasar el ELISTARA. Te envio el log de HijackThis de anoche haber si me puedes seguir ayudando. Yo en principio eliminé tambien las lineas que pone en el otro mensaje repetido que envié sin querer al apretar 2 veces y me pusiste alli alguna cosa mas.

MUCHAS Gracias por la ayuda.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:05:53, on 26/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\IFACE.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PAVJOBS.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Sergi\Escritorio\ELISTARA.31022008.EXE

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Enable Labtec NumPad.lnk = C:\Archivos de programa\Labtec NumPad\Magickey.exe

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: SMC2862W-G EZ Connect g 802.11g Wireless USB Utility.lnk = C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: Satinfo - C:\WINDOWS\

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

--

End of file - 7253 bytes

Mensaje por **msc hotline sat** » 26 Feb 2008, 10:15

Elimina estas claves:

O1 - Hosts: 62.81.237.170 auto.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: (no name) - {0237F865-3DC6-4E27-5787-64A20F74C01B} - (no file)

O2 - BHO: (no name) - {46BE25C8-5A6C-44D8-BF67-38BDDF3F50F7} - (no file)

O2 - BHO: (no name) - {6ab31242-86b6-4310-a010-b3e43491913f} - (no file)

O2 - BHO: (no name) - {8CCFE5A0-2025-411B-9CD2-1A2DE66F4A7C} - (no file)

O2 - BHO: (no name) - {AC074CD1-1553-4C92-9AD1-6A78BA38ABEE} - (no file)

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O2 - BHO: (no name) - {EDAFD813-608C-4F29-DE2E-4BE6078158E1} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O15 - Trusted Zone: *.adultfinger.com

_________

Tienes configurados como servidores de DNS unos maliciosos de Ukraina:

85.255.115.21 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.

85.255.112.137 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.

Pide a tu ISP los que te recomienda y sustituyelos con el CONFGDNS:

http://www.zonavirus.com/descargas/confgdns.asp

_______

y mira si encuentras estos ficheros y lo envias para analizar:

tsrxmwtz.dll (posiblemente esté oculto)

aparte elimina su clave de lanzamiento:

O20 - Winlogon Notify: tsrxmwtz - tsrxmwtz.dll (file missing)

_______

y mira si encuentras este fichero y lo envias para analizar:

exm.exe (posiblemente esté oculto)

aparte elimina su clave de lanzamiento:

O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe (file missing)

_____

Mira si encuentras este fichero, seguramente oculto, y nos lo envias para analizar:

C:\WINDOWS\system32\_svchost.exe (fijate en el guion bajo como primer digito)

y aparte elimina su clave de lanzamiento:

O23 - Service: Microsoft P2P2 Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

______

y tras ello analizaremos las muestras solicitadas e informaremos. Aparte despues de eliminar las claves y reiniciar, cuentanos si persiste el problema.

saludos

ms, 26-2-2008

NOTA:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

arana13 · Mensaje por **arana13** » 26 Feb 2008, 19:48

Hola aqui seguimos os envio el log y siento decir cambio los dns y parece lente pero algo va internet pero va muy mal sigue saturado y incluso al reiniciar me quita la linea de Dns validos pero no pone ninguna y con el programa DNS que me propones sale en blanco no entiendo nada :-S

Y encima vuelve a pasar como al principio alguna vez se reinicia solo dando un pantalla azul de error grave y tengo reiniciar :-S

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:38:47, on 26/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Labtec NumPad\Magickey.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\ARCHIV~1\SMC\SMC286~1.0AD\PRISMS~1.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Enable Labtec NumPad.lnk = C:\Archivos de programa\Labtec NumPad\Magickey.exe

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: SMC2862W-G EZ Connect g 802.11g Wireless USB Utility.lnk = C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=laptop

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{102DE48F-81C3-4FC3-A6E4-22AEE62ADE0A}: NameServer = 80.58.0.97,80.58.32.33

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: Satinfo - C:\WINDOWS\

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

--

End of file - 8701 bytes

Por cierto no me fio nada de esta linea creo es lo qjue me reinica ordenador :-S

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Y de esta tampoco:

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

Gracias por ayuda no entiendo nada

Claudia34 · Mensaje por **Claudia34** » 26 Feb 2008, 21:53

Peganos si es posible el log del elistara como se te pide.

Descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.

Saludos.

Mensaje por **flacoroo** » 26 Feb 2008, 22:43

Para arana13:

[color=#0000FF]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/color]

[color=#00BF00]Descripcion: Windows Error Reporting, Dump Reporting Tool - DUMPREP crea informes de errores que puedes enviar a Microsoft contestando "Sí" cuando se te pida permiso para enviar tales informes. En el caso de errores graves que implican el reinicio inmediato del sistema se crea esta entrada para que se pueda enviar el error despues del reinicio. Una vez creada tiene la mala acostumbre de quedarse ahì y no eliminarse automaticamente en el siguiente reinicio como deberìa.[/color]

[color=#0040FF]O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe[/color]

[color=#00BF00]ati2mdxx.exe forma parte de los controladores de tarjetas gráficas de ATI en su versión RADEON. Se trata de un proceso categorizado como de no riesgo y cuyo funcionamiento no es esencial para la estabilidad del sistema. No es necesario ni recomendable realizar ninguna acción de protección, cierre y/o bloqueo a no ser que se sepa que el proceso está ocasionando problemas o la inestabilidad del sistema. ati2mdxx.exe es un proceso que esta registrado como ATI Technologies Process. [/color]

no hay ningun problema en esas lineas de registros...solo sigue las instucciones que se te da y si tienes alguna duda mejor pregunta y podremos contestarte

Mensaje por **msc hotline sat** » 27 Feb 2008, 06:24

Y del log del HJT solo cabe iondicar que elimines esta clave:

O20 - Winlogon Notify: Satinfo - C:\WINDOWS\

que no está completa, posiblenmente era para instalar el ELINOTIF ??? pero en cualquier caso ahora sobra, eliminala:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 27-2-2008

arana13 · Mensaje por **arana13** » 27 Feb 2008, 09:35

Hola primero gracias a todos por el interés espero lo podamos conseguir. Primero decir a Claudia he pasado el ELISTARA ya varias veces he incluso he intalado una actualizacion de Windows que me decia imprescindible pero como el ordenador se me reiniciaba varias veces el unico mensaje ha quedado es ese anoche reenvie otro pero no llegó y decidí dejarlo ayer.

Este noche cuando llegue haré lo que me dices y en cuanto pueda os lo posteo para me podais ayudar.

Supongo por lo que me decís debo desistalar el panda porque no me sirve de nada aunque esté actualizado porque esta en local y no se entera de nada de la pelicula. Lo de hacer on line las cosas en complicado ya que internet no sule ir aunque a veces le doy a inmunizar del spynot y consigo vaya pero bueno en prueba de fallos suele ir mas veces ya veremos.

Respecto a los archivos me deciais os enviara no he encontrado ninguno en el pc lo veo muy raro pero bueno habrá echo algo el panda o alguno de los que pasé.

Y respecto a O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k en princnipio anoche la elimine porque vi en algun sitio era un troyano y parece se me fué lo de reiniciar ordenador por pantallazo y error grave pero cuando vuelvo a reiniciar vuelve aparece pero parece ya no se reinica asi que si decis esta bien por ahora lo dejo.

Gracias a todos de nuevo no abandonarme que a la noche os cuento mas cosas.

arana13 · Mensaje por **arana13** » 27 Feb 2008, 11:16

Ahh y por si os sirve de pista la linea de los Dns, los cambios con el ConfigDNS y aparece como esta en el log

O17 - HKLM\System\CCS\Services\Tcpip\..\{102DE48F-81C3-4FC3-A6E4-22AEE62ADE0A}: NameServer = 80.58.0.97,80.58.32.33

Al reiniciar desaparece aunque creo será porque esta configurado para coger una automaticamente DHCP y creo en este caso coje otras parecidas del rango que creo si que es valida de Telefonica asi que creo que lo de Dns sino pensais lo contrario puede estar solucionado.Pero lo que si que veo es al darle en Ms-dos; c:\ipconfig /displaydns pues imaginais que la infinidad de direcciones que aparecen y que no conozco ninguna es lo que hace vaya todo mal pero donde se mete lo que hace enviar esa cnatidad informacion :-S

Bueno con vuestra ayuda lo encontraremos ;)

Mensaje por **msc hotline sat** » 27 Feb 2008, 11:53

La cuestion es que ya no apuntas a las maliciosas de Ukraina !

Y las que indicas ahora de Telefonica, aunque geograficamente lejanas, pero mejor, porque asi si está caida una, la de reserva es mas probable que no esté afectada:

80.58.0.97 ES Spain 58 Galicia Narón 43.5167 -8.1529 Telefonica de Espana Telefonica de Espana

80.58.32.33 ES Spain 60 Comunidad Valenciana Valencia 39.4667 -0.3667 Telefonica de Espana Telefonica de Espana

Asi que lo de los DNS, solucionado

Dinos si persiste alguna otra anomalía o ya consideras solucionado el Tema, gracias

saludos

ms, 27-2-2008

arana13 · Mensaje por **arana13** » 27 Feb 2008, 12:22

Aun persiste el problema de saturacion de internet y el puerto 25. Lo de Dns no se quedan al final esos ya te diré esta noche los que se quedan exactamente ~~[b]~~[i]a ver[/i][/b] si me puedes decir de donde son pero creo son otros de telefonica, que coje por DHCP.

Intentaré pasar el ELITRIIP que es el unico aun no he pasado y otro vez alguno mas haber si soluciona el problema y os voy contando.

Gracias

Mensaje por **msc hotline sat** » 27 Feb 2008, 15:09

Te deciamos que probaras el ELISTARA y nos postearas el contenido de c:\infosat.txt, pero si dices que quieres tambien pasar el ELITRIIP, perfecto, mientras tras los dos nos postees el infosat.txt, que es donde los dos guardan la informacion del proceso y demás, recuerdalo.

saludos

ms, 27-2-2008

arana13 · Mensaje por **arana13** » 28 Feb 2008, 09:54

:cry: bueno parece ser nada de lo hecho por ahora ha dado resultado o eso parece a simple vista :cry:

Os tengo decir anoche le pasé a prueba de fallos y restauración del sistema desactivado. Tanto el ELISTARA como el ELISTRIIP y la verdad es que el ELISTARA no ha encontrado nada y el ELISTRIIP 3 pequeños troyanos que se repetian y eran *.inf sin mayor importancia o eso creo, pero cuando intenté conectarme y copiarlo para el foro se me reiniciaba otra vez el ordenador con pantallazo azul y error grave :-S

Nosé por donde seguir porque he probado todo y sigue igual. Si os sirve de algo al inicial en modo normal sigue sin ir internet para mi porque yo veo si que hay mucho trafico y se activa lo de restaurar sistema :-S

Y en prueba de fallos se me reinica y no puedo pasarle los antivirus que me comentais on-line ya nose por donde seguir.

Se os ocurre siguiente paso a seguir o os envio algo que os pueda dar una pista que no sé por donde seguir... :cry:

Mensaje por **msc hotline sat** » 28 Feb 2008, 11:16

Los .INF pueden ser muy significativos, ya que los AUTORUN CON DICHA EXTENSION PUEDEN SER LANZADORES DE VIRUS.

Posteanos el contenido de c:\infosat.txt , como siempre se ha de hacer tras probar nuestras utilidades de evaluacion y procederemos en consecuencia.

saludos

ms, 28-2-2008

arana13 · Mensaje por **arana13** » 28 Feb 2008, 12:41

Vale esta noche os lo pego aqui ~~[b]~~[i]a ver[/i][/b] si veis la luz porque yo ya nosé que hacer.Le he pasado de todo y nada :-S

Gracias

Mensaje por **msc hotline sat** » 28 Feb 2008, 13:08

Pues esta noche aprovecha y lanza este AV ONLINE y nos posteas tambien el resultado:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.

No te olvides de postearnos los dos informes, el del infosat,txt y este del AV ONLINE, con un copiar y pegar, en el post de restuesta a este Tema.

saludos

ms, 28-8-2008

saludos

ms, 28-2-2008

arana13 · Mensaje por **arana13** » 28 Feb 2008, 13:30

Lo intentaré pero internet va muy irregularmente y anoche se me reinicaba en algun momento on-line pero intentaré pasar lo que me dices ~~[b]~~[i]a ver[/i][/b] si da mas pistas.

Saludos.

Mensaje por **msc hotline sat** » 28 Feb 2008, 19:07

Pues ya podría ser por tema de hardware o de linea...

Revisa tambien router, sincronismo, tiempo de vida de la conexion, y si no detectas nada con el AV ONLINE, convendrá lo comentes con tu ISP, que igual sabe algo al respecto ...

saludos

ms, 28-2-2008

arana13 · Mensaje por **arana13** » 28 Feb 2008, 22:07

Yo descartaria lo de problemas hardware o de ISP porque en modo prueba que estoy ahora suele ir perfecto y sin embargo en modo normal no va pero la targeta no para de enviar informacion y el buffer de direcciones usadas Dns es inmenso y parece por el puerto 25 no para de enviar cosas segun un programita he puesto :-S

Así que os envio los logs de ELISTARA:

Wed Feb 27 23:44:37 2008

EliStartPage v15.71 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6308

Nº Total de Ficheros: 92374

Nº de Ficheros Analizados: 26209

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Feb 28 00:21:54 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Y el ELISTRIPIP:

Quizas este segun lo que decias antes os pueda dar la pista definitiva:

Wed Feb 27 23:17:34 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\SWSetup\Btooth\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SWSetup\DVD\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\SWSetup\Misc1\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 6333

Nº Total de Ficheros: 92397

Nº de Ficheros Analizados: 24874

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Y ahora estoy pasando el Av on-line que me habiais dicho cuando acabe os envio el informe que seguro lo encontrais ;)

Gracias.ciao

Mensaje por **flacoroo** » 28 Feb 2008, 22:53

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

posteandonos el SPROCLOG.TXT que te generará el SPROCES

para ver que bichos tienes......

arana13 · Mensaje por **arana13** » 28 Feb 2008, 23:14

Gracias flacoroo este programa creo desvela lo que decia:

Thu Feb 28 23:07:58 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ORBITDOWNLOADER\ORBITDM.EXE

C:\ARCHIVOS DE PROGRAMA\ORBITDOWNLOADER\ORBITNET.EXE

C:\DOWNLOADS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 http://www.007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 http://www.008k.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 http://www.00hq.com

O1 - Hosts: 127.0.0.1 010402.com

O1 - Hosts: 127.0.0.1 032439.com

O1 - Hosts: 127.0.0.1 http://www.032439.com

O1 - Hosts: 127.0.0.1 1001-search.info

O1 - Hosts: 127.0.0.1 http://www.1001-search.info

O1 - Hosts: 127.0.0.1 100888290cs.com

O1 - Hosts: 127.0.0.1 http://www.100888290cs.com

O1 - Hosts: 127.0.0.1 100sexlinks.com

O1 - Hosts: 127.0.0.1 http://www.100sexlinks.com

O1 - Hosts: 127.0.0.1 10sek.com

O1 - Hosts: 127.0.0.1 http://www.10sek.com

O1 - Hosts: 127.0.0.1 123topsearch.com

O1 - Hosts: 127.0.0.1 http://www.123topsearch.com

O1 - Hosts: 127.0.0.1 132.com

O1 - Hosts: 127.0.0.1 http://www.132.com

O1 - Hosts: 127.0.0.1 136136.net

O1 - Hosts: 127.0.0.1 http://www.136136.net

O1 - Hosts: 127.0.0.1 139mm.com

O1 - Hosts: 127.0.0.1 http://www.139mm.com

O1 - Hosts: 127.0.0.1 163ns.com

O1 - Hosts: 127.0.0.1 http://www.163ns.com

O1 - Hosts: 127.0.0.1 171203.com

O1 - Hosts: 127.0.0.1 17-plus.com

O1 - Hosts: 127.0.0.1 1800searchonline.com

O1 - Hosts: 127.0.0.1 http://www.1800searchonline.com

O1 - Hosts: 127.0.0.1 180searchassistant.com

O1 - Hosts: 127.0.0.1 http://www.180searchassistant.com

O1 - Hosts: 127.0.0.1 180solutions.com

O1 - Hosts: 127.0.0.1 http://www.180solutions.com

O1 - Hosts: 127.0.0.1 181.365soft.info

O1 - Hosts: 127.0.0.1 http://www.181.365soft.info

O1 - Hosts: 127.0.0.1 1987324.com

O1 - Hosts: 127.0.0.1 http://www.1987324.com

O1 - Hosts: 127.0.0.1 1-domains-registrations.com

O1 - Hosts: 127.0.0.1 http://www.1-domains-registrations.com

O1 - Hosts: 127.0.0.1 1-extreme.biz

O1 - Hosts: 127.0.0.1 http://www.1-extreme.biz

O1 - Hosts: 127.0.0.1 1sexparty.com

O1 - Hosts: 127.0.0.1 http://www.1sexparty.com

O1 - Hosts: 127.0.0.1 1stantivirus.com

O1 - Hosts: 127.0.0.1 http://www.1stantivirus.com

O1 - Hosts: 127.0.0.1 1stpagehere.com

O1 - Hosts: 127.0.0.1 http://www.1stpagehere.com

O1 - Hosts: 127.0.0.1 1stsearchportal.com

O1 - Hosts: 127.0.0.1 http://www.1stsearchportal.com

O1 - Hosts: 127.0.0.1 2.82211.net

O1 - Hosts: 127.0.0.1 http://www.2006ooo.com

O1 - Hosts: 127.0.0.1 2007-download.com

O1 - Hosts: 127.0.0.1 http://www.2007-download.com

O1 - Hosts: 127.0.0.1 2020search.com

O1 - Hosts: 127.0.0.1 http://www.2020search.com

O1 - Hosts: 127.0.0.1 20x2p.com

O1 - Hosts: 127.0.0.1 24.365soft.info

O1 - Hosts: 127.0.0.1 http://www.24.365soft.info

O1 - Hosts: 127.0.0.1 24-7pharmacy.info

O1 - Hosts: 127.0.0.1 http://www.24-7pharmacy.info

O1 - Hosts: 127.0.0.1 24-7searching-and-more.com

O1 - Hosts: 127.0.0.1 http://www.24-7searching-and-more.com

O1 - Hosts: 127.0.0.1 24teen.com

O1 - Hosts: 127.0.0.1 http://www.24teen.com

O1 - Hosts: 127.0.0.1 2every.net

O1 - Hosts: 127.0.0.1 http://www.2every.net

O1 - Hosts: 127.0.0.1 2ndpower.com

O1 - Hosts: 127.0.0.1 2search.com

O1 - Hosts: 127.0.0.1 http://www.2search.com

.....

......

.....

....

O1 - Hosts: 127.0.0.1 http://www.mymysticporn.com

O1 - Hosts: 127.0.0.1 somenudefuck.com

O1 - Hosts: 127.0.0.1 http://www.somenudefuck.com

O1 - Hosts: 127.0.0.1 spybot-free.com

O1 - Hosts: 127.0.0.1 http://www.spybot-free.com

O1 - Hosts: 127.0.0.1 stable2.com

O1 - Hosts: 127.0.0.1 http://www.stable2.com

O1 - Hosts: 127.0.0.1 tuvcompany.com

O1 - Hosts: 127.0.0.1 http://www.tuvcompany.com

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [RecordNow!]

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Enable Labtec NumPad.lnk

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk

O4 - Global Startup: SMC2862W-G EZ Connect g 802.11g Wireless USB Utility.lnk

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: AVLDR - AVLDR.DLL

O20 - Winlogon Notify: SATINFO - (no file)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Arrowkey Device Access (CDRPDACC) - Arrowkey - C:\Archivos de programa\321Studios\Shared\CDRPDACC.SYS

O23 - Service: Panda CPoint Driver (cpoint) - Panda Software - C:\WINDOWS\SYSTEM32\Drivers\cpoint.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: pavdrv (PAVDRV) - Panda Software International - C:\WINDOWS\SYSTEM32\DRIVERS\pavdrv51.sys

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Driver (PavProc) - Panda Software International - C:\WINDOWS\system32\DRIVERS\PavProc.sys

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

O23 - Service: Controlador del adaptador de red BCM 802.11b (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl5.sys

O23 - Service: Servicio del adaptador Xircom Ethernet 10/100 (CE3) - Xircom, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ce3n5.sys

O23 - Service: Panda Anti-Dialer (ComFiltr) - Unknown owner - C:\WINDOWS\system32\DRIVERS\COMFiltr.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: eabusb - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\eabusb.sys

O23 - Service: Controlador de Firewall de Windows IPv6 (ip6fw) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\ip6fw.sys (file missing)

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: PANDA NDIS IM Filter Miniport (NETIMFLT) - Panda Software - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys

O23 - Service: Nokia USB Generic - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys

O23 - Service: Nokia USB Modem - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys

O23 - Service: Nokia USB Phone Parent - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys

O23 - Service: Nokia USB Port - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcj.sys

O23 - Service: Controladora de dispositivo de infrarrojos NSC (NSCIRDA) - National Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nscirda.sys

O23 - Service: PavSRK.sys - Unknown owner - C:\WINDOWS\system32\PavSRK.sys (file missing)

O23 - Service: PavTPK.sys - Unknown owner - C:\WINDOWS\system32\PavTPK.sys (file missing)

O23 - Service: Low level access layer for CD devices (Pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\Pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: sdthook - Unknown owner - C:\WINDOWS\system32\drivers\sdthook.sys (file missing)

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Prolific2 Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter Driver (SMC2862W) - SMC Networks, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\2862WICB.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tiumfwl - Texas Instruments Inc. - C:\WINDOWS\SYSTEM32\drivers\tiumfwl.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe (file missing)

O23 - Service: Microsoft P2P2 Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

55 Servicios.

17 de Carga Automatica.

33 de Carga Manual.

5 Deshabilitados.

Ahi en medio puede haber 1000 o mas en el log por eso no lo pongo que es lo que me satura el ordenador :-S

arana13 · Mensaje por **arana13** » 28 Feb 2008, 23:21

Bueno voy a inntentar poner el Av-on line pero no me deja :

KASPERSKY ONLINE SCANNER INFORME

jueves, 28 de febrero de 2008 22:47:52

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 28/02/2008

Registros en la base antivirus: 586063

Configuración del análisis

Analizar usando las siguientes bases estendidas

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Áreas críticas

C:\WINDOWS

C:\DOCUME~1\Sergi\CONFIG~1\Temp\

Estadísticas

Número de objeros analizados 16286

Virus encontrados 2

Objetos infectados 2 / 0

Objetos sospechosos 0

Duración del análisis 00:16:44

Bombre del objeto infectado Nombre del virus Última acción

C:\WINDOWS\$NtUninstallKB824141$\user32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB824141$\win32k.sys Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\hh.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\html32.cnv Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\itss.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\locator.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\magnify.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\narrator.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\newdev.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\ole32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\osk.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\shell32.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\srv.sys Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\ndis.sys Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\netshell.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\nwlnkipx.sys Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB828028$\msasn1.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Object is locked saltado

C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\cfyswvme.dll Infectados: not-a-virus:AdWare.Win32.Virtumonde.gen saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\netrfds338.exe Infectados: Trojan.Win32.DNSChanger.aum saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

Análisis completado.

Mensaje por **msc hotline sat** » 29 Feb 2008, 06:58

Por fin, ahí tienes los malwares !!!

C:\WINDOWS\system32\cfyswvme.dll Infectados: not-a-virus:AdWare.Win32.Virtumonde.gen

C:\WINDOWS\system32\netrfds338.exe Infectados: Trojan.Win32.DNSChanger.aum

Envianos estos dos ficheros para analizar:

C:\WINDOWS\system32\cfyswvme.dll

C:\WINDOWS\system32\netrfds338.exe

que no aparecían en los otros informes !

Una vez los recibamos , los monitorizaremos y veremos las claves que modifican e implementaremos en el ELISTARA lo necesario para restaurarlas.

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 29-2-2008

NOTA: Esto lo explica todo, el VUNDO que aparte de incordiar de lo lindo, acaba descargando troyanos y uno de ellos, el DNSCHAGER, causante del cambio de IP de los DNS Server, que ya habiamos visto ! ms.

arana13 · Mensaje por **arana13** » 29 Feb 2008, 08:02

Me alegro entre todos hayais encontrado una explicacion porque desde hace un mes mi ordenador es para volverse loco y no quiero formatear porque los portatiles es un lio despues, asi que me alegro mucho que tengamos lo importante.

Te envio a mediodia los 2 archivos y sino se reinicia intentaré pasar on-line el analisis completo porque solo lo pude pasar para zonas criticas que se me reiniciaba.

Pues no entiendo para que sirven programas como el panda antivirus que he pasado mil veces y me encuentra en teoria algun virus que elimina sin problemas o spybot , ad-aware , etc etc :-S pero luego todo sigue igual :cry:

En cuanto podais me decis algo que estoy impaciente por volver a tener ordenador.

Muchas gracias por vuestro tiempo a todos.

Mensaje por **msc hotline sat** » 29 Feb 2008, 08:12

Mira de enviar las muestras lo mas pronto posible, pues hoy es viernes y si no, no va a darnos tiempo...

saludos

ms, 29-2-2008

Me satura intenet por el puerto 25 :-S (SOLUCIONADO)

Me satura intenet por el puerto 25 :-S (SOLUCIONADO)

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S

Re: Me satura intenet por el puerto 25 :-S