No me funciona el escritorio de windows (CERRADO)

[elmenda]

lo de quitar que salga lo de la instalacion del professional lo he solucionado





respesto al tema del hilo sigo con el, decir que justo nada mas iniciar windows, si funcionan los iconos, pero al cabo de unos segundos dejan de funcionar

[msc hotline sat]

Pues prueba este AV ONLINE y con un copiar y pegar, posteanos el resultado



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]







NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.





saludos



ms, 4-3-2008

[elmenda]

ha dado esto:



A:\

C:\

D:\

E:\

F:\

Estadísticas

Número de objeros analizados 92289

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 02:40:22



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\pc\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\pc\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\pc\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\pc\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\pc\Configuración local\Historial\History.IE5\MSHist012008030420080305\index.dat Object is locked saltado

C:\Documents and Settings\pc\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\pc\Datos de programa\Opera\Opera\mail\indexer\indexer.dat Object is locked saltado

C:\Documents and Settings\pc\Datos de programa\Opera\Opera\mail\lexicon\lexicon.dat Object is locked saltado

C:\Documents and Settings\pc\Datos de programa\Opera\Opera\mail\mailbase.dat Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.06.Inseguridad.Nacional.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.07.El.Diacono.Stan.Hombre.De.Dios.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.08.Bullock.Contra.Stan.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.09.Mas.Vale.Stan.En.Mano.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.10.Steve.Al.Desnudo.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.11.Heredero.Estafado.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.12.Stan.De.Arabia.Parte.I.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\Escritorio\Movies\Padre Made in USA\Padre.Made.In.USA.T01.Cap.13.Stan.De.Arabia.Parte.II.DVB-Sat.XviD.[ZonaRipper's].avi Object is locked saltado

C:\Documents and Settings\pc\ntuser.dat Object is locked saltado

C:\Documents and Settings\pc\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\explorers.exe Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\etc\hosts Infectados: Trojan.Win32.Qhost.ok saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

[msc hotline sat]

Pues lo unico que se detecta infectado es el fichero HOSTS:



C:\WINDOWS\system32\drivers\etc\hosts



abrelo con el bloc de notas (miralo seleccionando TODOS LOS FICHEROS, pues no tiene extension) y con un copiar y pegar lo posteas en tu proximo post de respuesta a este Tema, asi veremos lo que hay y podremos corregirlo



Es extraño, pues no aparecen en los O1 del HJT, donde salen las redirecciones del HOSTS, pero algo ha de haber ahí cuando dicho AV ONLINE lo ha detectado...



Cuando lo postees, lo analizaremos y procederemos en consecuencia



saludos



ms, 5-3-2008

[elmenda]

es un texto muy extenso, les pongo el principio:



127.0.0.1 bin.errorprotector.com ## added by CiD

127.0.0.1 br.errorsafe.com ## added by CiD

127.0.0.1 br.winantivirus.com ## added by CiD

127.0.0.1 br.winfixer.com ## added by CiD

127.0.0.1 de.errorsafe.com ## added by CiD

127.0.0.1 de.winantivirus.com ## added by CiD

127.0.0.1 download.cdn.winsoftware.com ## added by CiD

127.0.0.1 download.errorsafe.com ## added by CiD

127.0.0.1 download.systemdoctor.com ## added by CiD

127.0.0.1 download.winantispyware.com ## added by CiD

127.0.0.1 download.windrivecleaner.com ## added by CiD

127.0.0.1 download.winfixer.com ## added by CiD

127.0.0.1 drivecleaner.com ## added by CiD

127.0.0.1 dynamique.drivecleaner.com ## added by CiD

127.0.0.1 errorprotector.com ## added by CiD

127.0.0.1 errorsafe.com ## added by CiD

127.0.0.1 es.winantivirus.com ## added by CiD

127.0.0.1 fr.winantivirus.com ## added by CiD

127.0.0.1 fr.winfixer.com ## added by CiD

127.0.0.1 go.drivecleaner.com ## added by CiD

127.0.0.1 go.errorsafe.com ## added by CiD

127.0.0.1 go.winantispyware.com ## added by CiD

127.0.0.1 go.winantivirus.com ## added by CiD

127.0.0.1 hk.winantivirus.com ## added by CiD

127.0.0.1 instlog.errorsafe.com ## added by CiD

127.0.0.1 instlog.winantivirus.com ## added by CiD

127.0.0.1 jsp.drivecleaner.com ## added by CiD

127.0.0.1 kb.errorsafe.com ## added by CiD

127.0.0.1 kb.winantivirus.com ## added by CiD

127.0.0.1 nl.errorsafe.com ## added by CiD

127.0.0.1 se.errorsafe.com ## added by CiD

127.0.0.1 secure.drivecleaner.com ## added by CiD

127.0.0.1 secure.errorsafe.com ## added by CiD

127.0.0.1 secure.winantispam.com ## added by CiD

127.0.0.1 secure.winantispy.com ## added by CiD

127.0.0.1 secure.winantivirus.com ## added by CiD

127.0.0.1 support.winantivirus.com ## added by CiD

127.0.0.1 ulog.winantivirus.com ## added by CiD

127.0.0.1 utils.errorsafe.com ## added by CiD

127.0.0.1 utils.winantivirus.com ## added by CiD

127.0.0.1 winantispyware.com ## added by CiD

127.0.0.1 winantivirus.com ## added by CiD

127.0.0.1 winfixer.com ## added by CiD

127.0.0.1 http://www.drivecleaner.com ## added by CiD

127.0.0.1 http://www.errorprotector.com ## added by CiD

127.0.0.1 http://www.errorsafe.com ## added by CiD

127.0.0.1 http://www.systemdoctor.com ## added by CiD

127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

127.0.0.1 http://www.win-virus-pro.com ## added by CiD

127.0.0.1 http://www.winantispam.com ## added by CiD

127.0.0.1 http://www.winantispy.com ## added by CiD

127.0.0.1 http://www.winantispyware.com ## added by CiD

127.0.0.1 http://www.winantivirus.com ## added by CiD

127.0.0.1 http://www.winantiviruspro.com ## added by CiD

127.0.0.1 http://www.windrivecleaner.com ## added by CiD

127.0.0.1 http://www.windrivesafe.com ## added by CiD

127.0.0.1 http://www.winfixer.com ## added by CiD

127.0.0.1 cdn.drivecleaner.com ## added by CiD

127.0.0.1 cdn.errorsafe.com ## added by CiD

127.0.0.1 cdn.winsoftware.com ## added by CiD

127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

127.0.0.1 download.cdn.errorsafe.com ## added by CiD

127.0.0.1 instlog.winfixer.com ## added by CiD

127.0.0.1 trial.updates.winsoftware.com ## added by CiD

127.0.0.1 utils.winfixer.com ## added by CiD

127.0.0.1 winfixer2006.com ## added by CiD

127.0.0.1 winsoftware.com ## added by CiD

127.0.0.1 http://www.utils.winfixer.com ## added by CiD

127.0.0.1 http://www.winfixer2006.com ## added by CiD

127.0.0.1 http://www.winsoftware.com ## added by CiD

# Start of entries inserted by Spybot - Search & Destroy

127.0.0.1 007guard.com

127.0.0.1 http://www.007guard.com

127.0.0.1 008i.com

127.0.0.1 008k.com

127.0.0.1 http://www.008k.com

127.0.0.1 00hq.com

127.0.0.1 http://www.00hq.com

127.0.0.1 010402.com

127.0.0.1 032439.com

127.0.0.1 http://www.032439.com

127.0.0.1 1001-search.info

127.0.0.1 http://www.1001-search.info

127.0.0.1 100888290cs.com

127.0.0.1 http://www.100888290cs.com

127.0.0.1 100sexlinks.com

127.0.0.1 http://www.100sexlinks.com

127.0.0.1 10sek.com

127.0.0.1 http://www.10sek.com

127.0.0.1 123topsearch.com

127.0.0.1 http://www.123topsearch.com

127.0.0.1 132.com

127.0.0.1 http://www.132.com

127.0.0.1 136136.net

127.0.0.1 http://www.136136.net

127.0.0.1 139mm.com

127.0.0.1 http://www.139mm.com

127.0.0.1 163ns.com

127.0.0.1 http://www.163ns.com

127.0.0.1 171203.com

127.0.0.1 17-plus.com

127.0.0.1 1800searchonline.com

127.0.0.1 http://www.1800searchonline.com

127.0.0.1 180searchassistant.com

127.0.0.1 http://www.180searchassistant.com

127.0.0.1 180solutions.com

127.0.0.1 http://www.180solutions.com

127.0.0.1 181.365soft.info

127.0.0.1 http://www.181.365soft.info

127.0.0.1 1987324.com

127.0.0.1 http://www.1987324.com

127.0.0.1 1-domains-registrations.com

127.0.0.1 http://www.1-domains-registrations.com

127.0.0.1 1-extreme.biz

127.0.0.1 http://www.1-extreme.biz

127.0.0.1 1sexparty.com

127.0.0.1 http://www.1sexparty.com

127.0.0.1 1stantivirus.com

127.0.0.1 http://www.1stantivirus.com

127.0.0.1 1stpagehere.com

127.0.0.1 http://www.1stpagehere.com

127.0.0.1 1stsearchportal.com

127.0.0.1 http://www.1stsearchportal.com

127.0.0.1 2.82211.net

127.0.0.1 http://www.2006ooo.com

127.0.0.1 2007-download.com

127.0.0.1 http://www.2007-download.com

127.0.0.1 2020search.com

127.0.0.1 http://www.2020search.com

127.0.0.1 20x2p.com

127.0.0.1 24.365soft.info

127.0.0.1 http://www.24.365soft.info

127.0.0.1 24-7pharmacy.info

127.0.0.1 http://www.24-7pharmacy.info

127.0.0.1 24-7searching-and-more.com

127.0.0.1 http://www.24-7searching-and-more.com

127.0.0.1 24teen.com

127.0.0.1 http://www.24teen.com

127.0.0.1 2every.net

127.0.0.1 http://www.2every.net

127.0.0.1 2ndpower.com

127.0.0.1 2search.com

127.0.0.1 http://www.2search.com

127.0.0.1 2search.org

127.0.0.1 http://www.2search.org

127.0.0.1 2squared.com

127.0.0.1 http://www.2squared.com

127.0.0.1 3322.org

127.0.0.1 http://www.3322.org

127.0.0.1 365soft.info

127.0.0.1 36site.com

127.0.0.1 http://www.36site.com

127.0.0.1 3721.com

127.0.0.1 39-93.com

127.0.0.1 3abetterinternet.com

127.0.0.1 http://www.3abetterinternet.com

127.0.0.1 3bay.it

127.0.0.1 http://www.3bay.it

127.0.0.1 3ebay.it

127.0.0.1 http://www.3ebay.it

127.0.0.1 404dns.com

127.0.0.1 http://www.404dns.com

127.0.0.1 4199.com

127.0.0.1 http://www.4199.com

127.0.0.1 4corn.net

127.0.0.1 http://www.4corn.net

127.0.0.1 4ebay.it

127.0.0.1 http://www.4ebay.it

127.0.0.1 4klm.com

127.0.0.1 4repubblica.it

127.0.0.1 http://www.4repubblica.it

127.0.0.1 4softget.com

127.0.0.1 http://www.4softget.com

127.0.0.1 5iscali.it

127.0.0.1 http://www.5iscali.it

127.0.0.1 5repubblica.it

127.0.0.1 http://www.5repubblica.it

127.0.0.1 5starvideos.com

127.0.0.1 http://www.5starvideos.com

127.0.0.1 5tiscali.it

127.0.0.1 http://www.5tiscali.it

127.0.0.1 5zgmu7o20kt5d8yq.com

127.0.0.1 http://www.5zgmu7o20kt5d8yq.com

127.0.0.1 6iscali.it

127.0.0.1 http://www.6iscali.it

127.0.0.1 6sek.com

127.0.0.1 http://www.6sek.com

127.0.0.1 6tiscali.it

127.0.0.1 http://www.6tiscali.it

127.0.0.1 7322.com

127.0.0.1 http://www.7322.com

127.0.0.1 75tz.com

127.0.0.1 777search.com

127.0.0.1 http://www.777search.com

127.0.0.1 777top.com

127.0.0.1 http://www.777top.com

127.0.0.1 7939.com

127.0.0.1 http://www.7939.com

127.0.0.1 7search.com

127.0.0.1 http://www.7search.com

127.0.0.1 80gw6ry3i3x3qbrkwhxhw.032439.com

127.0.0.1 82211.net

127.0.0.1 8866.org

127.0.0.1 888.com

127.0.0.1 http://www.888.com

127.0.0.1 8ad.com

127.0.0.1 http://www.8ad.com

127.0.0.1 9505.com

127.0.0.1 http://www.9505.com

127.0.0.1 971searchbox.com

127.0.0.1 http://www.971searchbox.com

127.0.0.1 a.bestmanage.org

127.0.0.1 aaasexypics.com

127.0.0.1 aaawebfinder.com

127.0.0.1 http://www.aaawebfinder.com

127.0.0.1 aavc.com

127.0.0.1 abc-find.info

127.0.0.1 http://www.abc-find.info

127.0.0.1 abetterinternet.com

127.0.0.1 http://www.abetterinternet.com

127.0.0.1 abnetsoft.info

127.0.0.1 http://www.abnetsoft.info

127.0.0.1 aboutclicker.com

127.0.0.1 http://www.aboutclicker.com

127.0.0.1 abrp.net

127.0.0.1 http://www.abrp.net

127.0.0.1 absolutee.com

127.0.0.1 http://www.absolutee.com

127.0.0.1 abyssmedia.com

127.0.0.1 http://www.abyssmedia.com





si quien se lo voy poniend a cacho,a unque ya digo que es muy muy extenso



saludos!

[msc hotline sat]

Bueno, ya está claro que has tenido el CiD y que ello es lo que detecta el AV ONLINE.



Posiblemente tenias el Messenger Plus, si si aun lo tienes lo primero es que lo desisnatles, pues es un foco de troyanos !!!



Luego, pasa el ELISTARA y, cuando te pregunte, acepta en limpiar el HOST.





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Tras ello posteanos log del HJT para ver si queda algun posible SWIZZOR no controlado, y que dado que tienes anomalias, podría ser:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 5-3-2008

[elmenda]

Wed Mar 05 10:55:41 2008

EliStartPage v15.77 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9670

Nº Total de Ficheros: 90584

Nº de Ficheros Analizados: 18621

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[elmenda]

Logfile of HijackThis v1.99.1

Scan saved at 12:07:35, on 05/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Search Settings\SearchSettings.exe

C:\Archivos de programa\Conceptronic\Software Bluetooth\BTTray.exe

C:\ARCHIV~1\CONCEP~1\SOFTWA~1\BTSTAC~1.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb126\SearchSettings.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {88F81EDE-719B-AC04-9EE1-7AEA57712560} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Archivos de programa\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb126\SearchSettings.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Archivos de programa\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SearchSettings] C:\Archivos de programa\Search Settings\SearchSettings.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Web Rebates. - file://C:\Archivos de programa\WebRebates4\websrebates\webtrebates\toprC0.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4B0999FD-6937-11D5-8FEC-00606779369C} (NetConf) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{4028A84A-4C6D-4623-8051-458F609393E3}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{48F1A1CE-8302-4176-8342-C512FDCCB154}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{80B60675-2193-4C1C-9145-E1A2B3196F7D}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{9B889366-2CA5-4FDF-BD01-4661593FEB66}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{B49EF0AA-9EE2-49CB-B5EB-037E507CD715}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8ED3B69-8687-482C-A8F7-2A94A8C238AF}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA6D25D7-5797-4290-AA32-3CD39517B2BE}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFC322BD-9D70-47FD-9C2E-C87B4B5DD255}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\..\{4028A84A-4C6D-4623-8051-458F609393E3}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS4\Services\Tcpip\..\{4028A84A-4C6D-4623-8051-458F609393E3}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS5\Services\Tcpip\..\{4028A84A-4C6D-4623-8051-458F609393E3}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS6\Services\Tcpip\..\{4028A84A-4C6D-4623-8051-458F609393E3}: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: CameraServer - Unknown owner - c:\FlyCam\CameraServer.exe (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe







saludos!

[msc hotline sat]

Pues sí, vemos que tiene estos ficheros sospechosos:





C:\Archivos de programa\Search Settings\SearchSettings.exe



C:\Archivos de programa\Search Settings\kb126\SearchSettings.dll





Envienoslos para analizar y tras monitorizarlo, impleentaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual le informaremos





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 5-3-2008



NOTA: Aparte tambien nos puede enviar este:



C:\Archivos de programa\WebRebates4\websrebates\webtrebates\toprC0.htm



miraremos lo que es, pues no es habitual. , y eliminar esta clave:



O16 - DPF: {4B0999FD-6937-11D5-8FEC-00606779369C} (NetConf) -



ms.

[elmenda]

se lo envie ayer en un mail con el asunto "REF <elmenda>" en un archivo zip cuya contraseña era virus

no lo recibieron? era la segunda vez que lo mandaba, hago algo mal?

[msc hotline sat]

[size=150]REVISE COMO ENVIA LOS MAILS CON LAS MUESTRAS[/size]



Dando un vistazo a los post anteriores de este Tema, vemos que ya por dos veces le hemos pedido estos ficheros, y que ambas no ha indicado que nos los enviaba...



Debe hacerlo empaquetando los ficheros con password VIRUS, esto es, con el WINZIP o WINRAR, seleccionar los ficheros, pulsar en "avanzado", entrar como password la palabra [b][i]VIRUS[/i][/b] y con ello proceder a hacer el ZIP o RAR



Sin poder analizar dichos ficheros no podremos ayudarle !!!



saludos



ms, 5-3-2008

[msc hotline sat]

Veo que hemos cruzado respuestas :wink:



No, no los hemos recibido...



Donde los envia ???



la direccion de mail es zonavirus@satinfo.es como indicamos en



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



en cuanto las recibamos, procederemos



saludos



ms, 5-3-2008

[elmenda]

se los he vuelto a mandar, a ver si esta vez lo he hecho bien



saludos!

[msc hotline sat]

Pues pasada media hora no se ha recibido nada tuyo...



y otros mails no paran de entrar, asi que mas bien algo pasa solo contigo.



Prueba de enviarte este mail a tu direccion, y si no lo recibes, a ver si asi descubres el porqué no sale...



Lo raro es que no lo recibas devuelto .



Y mira de enviarnoslo desde otra parte , da igual desde donde lo envies, mientras lo hagas.



saludos



ms, 5-3-2008

[elmenda]

lo he vuelto a mandar a traves de otro servidor (gmail)

[msc hotline sat]

Pues en cuanto vuelva al trabajo en SATINFO, preguntaré si ha llegado y ya informaremos



saludos



ms, 5-3-2008

[msc hotline sat]

Recibidas, pero qué desilusion !!! Un primer vistazo con el VirusTotal no las detecta nadie ...



Vamos a monitorizarlas igualmente, no sea que aun no las conozca nadie !



Seguiremos informando



saludos



ms, 5-3-2008

[elmenda]

entonces habria que reparar?



muchas gracias por vuestro trabajo!

[msc hotline sat]

No estaría de mas, pero de todos modos puede tratarse de una variante aun no conocida. Trataremos de indagar a fondo viendo lo que son y lo que hacen. Danos tiempo, gracias



saludos



ms, 5-3-2008

[elmenda]

ok, si quiero probar lo de reparar, teniendo windows xp sp2 debo usar un disco de windows xp sp2, verdad?

de todas maneras me da miedo, ya que si me pasa como con el pro, que me dio fallo por falta de un archivo .sys, lo mismo me toca formatear...



un saludo!

[msc hotline sat]

RECUERDA:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



y ten preparados los 25 digitos del código del registro, ya que te los va a pedir.



y vamos a tener que cerrar el Tema por su tamaño, ya que con tantos post no es operativo, pero en todo caso abre uno de nuevo con el resultado tras la REPARACION y si hay algo que decir de las muestras, lo añadiriamos alli.



saludos



ms, 5-3-2008