Problemas con Proxy

[msc hotline sat]

Venga..., lo malo es que el tuyo es un marrón de los grandes !



Y como que los RootKits ocultan procesos, ficheros, claves y a ellos mismos, es realmente tarea ardua el controlarlos...



Por lo menos sabemos lo que es, que ya es mucho !



A ver si con todos los conocimientos y experiencia que hemos aplicado al ELISTARA podemos con él...



Informanos posteando el contenido de c:\infosat.txt



saludos



ms, 28-03-2008

[BlackStar]

bueno, no me esperaba algo facil dados los problemas que ha ocasionado este residente :P



aqui el infosat. Hice el analisis en [b]Modo Seguro[/b] dado que en modo normal no me hallaba nada :/



Fri Mar 28 22:42:16 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 28 22:42:22 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\SPTD.SYS --> Eliminado, RootKit(SPTD)



Nº Total de Directorios: 2368

Nº Total de Ficheros: 27701

Nº de Ficheros Analizados: 9853

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





espero instrucciones.



saludos

[BlackStar]

recorde que con este archivo hubo problemas y lo lleve a Virus Total. Dejo aqui el informe.





File actservices.exe received on 03.29.2008 06:31:48 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 1/32 (3.13%)

Loading server information...



Antivirus Version Last Update Result

AhnLab-V3 2008.3.29.0 2008.03.28 -

AntiVir 7.6.0.78 2008.03.28 -

Authentium 4.93.8 2008.03.28 -

Avast 4.7.1098.0 2008.03.28 -

AVG 7.5.0.516 2008.03.28 -

BitDefender 7.2 2008.03.29 -

CAT-QuickHeal 9.50 2008.03.28 -

ClamAV 0.92.1 2008.03.29 -

DrWeb 4.44.0.09170 2008.03.28 -

eSafe 7.0.15.0 2008.03.18 -

eTrust-Vet 31.3.5653 2008.03.29 -

Ewido 4.0 2008.03.28 -

F-Prot 4.4.2.54 2008.03.28 -

F-Secure 6.70.13260.0 2008.03.28 -

FileAdvisor 1 2008.03.29 -

Fortinet 3.14.0.0 2008.03.29 -

Ikarus T3.1.1.20 2008.03.29 -

Kaspersky 7.0.0.125 2008.03.29 -

McAfee 5262 2008.03.28 -

Microsoft 1.3301 2008.03.28 -

NOD32v2 2982 2008.03.28 -

Norman 5.80.02 2008.03.28 -

Panda 9.0.0.4 2008.03.29 -

Prevx1 V2 2008.03.29 Heuristic: Suspicious Self Modifying File

Rising 20.37.42.00 2008.03.29 -

Sophos 4.28.0 2008.03.29 -

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.03.28 -

TheHacker 6.2.92.258 2008.03.29 -

VBA32 3.12.6.3 2008.03.25 -

VirusBuster 4.3.26:9 2008.03.28 -

Webwasher-Gateway 6.6.2 2008.03.28 -



Additional information

File size: 31744 bytes

MD5: 4b143fa34908f39b536406235824aee3

SHA1: 355d45f129b8e398ca191df543148f49a1d70d2a

PEiD: Armadillo v1.71

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F82DF48E00A1D2327CD400CD346AAD002217527D

[msc hotline sat]

Bien, pues ya ves que se ha detectado y eliminado el bicho !



Y lo que dices que los has tenido que pasar en modo seguro, es propio de sus caracteristicas de RootKit, que ocultan claves, procesos, ficheros , incluso alguno como este a si mismos !



Pero ojo, no sé si ha sido él u otro, pero ya ves lo que te dice el infosat:



Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.133 85.255.112.140



y ya ves a donde te redirige:



85.255.113.133 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.140 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



Revisando todo el Tema, he visto que ya lo dijimos otras veces, por lo que entiendo que ya hiciste lo que indicabamos, pero que el bicho residente seguia redirigiendote allí !



Repite lo que hiciste para eliminarlas, ahora que ya no hay el bicho :wink:



Y ahora sí que parece hemos solucionado el problema, si tras reiniciar no persiste ninguna anomalia, dinoslo y procederemos a cerrarlo.



saludos



ms, 29.03.2008





NOTA: Y no sé de donde lo has sacado, pero parece ser el único que lo ha detectado, o al menos el primero:


[quote]This executable program has a file size of 31,744 bytes, it is most frequently called ACTSERVICES.EXE and is most frequently located in the d:\actservices\ folder.

This file has not yet been classified as safe. It was first seen on Thursday, Mar 20 2008. It has only been seen by one user in this section of the community.

ACTSERVICES.EXE has been seen to perform the following behavior:

- The Process is polymorphic and can change its structure

ACTSERVICES.EXE has been the subject of the following behavior:

- Created as a new Background Service on the machine[/quote]

y fijate que hablan de que solo lo han visto otra vez, hace unos dias, y debió ser cuando subiste el mismo fichero al VirusTotal, y eso que ningun antivirus lo identifique, es que aun nadie lo conoce, pero es que para ello hace falta llegar muy a fondo ! :wink:



Veamos si nos confirmas que ya podemos dar el Tema por solucionado, gracias



saludos



ms, 29-03-2008

[BlackStar]

efectivamente hice todo lo que se me indico con respecto a la DNS cambiada



-use el HJT para borrar la entrada

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.140



-use el CONFGDNS para cambiar la DNS maligna



sin embargo tras todos estos intentos, al [b]reiniciar la conexion[/b] la DNS maligna vuelve a aparecer en el HJT, y en consecuencia en el CONFGDNS. Cada vez que la borro del HJT logicamente desaparece del CONFGDNS, aunque con ello experimento problemas en la conexion :|



Me encantaria dar el tema por solucionado pero sigo con este problema :(





saludos.

[msc hotline sat]

Pues como que tienes otras claves de configuracion de los DNS SERVER, elimina dicha clave del 85... y tras reiniciar mira que no esté antes y despues de entrar en Internet, no sea que lo haga algun BHO o web que visites.



Y nos comentas el resultado, gracias



saludos



ms, 29-03-2008



NOTA: Por cierto, de qué te suena NTPROD ??? Tienes desviado en el HOSTS la entrada de dicha URL... es voluntario ???, sino, elimina dicha clave. ms.

[BlackStar]

[quote="msc hotline sat"]Pues como que tienes otras claves de configuracion de los DNS SERVER, [b]elimina dicha clave del 85[/b]... y tras reiniciar mira que no esté antes y despues de entrar en Internet, no sea que lo haga algun BHO o web que visites.



Y nos comentas el resultado, gracias



saludos



ms, 29-03-2008[/quote]



es lo que señalaba, elimino esas claves del 85 antes y despues de reiniciar y asi... es ciclico vuelven a aparecer de la nada, aunque las borre y las vuelva a borrar





lo Intentare nuevamente :wink: y posteare el log del HJT



saludos.

[msc hotline sat]

dINOS ALGO REFERENTE A LA nOTA QUE INDICABA EN EL POST ANTERIOR:


[quote]NOTA: Por cierto, de qué te suena NTPROD ??? Tienes desviado en el HOSTS la entrada de dicha URL... es voluntario ???, sino, elimina dicha clave. ms.[/quote]

saludos





ms, 29-03-2008

[BlackStar]

[quote="msc hotline sat"]dINOS ALGO REFERENTE A LA nOTA QUE INDICABA EN EL POST ANTERIOR:


[quote]NOTA: Por cierto, de qué te suena NTPROD ??? Tienes desviado en el HOSTS la entrada de dicha URL... es voluntario ???, sino, elimina dicha clave. ms.[/quote]

saludos





ms, 29-03-2008[/quote]

elimine la entrada NTPROD siguiendo la indicacion, pues no me sonaba a nada mio :P



y lo de la DNS sigue igual. Hice todo lo recomendado pero vuelve a aparecer





Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 16:11:12, on 29/03/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

E:\Mis documentos\Simulador de Batallas Ogame\SpeedSim.exe

E:\Programas Hack\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Firefox] C:\Archivos de programa\Mozilla Firefox\firefox.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=intranet

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206127188125

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206126947203

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB133D3-EA24-45BB-84B0-4B10ED493447}: NameServer = 85.255.113.133 85.255.112.140

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FD70E8-51B0-4C2A-8D09-B59205610FCB}: NameServer = 200.28.4.129,200.28.4.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2928755-E5A0-4A10-B64C-DCA8DA95D2FE}: NameServer = 200.28.4.129,200.28.4.130

O21 - SSODL: rdshost32 - {9D999987-C523-4A8A-8E28-2C111AD5B67B} - kevhost32.dll (file missing)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Actualizacion de Aplicaciones (MSI/PWC) (ActServices) - Unknown owner - d:\ActServices\actservices.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MCSII ECO - Unknown owner - C:\MCSII\System\eco32.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)

O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINDOWS\system32\ntfscrypt.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SysEnforce - Unknown owner - C:\ARCHIV~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe



--

End of file - 7737 bytes

[msc hotline sat]

Pues elimina:



O21 - SSODL: rdshost32 - {9D999987-C523-4A8A-8E28-2C111AD5B67B} - kevhost32.dll (file missing)





y estos servicios tambien, pero con el ELISERV, indicando el servicio:



O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)



O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINDOWS\system32\ntfscrypt.exe (file missing)



evidentemente primero mira si arrancando en modo seguro y configurado para ver ficheros ocultos, encuentras estos ficheros NETMON.EXE y ntfscrypt.exe, y si los encuentras nos los envias y renombra su extension a .VIR, luego mira de arrancar de nuevo en modo seguro y eliminarlas conforme indicado:



[b]ELISERV[/b]



http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





Servicios a indicar en el ELISERV:



[b][i]Network Monitor



NTFS Crypto Technology[/i][/b]





Tambien esta otra clave nos resulta desconocida:



O23 - Service: Actualizacion de Aplicaciones (MSI/PWC) (ActServices) - Unknown owner - d:\ActServices\actservices.exe



Envianos dicho fichero actservices.exe, pero de momento no elimines la clave...





Es posible que aparezcan ahora que no hay ya el RootKit, y que sean compañeros de él que no veiamos por su culpa !!!



saludos



ms, 29-03-2008

[BlackStar]

elimine la clave

O21 - SSODL: rdshost32 - {9D999987-C523-4A8A-8E28-2C111AD5B67B} - kevhost32.dll (file missing)

tras lo cual no han habido cambios mayores.



Con respecto a estas claves, me ha resultado imposible hallarlas, igual que antes, incluso en Modo Seguro :| Procedi a eliminarlas con el EliServ





O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)



O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINDOWS\system32\ntfscrypt.exe (file missing)



y envie el fichero actservices.exe al mail para el analisis



pego un nuevo log del HJT para ver si falta algo:





Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 17:16:08, on 29/03/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

E:\Programas Hack\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Firefox] C:\Archivos de programa\Mozilla Firefox\firefox.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=intranet

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206127188125

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206126947203

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB133D3-EA24-45BB-84B0-4B10ED493447}: NameServer = 85.255.113.133 85.255.112.140

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FD70E8-51B0-4C2A-8D09-B59205610FCB}: NameServer = 200.28.4.129,200.28.4.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2928755-E5A0-4A10-B64C-DCA8DA95D2FE}: NameServer = 200.28.4.129,200.28.4.130

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Actualizacion de Aplicaciones (MSI/PWC) (ActServices) - Unknown owner - d:\ActServices\actservices.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MCSII ECO - Unknown owner - C:\MCSII\System\eco32.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SysEnforce - Unknown owner - C:\ARCHIV~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe



--

End of file - 7297 bytes







espero instrucciones





saludos.

[BlackStar]

menciono que ya envie al mail el archivo para el analisis, pudo haberseme pasado.



Y que soy un poco lento aun pa estas cosas soy un mero aprendiz, espero instrucciones acerca de que hacer :P



saludos.

[msc hotline sat]

Lo has hecho arrancando en modo seguro ??? sino , hazlo



Es posible que en dicho modo encuentres dichas claves ...Y sino es que ya estamos casi al final. Mañana examinaremos el fichero que nos has enviado. De momento puedes renombrar su extension a .VIR y tras reiniciar elimina la clave del los DNS SERVER con IP 85.... y mira si al reiniciar aun se reproduce.



saludos



ms, 30-03-2008

[BlackStar]

[quote="msc hotline sat"]Lo has hecho arrancando en modo seguro ??? sino , hazlo[/quote]

Todo lo hice en [b]Modo Seguro[/b] :wink:


[quote="msc hotline sat"]Es posible que en dicho modo encuentres dichas claves ...Y sino es que ya estamos casi al final. Mañana examinaremos el fichero que nos has enviado. De momento puedes renombrar su extension a .VIR y tras reiniciar elimina la clave del los DNS SERVER con IP 85.... y mira si al reiniciar aun se reproduce.[/quote]

Los ficheros no los hallo ni siquiera en Modo Seguro y mostrando archivos y carpetas ocultas. Renombre el archivo que envie a .VIR, borre luego las DNS del 85, pero todo sigue igual, se sigue reproduciendo :(



saludos.

[msc hotline sat]

Pues descarga el SPROCES que llega mas a fondo, pruebalo (arrancando en modo seguro) y nos posteas el resultado:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 30-03-3008

[BlackStar]

aqui esta el resultado :wink:





Sun Mar 30 15:43:13 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 1

Internet Explorer: (v6.0.2800.1106) ;SP1;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG ANTI-SPYWARE 7.5\GUARD.EXE

C:\WINDOWS\EXPLORER.EXE

D:\CONFIGURACIONES Y DOCUMENTOS\MAURICIO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Firefox] C:\Archivos de programa\Mozilla Firefox\firefox.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206127188125

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206126947203

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB133D3-EA24-45BB-84B0-4B10ED493447}: NameServer = 85.255.113.133 85.255.112.140

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FD70E8-51B0-4C2A-8D09-B59205610FCB}: NameServer = 200.28.4.129,200.28.4.130

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2928755-E5A0-4A10-B64C-DCA8DA95D2FE}: NameServer = 200.28.4.129,200.28.4.130

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {57B86673-276A-48B2-BAE7-C6DBB3020EB8} - AVG Anti-Spyware 7.5 - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Actualizacion de Aplicaciones (MSI/PWC) (ActServices) - Unknown owner - d:\ActServices\actservices.exe (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SysEnforce - Unknown owner - C:\ARCHIV~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: 0a32 - Unknown owner - C:\WINDOWS\System32\0a32.sys

O23 - Service: 3eb58 - Unknown owner - C:\WINDOWS\System32\3eb58.sys

O23 - Service: a2017 - Unknown owner - C:\WINDOWS\System32\a2017.sys

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: gmer - GMER - C:\WINDOWS\SYSTEM32\DRIVERS\gmer.sys

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MCSII ECO - Unknown owner - C:\MCSII\System\eco32.exe (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



24 Servicios.

6 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.









saludos.

[msc hotline sat]

Pues elimina esta clave:



O23 - Service: Actualizacion de Aplicaciones (MSI/PWC) (ActServices) - Unknown owner - d:\ActServices\actservices.exe (file missing)





Para ello prueba el ELISERV, indicando como servicio el [b][i]"Actualizacion de Aplicaciones[/i][/b]"





y envianos estos ficheros para analizar:



C:\WINDOWS\System32\3eb58.sys



C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys



C:\WINDOWS\SYSTEM32\DRIVERS\gmer.sys





Tras analizarlos, informaremos



saludos



ms, 31-03-2008

[BlackStar]

* primero trate de eliminar la entrada con el EliServ, donde no obtuve resultados buscando el servicio que se me sugirió :wink: no aparecio nada en la busqueda.



* envie todos los ficheros pedidos al mail, no tuve inconvenientes para hallarlos



saludos.

[msc hotline sat]

Pues por lo visto en este caso el nombre de la clave no será el nombre del servicio...



Con el ELISERV, prueba entrar "ActServices" y si no probaríamos MSI/PWC y sino MSI/PWC ActServices



saludos



ms, 31-03-2008





NOTA: Cuando hay parentesis seguido del nombre del servicio, lía la cosa, y hemos de ver cual de ellos es el que debemos utilizar, ya que en este caso tine dos ... ms.

[BlackStar]

no encuentro el servicio con ninguna de las claves dadas.



espero instrucciones-



saludos. :)

[msc hotline sat]

Si la clave no la puede eliminar es posible que sea porque existe el fichero que lanza, si bien creo que ya hemos hablado de renombrarlo a .VIR, o no ? Si no lo has renombrado, hazlo y luego reinicia en modo seguro y trata de eliminar la clave conforme indicado



Saludos



ms, 31-03-2008

[BlackStar]

renombre a .VIR y elimine la clave en modo seguro, pero se regenera :S





saludos.

[msc hotline sat]

Pues tras renombrar el fichero [b][i]actservices.exe[/i][/b] a .VIR, crea en su misma ruta una carpeta con dicho nombre y extension, asi no podrá ser regenerado, y aunque haya la clave, será inutil



Tras ello, cuentanos el resultado, gracias



saludos



ms, 1-08-2008

[BlackStar]

hice lo pedido, aunque el cuento del DNSchanger continua, es lo unico que estaria faltando dado que todo lo demas esta completamente solucionado :wink:



saludos.

[msc hotline sat]

pUES PARA RIZAR EL RIZO, ELIMINA ESTAS DOS CLAVES:



O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab



O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab



No son imprescindibles y vete a saber si el empaquetado que descargan tiene algo que ver...



Tras ello elimina la clave del 85... y tras reiniciar nos comentas si se ha regenerado... :roll:



Me gustaría dejarlo pulido...



Cuentanos el resultado, gracias



saludos



ms, 1-04-2008

[BlackStar]

bueno las entradas mencionadas del 016 las lanza el Sproces y no el HJT, que es con el cual se me ocurre como eliminarlas, dandoles fix checked. Sin embargo con el HJT no me aparecen dichas entradas, solo aparecen en el log del Sproces.



Ahora, si estas se pueden eliminar con el SProces, eso seria diferente, solo que no se como se hace :|



PD: revise las carpetas indicadas donde se deberian hallar los archivos, y estas aparecen vacias, no hay nada en el interior :wink:





ya esta casi listo, siento dar tantas molestias, pero aun soy un novato y tengo muchas ganas de aprender :mrgreen:



saludos.

[msc hotline sat]

Pues busca claves que contengan dichas palabras con el BUSCAREG:



dajava.cab



xmldso.cab



Y ELIMINALAS PULSANDO DOBLE CLICK SOBRE LAS CLAVES ENCONTRADAS y acepta su eliminacion





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





saludos



ms, 2-04-2008

[BlackStar]

elimine las claves indicadas y luego le di fix checked a la entrada del 85, luego reinicie...



al encender de nuevo el equipo, aun no conectandose a internet la IP maligna aun no aparece en el HJT. Pero al conectarme fisicamente a internet, ocurre lo inesperado... la entrada se renovo nuevamente! :(





saludos :(

[msc hotline sat]

Pues esto que indicas nos ayuda mucho. Las claves O2 son los BHO (Browse Helper Object) que se ejecutan cuando se lanza el navegador, asi que veamos los que tienes:



O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll



Aunque todas estas DLL parecen legales, renombralas a .VIR , para probar, y tras reiniciar y eliminar la 85... mira si tras abrir el I,E, se regenera la dichosa clave.



Si no es asi, posiblemente alguna de las DLL en cuestion esté modficada...



Informanos del resultado



saludos



ms, 2-04-2008

[BlackStar]

antes que nada quiero señalar dos apuntes:



no uso el IE (solo para paginas que requieren uso exclusivo de este, como el kasperky online, etc :wink: ) uso el firefox preferentemente.



y el problema de la entrada del 85, esta se regenera cuando me conecto a internet, no cuando abro el browser :P



de todas maneras hare lo que se me solicita, puesto que esas toolbars tambien me dan mala espina :roll:



saludos.