Podrian revisar mi log, un proceso intenta conectar (SOLVED)

[Sonic]

Hola

Tengo un gran problema y no se que puedo hacer espero puedan ayudarme.

Desde hace un tiempo eta pasando algo extraño con mi computadora y no se que hacer veran, tengo instalados en mi computadora el antivirus AVG, el superantispyware y el Sygate Personal Firewall para protegerme de los virus pero hace poco empezaron a intentar conectarse unos supuestos archivos a internet el Sygate personal Firewall los detectaba y yo los bloqueaba esos archivos con extension .exe se encontraban en la carpeta temporal de Documents and Settings los encontre y los borre pero seguian apareciendo mas y simpre con diferentes nombres. Despues de mas o menos 2 semanas de estar borrando esos archivos aparecio otro que es el que no me deja de molestar es un archivo .exe que se encuentra en el system32 aqui esta la ruta "C:\WINDOWS\system32\1w4xlgR2.exe" la verdad no se si sea un archivo seguro o no pero nunca me habia pedido ningun archivo en system32 conectarse a internet.

Cuando ese archivo empezo a intentar conectarse a internet y como yo siempre lo bloqueaba otros programas comenzaron a tratar de conectarse a internet algunos sin sentido como el programa de mi webcam o incluso el proceso explorer.exe ya no se si dejar que ese archivo se conecte a internet o no.

Que puedo hacer?

Ah por cierto creo que todo empezo cuando instale un quemador de dvd en mi computadora creen que tenga que ver algo, el dvd es marca Liteon y no me ha dado problemas pero no se si tenga algo que ver con ese archivo.

Bueno espero puedan ayudarme con esto y aqui dejo mi logfile de hijackthis.

Gracias de antemano.





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:13:58 p.m., on 04/06/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

C:\Program Files\Nero\Nero 7\InCD\InCD.exe

C:\WINDOWS\vsnpstd.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\1w4xlgR2.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdVantage Setup] C:\DOCUME~1\Leo\LOCALS~1\Temp\is-0MMSD.tmp\AdVantageSetup.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Program Files\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O16 - DPF: {E1AC9563-A1E3-45B8-A5CE-5C19E34EC6AC} (ComTop Class) - http://www.arirangtv.com/AlwaysTop.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe



--

End of file - 6744 bytes

[msc hotline sat]

Pues empieza por enviarnos el fichero 1w4xlgR2.exe que indicas, y tras analizarlo implemenntaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



para ello recuerda:

[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Ademas, estas usando un XP son SP1 cuando actualmente debe ser el SP3 y con I.E. 6, cuando sebe ser la 7... Actualiza lanzando un windowsupdate.



el resto del log está limpio, aparte de la clave sospechosa que lanza el fichero de marras, claro



saludos



ms, 4-06-2008

[msc hotline sat]

Recibida la muestra enviada parece tratarse de un malware encubierto, que pocos antivirus detectan.



Esta mañana lo minitorizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-06-2008

[Sonic]

Ok, muchas gracias.

Esperare la respuesta

[lucl]

Pasalos ya mismo que ya esta echo desde ayer ,nos pegas el log para ver el resultado, saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[Sonic]

ok en este momento estoy pasando las herramientas. me parecio que enviara algunos archivos .dll por correo los envio todos juntos en un solo archivo .rar o por separado?

Me aparecio que tenia tambien un virus vundo y ya descargue el elinotif.dll

Ojala ahora si se pueda arreglar este problema luego mando las muestras de los archivos en cuanto acabe de analizar la computadora.

Garcias

[Sonic]

Hola

Ya pase las herramientas y aqui pego el texto del infosat.txt ya solo tengo que actualizar el service pack y el internet explorer y volvere a pegar un log de hijackthis haber si ya quedo listo.

Por cierto al actualizar al service pack 3 no se me hara demasiado lenta la computadora?

Gracias de antemano





Fri Jun 06 20:10:12 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\IIFCCVWX] -> C:\WINDOWS\SYSTEM32\iifcCvwx.dll

Entrada Eliminada [HKLM\...\Run] "c40dcb56"="rundll32.exe "C:\WINDOWS\System32\orbbjwoa.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BMc73ef8ca"="Rundll32.exe "C:\WINDOWS\System32\kkythxlt.dll",s" (Vundo)

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IIFCCVWX.DLL.Muestra EliStartPage v16.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IIFCCVWX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ORBBJWOA.DLL.Muestra EliStartPage v16.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ORBBJWOA.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\KKYTHXLT.DLL.Muestra EliStartPage v16.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KKYTHXLT.DLL --> Eliminado

C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At7.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At8.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At9.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At10.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At11.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At12.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At13.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At14.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At15.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At16.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At17.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At18.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At19.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At20.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At21.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At22.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At23.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At24.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Jun 06 20:13:17 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\CD to MP3 Freeware\CDEXTRACT.EXE --> Eliminado, Spy.Delf (BHO)

C:\WINDOWS\system32\1W4XLGR2.EXE --> Eliminado, DownLoader.Agent.LBV

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 3469

Nº Total de Ficheros: 48316

Nº de Ficheros Analizados: 16252

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMFDBCB.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri Jun 06 20:28:57 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\IIFCCVWX] -> C:\WINDOWS\SYSTEM32\iifcCvwx.dll

[WinLogon\Notify\IIFCCVWX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\IIFCCVWX.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\IIFCCVWX.DLL.Muestra EliStartPage v16.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IIFCCVWX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMFDBCB.DLL.Muestra EliStartPage v16.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QOMFDBCB.DLL --> Renombrado a .VIR

Eliminada Class, "{3C1EE157-416E-4B3F-89E8-39A16B4979DA}" -> C:\WINDOWS\System32\qoMfdbcb.dll

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Jun 06 20:31:45 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3470

Nº Total de Ficheros: 48316

Nº de Ficheros Analizados: 16252

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\QOMFDBCB.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\iifcCvwx.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\IIFCCVWX"

Detectado Vundo9

Elininada Class {3C1EE157-416E-4B3F-89E8-39A16B4979DA}

Elininado BHO {3C1EE157-416E-4B3F-89E8-39A16B4979DA}

Desinstalado EliNotif.dll



Fri Jun 06 20:50:38 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\QOMFDBCB.DLL.VIR --> Eliminado.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 06 20:51:34 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3471

Nº Total de Ficheros: 48317

Nº de Ficheros Analizados: 16251

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jun 06 21:09:19 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Jun 06 21:09:27 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3470

Nº Total de Ficheros: 48333

Nº de Ficheros Analizados: 15156

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jun 06 21:17:43 2008

EliBagle v11.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jun 06 21:17:47 2008

EliBagle v11.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3470

Nº Total de Ficheros: 48333

Nº de Ficheros Analizados: 7550

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[Sonic]

Hola

Envie los archivos que me pidio el programa que enviara al correo. Y ya pase los programas que me dijeron al parecer todo iba bien pero de repente volvio a aprecer el archivo 1w4xlgR2.exe y volvio a intentar conectarse a internet que podre hacer ahora?

Como sea ya estoy actualizandome al service pack 3 despues volvere a pasar la herramienta para tratar de eliminar ese archivo de nuevo.

Ojala puedan ayudarme no quiero tener que formatear la computadora.

Gracias de antemano

[lucl]

Sobre los envios el lunes los analizaran y pasaremos a controlarlos, y en cuanto al vundo9 que dice elistara que tienes debes seguir las instrucciones de este link,



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759





dinos si pudiste eliminarlo. Sobre sp3 decirte que a mi en principio no me esta ralentizando el pc, ademas se supone que una de las mejoras es precisamente eso en cuanto a rapidez. Ah y mira que las muestras nos las hayas enviado a la direccion que viene en este link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





si no ha sido asi hazlo para que las analicen antes, saludos

[Sonic]

Ok pero lo que no entiendo es que archivo debo eliminar con la consola de recuperacion? El archivo 1w4xlgR2.exe o es algun otro archivo el que se debe eliminar?

Gracias y si envie las muestras al correo correcto.

Saludos

[lucl]

Pues mira este es el que dice el infosat



Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\[b]QOMFDBCB.DLL[/b])



asi que dale matarile a ese , y nos comentas que tal fue, saludos

[Sonic]

Hola de nuevo

Pues ahorita estuve buscando el archivo que me dijiste y extrañamente no esta, parece ser que la primera vez logro eliminarlo porque volvi a pasar el Elistara y ya no detecto el vundo ni el Downloader.ConHook, volvi a borrar el archivo 1w4xlgR2.exe pero parece er como el fenix porque vuelve a renacer jeje, rayos como odio ese archivo.

Creo que esperare a que me den los resultados el lunes del analisis de las muestras que envie espero que el problema sea alguno de esos archivos porque ya me canso borrar una y otra vez el archivo 1w4xlgR2.exe

Como sea gracias otra vez.

[lucl]

Y confirmame sobre este 1w4xlgR2.exe lo enviaste tambien verdad? es que no lo recuerdo bien y voy mal para leer todo ahora, y lo renombraste a vir? saludos

[Sonic]

Pues si lo envie la primera vez y de hecho gracias a eso pudo detectarlo y eliminarlo.

Y ahora que me dices no he intentado renombrarlo a .vir

Voy a intentarlo y luego te cuento.

Por cierto otra cosa que no me gusta para nada es que cada cierto tiempo mas o menos cada 45 minutos o 1 hora aparece un mensaje en el que el Firewall me pregunta si deseo permitir conectarse a internet un archivo .exe que nunca es igual siempre cambia el nombre mas o menos parecido al del 1w4xlgR2.exe es decir con puros numero y letras al azar lo raro es que cuando voy a la ruta que se especifica en el mensaje no hay absolutamente ningun archivo con el nombre que me aparece en el mensaje talvez mi computadora ya esta poseida o no se que mas pensar jeje. cuando vuelva a aparecer ese mensaje tratare de sacar una imagen para que veas mas o menos a que me refiero.

Saludos

[lucl]

Si, eso tratamos de evitar renombrandolo a .VIR, asi no da la lata hasta que el lunes pongamos las nuevas versiones de las herramientas. Espero que cuando lo renombres ya no te pregunte el firewall nada , nos comentas ok? Gracias, saludos

[Sonic]

Bueno el dia de ayer lo renombre a .vir pero parece ser que se habia quedado como .exe al parecer solo tomo el .vir como parte del nombre.

Un instante despues mi internet se volvio lentisimo basicamente ya no abria nada en google asi que lo volvi a borrar mejor y apague la computadora ahora cuando la encendi ya esta bien mi internet, es muy raro pero al rato que reviva el 1w4xlgR2.exe le vuelvo a poner el .vir para saber si vuleve a pasar lo mismo.

Por cierto estoy desde ayer tratando de actualizar el sistema con windows update pero no llega a 100% supuestamente ya esta descargando las actualizaciones pero nada pasa.

Hace un momento ya iba en 33% y de repente ahora esta en 0% habra algo mal con mi windows update o es normal que eso pase?

Ademas en el panel de control hay un programa que antes no estaba aparecio hace como una semana es un tal "program updates" supuestamente perteneciente a installshield pero no se si sea cierto o si es un programa seguro.

Saludos

[lucl]

Pues mira de investigar ese programa que dices, a ver si encuentras la ruta y encuentras alguna carpeta o algo de ello. Si lo encuentras lo subes a virustotal y lo analizas



http://www.virustotal.com



y nos pegas el log . Saludos

[Sonic]

Pues ya lo hice y esto es lo que salió.

Y de windows update parece que ya se esta actualizado por fin mi computadora







Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.5.30.1 2008.06.03 -

AntiVir 7.8.0.26 2008.06.03 -

Authentium 5.1.0.4 2008.06.02 -

Avast 4.8.1195.0 2008.06.03 -

AVG 7.5.0.516 2008.06.03 -

BitDefender 7.2 2008.06.03 -

CAT-QuickHeal 9.50 2008.06.03 -

ClamAV 0.92.1 2008.06.03 -

DrWeb 4.44.0.09170 2008.06.03 -

eSafe 7.0.15.0 2008.06.02 -

eTrust-Vet 31.4.5845 2008.06.03 -

Ewido 4.0 2008.06.03 -

F-Prot 4.4.4.56 2008.06.02 -

F-Secure 6.70.13260.0 2008.06.03 -

Fortinet 3.14.0.0 2008.06.03 -

GData 2.0.7306.1023 2008.06.03 -

Ikarus T3.1.1.26.0 2008.06.03 -

Kaspersky 7.0.0.125 2008.06.03 -

McAfee 5308 2008.06.02 -

Microsoft 1.3604 2008.06.03 -

NOD32v2 3155 2008.06.03 -

Norman 5.80.02 2008.06.03 -

Panda 9.0.0.4 2008.06.03 -

Prevx1 V2 2008.06.03 -

Rising 20.47.12.00 2008.06.03 -

Sophos 4.29.0 2008.06.03 -

Sunbelt 3.0.1143.1 2008.06.03 -

Symantec 10 2008.06.03 -

TheHacker 6.2.92.332 2008.06.03 -

VBA32 3.12.6.7 2008.06.03 -

VirusBuster 4.3.26:9 2008.06.03 -

Webwasher-Gateway 6.6.2 2008.06.03 -

Información adicional

File size: 213936 bytes

MD5...: 2bad84b393af47006d80ba2f03b18029

SHA1..: 2bf9249c579ed2513fd1f0b89a8c6c626aa3d1c5

SHA256: 72e7a5906e48c6318533d9657d32b29e9ab1d76e25c2c0c6d4c34077561493a2

SHA512: 36c474d4f94c5ffff9b085012708272b569b867fe85adb2a1e0dbeffbc4b82cb

dfbc8218c9c479f3669ddd8ab465f1203c1d2d78996304c1bf95e0372ebdff03

PEiD..: Armadillo v1.71

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x4185fb

timedatestamp.....: 0x441f3bda (Mon Mar 20 23:33:46 2006)

machinetype.......: 0x14c (I386)



( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1fb86 0x20000 6.56 f0d46fa4779083558da7f8758ac3a9de

.rdata 0x21000 0x4ade 0x5000 4.67 f714eebafbc26368d1b655ae0d6c3a47

.data 0x26000 0x5708 0x4000 2.32 d10e05474023132b3b258bb18bbf3446

.rsrc 0x2c000 0x8790 0x9000 5.91 1ad2e461959cf1498ed6b069a458648a



( 9 imports )

> KERNEL32.dll: InterlockedDecrement, lstrcpyA, GetModuleHandleA, GetModuleFileNameA, LoadResource, FindResourceA, FindResourceExA, GetUserDefaultLangID, FindClose, FindNextFileA, CloseHandle, SetFileTime, GetFileTime, CreateFileA, FindFirstFileA, CreateProcessA, Sleep, CreateMutexA, lstrcmpiA, GetCommandLineA, GetShortPathNameA, SizeofResource, LoadLibraryExA, lstrcpynA, IsDBCSLeadByte, lstrcatA, InitializeCriticalSection, HeapDestroy, DeleteCriticalSection, CreateThread, CreateEventA, WaitForSingleObject, GlobalLock, GlobalUnlock, GlobalAlloc, lstrcmpA, LockResource, FreeResource, GlobalFree, GlobalHandle, ReadFile, WriteFile, InterlockedIncrement, CreateDirectoryA, SetEndOfFile, GetOEMCP, GetACP, GetCPInfo, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, FlushFileBuffers, SetStdHandle, SetFilePointer, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapSize, TerminateProcess, HeapCreate, GetEnvironmentVariableA, IsBadWritePtr, VirtualAlloc, VirtualFree, ExitProcess, GetVersion, GetStartupInfoA, HeapFree, GetLocalTime, GetSystemTime, GetTimeZoneInformation, HeapAlloc, HeapReAlloc, RtlUnwind, GetLastError, SetLastError, GetPrivateProfileStringA, GetPrivateProfileIntA, WritePrivateProfileStringA, LoadLibraryA, GetProcAddress, FreeLibrary, GetVersionExA, GetCurrentProcess, SetEnvironmentVariableA, FlushInstructionCache, CompareStringW, CompareStringA, EnterCriticalSection, LeaveCriticalSection, MultiByteToWideChar, lstrlenW, WideCharToMultiByte, GetCurrentThreadId, lstrlenA, SetEvent, CopyFileA, GetFileAttributesA, GetTempPathA, GetTickCount

> USER32.dll: CallWindowProcA, GetSysColor, GetWindowTextA, SetWindowTextA, SetFocus, GetClassInfoExA, RegisterClassExA, GetParent, GetWindow, MapWindowPoints, RegisterWindowMessageA, IsChild, SendMessageA, GetFocus, TranslateMessage, IsDialogMessageA, PeekMessageA, MessageBoxA, CharLowerA, wsprintfA, LoadCursorA, SetTimer, SetWindowLongA, GetWindowLongA, SetWindowPos, GetClientRect, SystemParametersInfoA, GetDlgItem, EndPaint, BeginPaint, IsWindow, RedrawWindow, GetClassNameA, GetDesktopWindow, CreateAcceleratorTableA, ReleaseCapture, InvalidateRgn, SetCapture, InvalidateRect, CreateDialogIndirectParamA, DispatchMessageA, GetWindowRect, KillTimer, FillRect, GetMenu, AdjustWindowRectEx, DialogBoxIndirectParamA, DialogBoxParamA, PostThreadMessageA, RegisterClassA, GetMessageA, DefWindowProcA, FindWindowA, SetForegroundWindow, GetActiveWindow, CharNextA, GetDC, ReleaseDC, CreateWindowExA, EndDialog, GetSystemMetrics, LoadImageA, ShowWindow, DestroyWindow, PostQuitMessage, SetCursor, GetWindowTextLengthA

> GDI32.dll: GetStockObject, GetObjectA, CreateSolidBrush, CreateCompatibleBitmap, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, DeleteObject, GetDeviceCaps

> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegSetValueExA, RegCreateKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegCloseKey, RegOpenKeyA

> SHELL32.dll: Shell_NotifyIconA

> ole32.dll: OleLockRunning, StringFromCLSID, CLSIDFromString, CLSIDFromProgID, OleUninitialize, CreateStreamOnHGlobal, CoRevokeClassObject, CoRegisterClassObject, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, CoInitialize, CoUninitialize, CoCreateInstance, OleInitialize

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

> COMCTL32.dll: -



( 0 exports )

[lucl]

Pues no parece virico asi que de momento dejalo estar, cuando analicen las muestras mañana sabremos algo, saludos

[Sonic]

Hola de nuevo

Perdon pero no habia podido entrar porque no estuve durante el dia en mi casa jeje. Encontraron algo en las muestras que envie? si es asi para eliminarlas y haber si ahora si deja de dar problemas el molesto 1w4xlgR2.exe.

Saludos

[koga]

Pues podria probar descargando nuevamente elistara y elitriip que si ya han sido actualizados borraran los virus, de todas formas esperamos la confirmacion.

Por otra parte cuando desee renombrar un fichero a .vir, muchas veces pasa que toma .vir como nombre de archivo, para esto puede abrir una carpeta, se dirije a herramientas--->opciones de carpeta... una ves adentro selecciona la epstaña Ver, en el cuadro que se encuentra debajo de Configuración avanzada se dirije hasta el final abajo y desmarca la opcion que dice "Ocultar las extensiones de archivos para tipos de archivos conocido" y le da aceptar, se dara cuenta que los archivos muestran su extencion, en este caso solo tendria que borrar la parte que dice exe y agregarle vir.

Espero le sirva,











:wink:

[Sonic]

Bueno hola otra vez.

Perdon por la tardanza en responder pero no habia tenido tiempo. ahora ya use el elistara y el elitriip y no encontraron absolutamente nada ya le cambie la extension al archivo a .vir pero de todos modos se vuelve a crear otro archivo con el mismo nombre pero con extension .exe realmente yo estoy empezando a creer que no voy a poder eliminar ese archivo.

Como sea gracias porque al menos ya elimine el vundo y para que no me de tanta lata el 1w4xlgR2.exe lo elimino cada vez que aparece y asi me deja de molestar como por 1 hora y media o 2 horas, creo que eso ya es algo jeje.

Si llegan a encontrar alguna forma mas de poder evitar ese archivo me informan porfavor?.

Gracias de antemano.

[koga]

Pues claro que la encontraremos no desespere, solo hay que encontrar al culpable de generar estos archivos, ya que si se crea otro es que hay alguna ejecucion que los esta generando, descargue sprocess y nos poseta el log:



http://www.zonavirus.com/descargas/sproces.asp



Ahi veremos con mas detenimiento si encontramos al culpable, de todas formas diariamente descargue elistara y elitriip y los ejecuta a ver si en alguna nueva muestra resivida, ya sea enviada por usted o algun otro forero, ya lo controlan.







Saludos y no desespere :wink:

[Sonic]

Hola otra vez

Pues ya ejecute el programa sprocess y aqui pego el log este lo use justo al prender la computadora. Por cierto desde hoy mi computadora inicia mas lento de lo normal realmente no entiendo porque ojala no se a causa del virus.

Saludos





Fri Jun 13 23:41:26 2008

SProces v3.0 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 1

Internet Explorer: (v6.0.2800.1106) ;SP1;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB08.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\WINDOWS\VSNPSTD.EXE

C:\PROGRAM FILES\ADOBE\READER 8.0\READER\READER_SL.EXE

C:\PROGRAM FILES\ITUNES\ITUNESHELPER.EXE

C:\PROGRAM FILES\COMMON FILES\INSTALLSHIELD\UPDATESERVICE\ISUSPM.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE

C:\PROGRA~1\GRISOFT\AVG7\AVGUPSVC.EXE

C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE

C:\DOCUMENTS AND SETTINGS\LEO\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {42ae77cd-acc2-4a22-a317-fe089d6e321a} - C:\WINDOWS\System32\ykwjdaig.dll (file missing)

O2 - BHO: (no name) - {7A74F91E-6F76-4347-8B4D-6F88420E98BE} - C:\WINDOWS\System32\urqQjgeB.dll (file missing)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdVantage Setup] C:\DOCUME~1\Leo\LOCALS~1\Temp\is-0MMSD.tmp\AdVantageSetup.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - Startup: desktop.ini

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E1AC9563-A1E3-45B8-A5CE-5C19E34EC6AC} (ComTop Class) - http://www.arirangtv.com/AlwaysTop.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\PROGRAM FILES\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL (file missing)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: AVG Network Redirector (AvgTdi) - GRISOFT, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdi.sys

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: SyGate for NT, wg3n (wg3n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys

O23 - Service: SyGate for NT, wg4n (wg4n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg4n.sys

O23 - Service: SyGate for NT, wg5n (wg5n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg5n.sys

O23 - Service: SyGate for NT, wg6n (wg6n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg6n.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine-Family Fast Ethernet Adapter Driver Service (FETND5BV) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Program Files\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: VideoCAM Messenger (snpstd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd.sys

O23 - Service: Scientific-Atlanta USB Cable Modem Driver (USBCM) - - C:\WINDOWS\SYSTEM32\DRIVERS\Sacm2A.sys

O23 - Service: VIA AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudio.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: vsdatant - Unknown owner - (file missing)

O23 - Service: {8nmarvbd - MusicMatch, Inc. - C:\WINDOWS\System32\drivers\MxlW2k.sys



31 Servicios.

11 de Carga Automatica.

17 de Carga Manual.

3 Deshabilitados.

[lucl]

Tienes solo el sp1 te faltan el 2 y el 3!



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 1

Internet Explorer: (v6.0.2800.1106) ;SP1;



asi estas muy desprotegido lanza un windows update y actualizalo, saludos

[Sonic]

Hola

Pues si use el sprocess antes de actualizar la computadora pero ahora ya esta actualizada a service pack 3 e internet explorer 7 y de paso tambien actualice a la nueva version de mi antivirus :D vuelvo a pegar el log para ver si encuentras algo.

Ojala porfin haya muerto el 1w4xlgR2.exe jeje.

Saludos





Sat Jun 14 17:08:51 2008

SProces v3.0 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB08.EXE

C:\PROGRA~1\AVG\AVG8\AVGWDSVC.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\WINDOWS\VSNPSTD.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRA~1\AVG\AVG8\AVGTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\PROGRA~1\AVG\AVG8\AVGRSX.EXE

C:\PROGRA~1\AVG\AVG8\AVGEMC.EXE

C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\LEO\MY DOCUMENTS\VARIOS\NUEVOS PROGRAMAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {42ae77cd-acc2-4a22-a317-fe089d6e321a} - C:\WINDOWS\System32\ykwjdaig.dll (file missing)

O2 - BHO: (no name) - {7A74F91E-6F76-4347-8B4D-6F88420E98BE} - C:\WINDOWS\System32\urqQjgeB.dll (file missing)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AdVantage Setup] C:\DOCUME~1\Leo\LOCALS~1\Temp\is-0MMSD.tmp\AdVantageSetup.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - Startup: desktop.ini

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E1AC9563-A1E3-45B8-A5CE-5C19E34EC6AC} (ComTop Class) - http://www.arirangtv.com/AlwaysTop.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: !SASWINLOGON - C:\PROGRAM FILES\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL (file missing)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG8 Network Redirector (AvgTdiX) - AVG Technologies CZ, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdix.sys

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: SyGate for NT, wg3n (wg3n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys

O23 - Service: SyGate for NT, wg4n (wg4n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg4n.sys

O23 - Service: SyGate for NT, wg5n (wg5n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg5n.sys

O23 - Service: SyGate for NT, wg6n (wg6n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg6n.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine-Family Fast Ethernet Adapter Driver Service (FETND5BV) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Program Files\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: VideoCAM Messenger (snpstd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Scientific-Atlanta USB Cable Modem Driver (USBCM) - - C:\WINDOWS\SYSTEM32\DRIVERS\Sacm2A.sys

O23 - Service: VIA AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudio.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: vsdatant - Unknown owner - (file missing)

O23 - Service: {8nmarvbd - MusicMatch, Inc. - C:\WINDOWS\System32\drivers\MxlW2k.sys



32 Servicios.

11 de Carga Automatica.

18 de Carga Manual.

3 Deshabilitados.

[lucl]

Veamos tienes estos dos



O2 - BHO: (no name) - {42ae77cd-acc2-4a22-a317-fe089d6e321a} - C:\WINDOWS\System32\ykwjdaig.dll (file missing)

O2 - BHO: (no name) - {7A74F91E-6F76-4347-8B4D-6F88420E98BE} - C:\WINDOWS\System32\urqQjgeB.dll (file missing)



que no se sabe lo que es, subelos a virustotal y analizalos, nos pegas los resultados, saludos



http://www.virustotal.com

[Sonic]

Hola Nuevamente.

Pues busque los archivos que me dijiste y no los encontre al parecer ya los elimino el antivirus.

De hecho el dia que actualice mi computadora al service pack 3 e internet explorer 7 pude tambien actualizar mi antivirus AVG a la version 8 y cuando intentaban conectarse los procesos extraños otra vez los detecto el antivirus y los elimino y parece ser que porfin quedo arreglado el problema desde el dia de ayer no a revivido el molesto 1w4xlgR2.exe :D ni ninguno de los otros archivos.

Considero que ya esta en perfectas condiciones mi computadora nuevamente, bueno unicamente se hizo un poco mas lenta para iniciar pero no importa con que este libre de virus me basta ademas solo esta lenta al iniciar pero en cuanto ha iniciado esta igual de rapida que antes.

Muchisimas gracias por su ayuda.



Por ultimo pegare un log de hijackthis para confirmar que todo esta bien.

Saludos





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:24:30 p.m., on 15/06/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\vsnpstd.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: {a123e6d9-80ef-713a-22a4-2ccadc77ea24} - {42ae77cd-acc2-4a22-a317-fe089d6e321a} - C:\WINDOWS\System32\ykwjdaig.dll (file missing)

O2 - BHO: (no name) - {7A74F91E-6F76-4347-8B4D-6F88420E98BE} - C:\WINDOWS\System32\urqQjgeB.dll (file missing)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AdVantage Setup] C:\DOCUME~1\Leo\LOCALS~1\Temp\is-0MMSD.tmp\AdVantageSetup.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {E1AC9563-A1E3-45B8-A5CE-5C19E34EC6AC} (ComTop Class) - http://www.arirangtv.com/AlwaysTop.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe



--

End of file - 6694 bytes

[msc hotline sat]

Pues rematalo eliminado estas claves:



O2 - BHO: {a123e6d9-80ef-713a-22a4-2ccadc77ea24} - {42ae77cd-acc2-4a22-a317-fe089d6e321a} - C:\WINDOWS\System32\ykwjdaig.dll (file missing)



O2 - BHO: (no name) - {7A74F91E-6F76-4347-8B4D-6F88420E98BE} - C:\WINDOWS\System32\urqQjgeB.dll (file missing)





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y tras reiniciar cuentanos si ya todo va bien y podemos dar el Tema por solucionado, gracias



saludos



ms, 16-06-2008

[Sonic]

Hola

Pues parece ser que porfin quedo limpia mi computadora toda va bien y ya nada intenta conectarse de manera extraña ya no hay virus.

Muchas gracias por todo ya pueden dar el tema por solucionado

Saludos