Uno detrás de otro

[pamarta]

Hola:

Tengo un equipo con xp home, al que le voy solucionando los problemas por etapas, en cuanto acabo con uno me sale otro, he estado apunto de publicar varios temas, pero antes he intentado ir buscando soluciones para no dar mucho la vara.

Os cuento, el primer problema que tenia era un pantallazo azul, con un mensaje como este: c000021a windows logon process termino inesperadamente. Aqui, repare el sistema y parece que funcionaba, luego no tenia acceso a windows update, intente habilitar el servicio pero imposible, error 1058, conseguí arreglarlo; ya puedo actualizar windows, pero ahora se me reinicia el equipo constantemente y el caso es que no me dice nada, ninguna señal de por donde puedan ir los tiros. Tengo instalado el panda, AH!! instalé el spybot por si acaso porque ademas al abrir el explorer se abria una ventana nueva con also asi como :barrearintegral.com/alarma/?eai=nm_ridnn6_kw2_gb1 tal y tal, pense que era un trojano o algo parecido, e instale el spybot, con lo que me volvio a dar pantallazo azul de pft_(nomeacuerdo)_corrupt. total que.......

Alguna ayudita?

Un saludo y gracias mil

Pamarta

[pamarta]

Creo que no he puesto bien el tema, no sé si abrir otro nuevo o que?

lo siento

Pamarta

[msc hotline sat]

Pues ataque por dos lados:





lance este AV ONLINE y posteenos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.







y lease lo que indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=11159



y proceda en consecuencia



saludos



ms, 20-06-2008

[pamarta]

Hola, bueno pues ya lo habia pasado y me dice que tengo :Trojan.Win32.Agent.bnj y el Trojan-PSW.Win32.OnLineGames.acps

Un saludo y gracias otra vez. (ah eso de que no me tutee puffffffff me hace sentir más vieja de lo que querria)

Pamarta

[msc hotline sat]

Pues prueba el ELISTARA :




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y si pidiera muestra para analizar, envianosla segun se indica en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





igualmente si no detectar nada, envianos los ficheros que detecta infectados el Kaspersky , de la misma manera anterior



Tras analizarlos, implementariamos su control y eliminacion en las nuevas versiones de las utilidades.



saludos



ms, 20-06-2008

[pamarta]

Ejem, prometo que no he hecho nada de nada, es decir, enviar los ficheros y esperar, esta mañana he encendido el equipo en cuestión y zas, al iniciar sesión la 1ª vez se reinicia, y luego solo aparece el fondo de pantalla (que es un muñeco bastante feo por cierto) pero no aparece nada, ni el escritorio, ni la barra de inicio ni nada, tiene otro usuario con el que tambien he intentado entrar, pero con el ni siquiera carga la configuración. osea un desastre, he intentado entrar a modo de errores y entrar entro, pero no carga nada

:cry: ¿Se ha muerto?

sniff

Patricia

[lucl]

No esta muerto del todo, a modo prueba errores puedes pasar elistara, hazlo y peganos el log de infosat que tendras en C, saludos

[msc hotline sat]

Recibidas muestras para analizar, se detectan nuevas variantes de Vundo5 y CONHOOK que pasamos a controlar con el ELISTARA de hoy 16.57



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus







[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 25-06-2008

[msc hotline sat]

Recibidas dos DLL de la familia VUNDO, pasamos a monitorizarlas



saludos



ms, 26-06-2008

[pamarta]

ok, me mantendré a la espera

saludos

Patricia

[msc hotline sat]

Las dos DLL han correspondido a VUNDO5, por lo que ya han sido eliminas las claves de registro y los ficheros originales.



Mañana implementaremos la deteccion y eliminacion por cadenas, pero de momento su ordenador ya está limpio, a excepcion de la carpeta de muestras que conviene comprobar si con el ELISTARA 16.59 de mañana los elimina, pero ya están aparcados y no hay problema.



Hoy hemos tenido muchas urgencias de clientes por lo que hemos tenido que retrasar las muestras menos urgentes, como esta que ya no representa ningun problema.



Descargue mañana la version indicada y tras probarla, nos informa del resultado, gracias



saludos



ms, 26-06-2008

[pamarta]

Hola: bueno llevo un montón de días intentando daros las gracias porque parecía que ya estaba solucionado todo,pero era imposible postear en el foro, espero tener mas suerte hoy. De todas formas sigo teniendo un problema el trojan.win32.Agent.bnj y además se me abren unas páginas rarísimas.

Alguna ayudita más please?

Gracias de nuevo

[msc hotline sat]

Pues posteanos el c:\infosat.txt ara que veamos qué hizo el último ELISTARA que te indicamos pasaras...



A la vista de ello procederemos, y si quieres, descarga la ultima version 16.62 y pruebala. a lo mejor tienes algo nuevo...



saludos



ms, 2 de Julio de 2008

[pamarta]

el último que pasé me lo dió todo como limpio, pero con la nueva versión me han salido algunas cosillas, y eso que volví a pasar el que tenía y no encontro nada antes, eh? :? en fin, no termino de entender donde se mete lo que sea que esta incordiando en ese equipo.

Un saludo

Pamarta

[lucl]

Debes pegarnos el log de infosat.txt que tendras en C y asi veremos lo que han echo las herramientas, saludos

[msc hotline sat]

Y puede que intrusione al navegar... Tienes el SP3 ??? , Te pasa sin entrar a Internet ???



mira esto de hoy : https://foros.zonavirus.com/viewtopic.php?f=12&t=25395



saludos



ms, 2 de Julio de 2008

[msc hotline sat]

No se deben enviar logs, txt ni informes a SATINFO, sus servicios al respecto estan reservados a sus asoaidos, solo enviar muestras para evaluacion:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Al informarme los de analisis que habian enviado a la papelera unos ficheros tuyos, los he podido recuperar y he visto:





EliStartPage v16.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Muestras\OHLNQNKL.DLL.MUESTRA ELISTARTPAGE V16.57 --> Eliminado, Vundo5

C:\Muestras\XEWGJPIJ.DLL.MUESTRA ELISTARTPAGE V16.57 --> Eliminado, Vundo5

C:\WINDOWS\system32\XEWGJPIJ.DLL.VIR --> Eliminado, Vundo5





(el otro es simple eliminacion de los cientos de añadidos del SPYBOT en el HOSTS)



Recuerda siempre postear los resultados en el foro...



Y dices que persiste el problema con ficheros infectados por trojan.win32.Agent.bnj, pues envianoslos para analizar como ya sabes.



saludos



ms, 3 de Julio de 2008

[pamarta]

no consigo postear nada desde ayer, a ver si ahora tengo mas suerte

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 02 17:04:12 2008

EliStartPage v16.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Muestras\OHLNQNKL.DLL.MUESTRA ELISTARTPAGE V16.57 --> Eliminado, Vundo5

C:\Muestras\XEWGJPIJ.DLL.MUESTRA ELISTARTPAGE V16.57 --> Eliminado, Vundo5

C:\WINDOWS\system32\XEWGJPIJ.DLL.VIR --> Eliminado, Vundo5



Nº Total de Directorios: 7040

Nº Total de Ficheros: 72921

Nº de Ficheros Analizados: 20899

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

[pamarta]

y este es el último, sin embargo se siguen abriendo webs rarisimas que me filtra canguronet.



Wed Jul 02 18:30:53 2008

EliStartPage v16.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5503

Nº Total de Ficheros: 54741

Nº de Ficheros Analizados: 19718

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

no sé que puede ser.

Un saludo

Pamarta

[pamarta]

Glups, este último lo pasé en modo seguro.ahroa volveré a pasar y pego el infosat

[msc hotline sat]

Lo que has de hacer es descargar la nueva version, que es la 16.63. Siempre se ha de probar la ultima !



Y postearnos tanto el analisis por accion directa como por exploracion o todo el infosat.txt



saludos



ms, 3 de Julio de 2008

[pamarta]

Hola, a ver si hoy tengo más suerte y puedo postear algo, porque ultimamente tengo la negra y no me deja.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 02 17:04:12 2008

EliStartPage v16.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Muestras\OHLNQNKL.DLL.MUESTRA ELISTARTPAGE V16.57 --> Eliminado, Vundo5

C:\Muestras\XEWGJPIJ.DLL.MUESTRA ELISTARTPAGE V16.57 --> Eliminado, Vundo5

C:\WINDOWS\system32\XEWGJPIJ.DLL.VIR --> Eliminado, Vundo5



Nº Total de Directorios: 7040

Nº Total de Ficheros: 72921

Nº de Ficheros Analizados: 20899

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Se me sigue abriendo una web q me filtra canguronet, y el panda ni el spybot ni el kasperky me encuentran nada sospechoso,saludos

Patricia

[msc hotline sat]

El infosat empieza por analisis por accion directa, y aqui no lo vemos.



Es importante que lo postee todo, pues puede que se le pida envio de muestra o que haya datos de nuestro interes, asi que por favor, seleccione todo el contenido del mismo y hace un copiar y pegar en su proximo post de respuesta a este Tema, gracias



saludos



ms, 8-07-2008

[pamarta]

Hola, ayer pasé el último,



Tue Jul 08 18:59:45 2008

EliStartPage v16.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6843

Nº Total de Ficheros: 69936

Nº de Ficheros Analizados: 18674

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

es todo lo que pone, hice control+e,control+c y aqui control+v

había pensado pasar el hijackthis, pero esperaré a ver que me decís.

siento ser tan pesada, un saludo

patricia

[msc hotline sat]

No pedimos el ultimo informe, sino el fichero completo, con todo el historico.



Asi veremos los analisis por accion directa, que estan antes de los de exploracion.



saludos



ms, 9-07-2008

[pamarta]

Perdonad mi ignorancia, pero ¿de dónde saco el histórico?

saludof

[msc hotline sat]

El infosat.txt es un acumulativo que guarda todo el histórico. Abrelo con el bloc de notas y lo verás. Luego pulsa CTRL_E para seleccionarlo todo, CTRL_C para copiarlo al portapapeles y luego edita un post de respuesta y pegas dicho contenido con CTRL_V (a eso se le llama copiar y pegar)



saludos



ms, 9-07-2008

[pamarta]

Hola, bueno hasta hoy no he tenido un segundo para entrar. No tengo ningún histórico, me lo habré cargado. he pasado el hijackthis y me ha salido esto :

Logfile of HijackThis v1.99.1

Scan saved at 19:05:32, on 15/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

C:\Archivos de programa\Archivos comunes\supportsoft\bin\sprtlisten.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\ApvxdWin.exe

C:\Archivos de programa\Telefonica\bin\sprtcmd.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Documents and Settings\All Users\Documentos\SetPoint\SetPoint\SetPoint.exe

C:\Archivos de programa\V-Stream Multimedia\TV878 Utilities\C7XRCtl.exe

C:\Archivos de programa\OpenOffice.org 2.4\program\soffice.exe

C:\Archivos de programa\Archivos comunes\Logitech\KHAL\KHALMNPR.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\OpenOffice.org 2.4\program\soffice.BIN

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\WebProxy.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {0E1D472B-1FBE-4001-BFEB-E3F30BE401A5} - C:\WINDOWS\system32\nnnomNHA.dll (file missing)

O2 - BHO: (no name) - {20E6FC88-D5F1-41ED-AAFC-B867FAD67F39} - C:\WINDOWS\system32\wvUlmjhf.dll (file missing)

O2 - BHO: {39b21031-18b4-b279-5774-440abc3c0952} - {2590c3cb-a044-4775-972b-4b8113012b93} - C:\WINDOWS\system32\agtxotyf.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {801DEAE8-FB91-4735-8AF0-E30299A85FDB} - C:\WINDOWS\system32\urqRJApn.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: (no name) - {A2CDCC68-6B72-4C2E-9CDE-AE863AF386DA} - C:\WINDOWS\system32\awtsRlJy.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Share Accelerator Toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Archivos de programa\Share_Accelerator\tbShar.dll

O3 - Toolbar: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKLM\..\Run: [PVR Agent] C:\Archivos de programa\V-Stream Multimedia\PVR Plus\TVR\Scheduled.exe

O4 - HKLM\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [CtrlMod20] C:\DOCUME~1\USUARIO\CONFIG~1\Temp\ctrlAT20.exe -m 71 -p"D:"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [LDM] C:\Documents and Settings\All Users\Documentos\SetPoint\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Archivos de programa\OpenOffice.org 2.4\program\quickstart.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Documents and Settings\All Users\Documentos\SetPoint\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Documents and Settings\All Users\Documentos\SetPoint\SetPoint\SetPoint.exe

O4 - Global Startup: TV Remote Control.lnk = C:\Archivos de programa\V-Stream Multimedia\TV878 Utilities\C7XRCtl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213893727218

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Documents and Settings\All Users\Documentos\SetPoint\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: SupportSoft Listener Service (sprtlisten) - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\sprtlisten.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe



sigo con el mismo problema de las webs que me filtra canguronet.

Un saludo

Pamarta

[msc hotline sat]

Pues vaya, tienes instalado el Messenger Plus, que es un foco de adwares ... DESINSTALALO !!!



y vemos ficheros muy sospechosos:





C:\WINDOWS\system32\agtxotyf.dll



C:\DOCUME~1\USUARIO\CONFIG~1\Temp\ctrlAT20.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Y prueba de nuevo el ELISTARA Y NOS POSTEAS EL CONTENIDO DE C:\INFOSAT.TXT !!!


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 15-07-2008

[pamarta]

Ya estoy aqui, eliminado el plus, os posteo el infosat:



Tue Jul 15 19:42:09 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6861

Nº Total de Ficheros: 70111

Nº de Ficheros Analizados: 18731

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

es lo único que me sale ¿eh?

en cuanto a los archivos sospechosos,¿os envio una muestra? )es por si no he entendido bien antes)

saludos de nuevo