VIRUS? "ANTIVIRUS XP 2008"

[carlota34]

Hola a todos, qué tal?



Ayer se me instaló de repente en el portátil un "programa" llamado "Antivirus XP 2008", cuyo icono tengo en el escritorio como acceso directo, y también en la barra de herramientas, y que me envía cada 2x3 un mensaje que dice: "System information....el antivirus ha encontrado 3027 virus y recomendamos desinfectar el sistema..."



Me he descargado el Elistara y el Elitriip, pero cuando voy a pasarlos con el sistema a prueba de fallos y con la restauración del sistema desactivada, el portatil se me apaga. Vuelvo a iniciar y vuelvo a escanear y vuelve a suceder lo mismo.



Alguien me puede decir cómo puedo hacer?? Nunca me había pasado esto...



Gracias mil!



Saludos

[lucl]

Pasalos en modo normal a ver si puedes, nos pegas el log que te dejaran en C infosat.txt saludos

[msc hotline sat]

Vamos a ver si tienes un shell del explorer por aqui dentro...



Prueba el SPROCES y posteanos el informe resultante:



[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT



lo analizaremos e informaremos al respecto.



saludos



ms, 23-07-2008

[carlota34]

Hola chicos, aquí van los informes:



ELISTARA:





Wed Jul 23 20:09:45 2008

EliStartPage v16.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BLPHCVEOJ0E14C.SCR --> Eliminado Blackster.B(scr)

Por favor, envienos una muestra del fichero

C:\Muestras\LPHCVEOJ0E14C.EXE.Muestra EliStartPage v16.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LPHCVEOJ0E14C.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\PHCVEOJ0E14C.BMP --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 23 20:11:39 2008

EliStartPage v16.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jul 23 20:14:25 2008

EliStartPage v16.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 23 20:14:53 2008

EliStartPage v16.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jul 23 20:18:04 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed Jul 23 20:18:08 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jul 23 21:14:18 2008

EliStartPage v16.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKCU\...\Run] "DriverCheck"=""

Entrada Eliminada [HKCU\...\Run] "DriverLoad"=""

Entrada Eliminada [HKCU\...\Run] "SystemDriverLoad"=""

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 23 21:16:53 2008

EliStartPage v16.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\recover\WINDOWS\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\PPHCVEOJ0E14C.EXE --> Acceso Denegado, Blackster.C (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 8797

Nº Total de Ficheros: 119697

Nº de Ficheros Analizados: 29208

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1





ELITRIIP:





Wed Jul 23 22:13:58 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed Jul 23 22:14:03 2008

EliTriIP v5.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 21 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8813

Nº Total de Ficheros: 137325

Nº de Ficheros Analizados: 28029

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





SPROCES:



Wed Jul 23 22:38:26 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\COMMON FILES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\WINDOWS\EHOME\EHRECVR.EXE

C:\WINDOWS\EHOME\EHSCHED.EXE

C:\PROGRAM FILES\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\PROGRAM FILES\SYMANTEC\LIVEUPDATE\ALUSCHEDULERSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\WINDOWS\EHOME\EHTRAY.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRAM FILES\APOINT2K\APOINT.EXE

C:\WINDOWS\EHOME\EHMSAS.EXE

C:\PROGRAM FILES\POWER MANAGER\PM.EXE

C:\PROGRAM FILES\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\VSNPSTD2.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\PROGRAM FILES\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\PROGRAM FILES\APOINT2K\APNTEX.EXE

C:\PROGRAM FILES\ITUNES\ITUNESHELPER.EXE

C:\PROGRAM FILES\RHCREOJ0E14C\RHCREOJ0E14C.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\PPHCVEOJ0E14C.EXE

C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE

C:\PROGRA~1\YAHOO!\MESSEN~1\YMSGR_TRAY.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\WINDOWS\SYSTEM32\MSIEXEC.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\MICROSOFT\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\CHAROBLEDA\MY DOCUMENTS\VIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [SystemDriver]

O4 - HKCU\..\Run: [FDriver]

O4 - HKCU\..\Run: [ADriver]

O4 - HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe

O4 - HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe

O4 - HKCU\..\Run: [alpha] c:\microsoft\svchost.exe

O4 - HKCU\..\Run: [beta] c:\microsoft\svchost.exe

O4 - HKCU\..\Run: [gamma] c:\microsoft\svchost.exe

O4 - HKCU\..\Run: [DriverLoad]

O4 - HKCU\..\Run: [DriverCheck]

O4 - HKCU\..\Run: [SystemDriverLoad]

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [WinFlyer32.dll] "rundll32.exe" C:\WINDOWS\system32\WinFlyer32.dll,Run

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [lphcveoj0e14c] C:\WINDOWS\system32\lphcveoj0e14c.exe

O4 - HKLM\..\Run: [SMrhcreoj0e14c] C:\Program Files\rhcreoj0e14c\rhcreoj0e14c.exe

O4 - HKLM\..\Policies\Explorer\Run: [SystemDriver]

O4 - HKLM\..\Policies\Explorer\Run: [FDriver]

O4 - HKLM\..\Policies\Explorer\Run: [ADriver]

O4 - HKLM\..\Policies\Explorer\Run: [CDriver] c:\microsoft\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [DDriver] c:\microsoft\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\microsoft\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\microsoft\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\microsoft\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [DriverLoad]

O4 - HKLM\..\Policies\Explorer\Run: [DriverCheck]

O4 - HKLM\..\Policies\Explorer\Run: [SystemDriverLoad]

O4 - HKLM\..\Policies\Explorer\Run: [Winhost]

O4 - HKLM\..\Policies\Explorer\Run: [Winhost1]

O4 - HKLM\..\Policies\Explorer\Run: [Winhost2]

O4 - HKLM\..\Policies\Explorer\Run: [Winhost3]

O4 - HKLM\..\Policies\Explorer\Run: [Winhost4]

O4 - Startup: desktop.ini

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://elsentio.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://elsentio.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\CHAROB~1\LOCALS~1\Temp\dnlsvc.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: msdirect - Unknown owner - C:\WINDOWS\system32\msdirect.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: WIBU-KEY Kernel Driver (WIBUKEY) - WIBU-SYSTEMS AG - C:\WINDOWS\SYSTEM32\DRIVERS\WibuKey.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_DPV.sys

O23 - Service: HSXHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSXHWAZL.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Memory System (memsysdrv) - Unknown owner - C:\WINDOWS\system32\drivers\memsysdrv.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: nvsmu - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvsmu.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SiS163 USB Wireless LAN Adapter Driver (SIS163u) - Silicon Integrated Systems Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\sis163u.sys

O23 - Service: VideoCAM Look (snpstd2) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd2.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TOSHIBA Bluetooth HID port driver (toshidpt) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\drivers\Toshidpt.sys

O23 - Service: Bluetooth Port Driver from Toshiba (tosporte) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosporte.sys

O23 - Service: Bluetooth RFBUS from TOSHIBA (Tosrfbd) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\Drivers\tosrfbd.sys

O23 - Service: Bluetooth RFBNEP from TOSHIBA (Tosrfbnp) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\Drivers\tosrfbnp.sys

O23 - Service: Bluetooth RFHID from TOSHIBA (Tosrfhid) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\Tosrfhid.sys

O23 - Service: Bluetooth Personal Area Network from TOSHIBA (tosrfnds) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfnds.sys

O23 - Service: Bluetooth Audio Device (WDM) from TOSHIBA (TosRfSnd) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\drivers\TosRfSnd.sys

O23 - Service: Bluetooth USB Controller (Tosrfusb) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\Drivers\tosrfusb.sys

O23 - Service: Toshiba TS705 Serial Port (tsusbser) - TOSHIBA - C:\WINDOWS\SYSTEM32\DRIVERS\tsusbser.sys

O23 - Service: DTV-DVB USB2 DVB-T receiver (UDTT2BDA) - DTV-DVB - C:\WINDOWS\SYSTEM32\Drivers\UDTT2BDA.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



41 Servicios.

10 de Carga Automatica.

30 de Carga Manual.

1 Deshabilitados.







Gracias!!!!!!







Saludos

[lucl]

Debes enviarnos esta muestra que te pide elistara



Por favor, envienos una muestra del fichero

C:\Muestras\LPHCVEOJ0E14C.EXE.Muestra EliStartPage v16.77





sigue el link que te dejo para el envio



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



luego te dice que reinicies para completar limpieza



C:\WINDOWS\system32\PPHCVEOJ0E14C.EXE --> Acceso Denegado, Blackster.C (Reiniciar para Completar la Limpieza)





hazlo y vuelve a pegarnos el log para ver si lo ha eliminado



y sobre el sprocess espera a Msc que lo analizara mañana y te dira algo, es que el es el experto, saludos

[msc hotline sat]

Pues tras enviarnos la muestra indicada:



C:\Muestras\LPHCVEOJ0E14C.EXE.Muestra EliStartPage v16.77



procede a lanzar un windowsupdate y actualizar los parches con el SP3



(I.E. -> Herramientas -> windowsupdate)





y enviarnos estos ficheros para analizar:



C:\PROGRAM FILES\RHCREOJ0E14C\RHCREOJ0E14C.EXE



C:\WINDOWS\SYSTEM32\PPHCVEOJ0E14C.EXE



C:\MICROSOFT\SVCHOST.EXE



C:\WINDOWS\system32\WinFlyer32.dll



C:\WINDOWS\system32\lphcveoj0e14c.exe



C:\Program Files\rhcreoj0e14c\rhcreoj0e14c.exe



C:\DOCUME~1\CHAROB~1\LOCALS~1\Temp\dnlsvc.exe



C:\WINDOWS\system32\msdirect.sys







y aunque siempre analizamos los ficheros antes de eliminar las claves que los lanzan, estas ya puedes eliminarlas :



O4 - HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe



O4 - HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe



O4 - HKCU\..\Run: [alpha] c:\microsoft\svchost.exe



O4 - HKCU\..\Run: [beta] c:\microsoft\svchost.exe



O4 - HKCU\..\Run: [gamma] c:\microsoft\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [SystemDriver]



O4 - HKLM\..\Policies\Explorer\Run: [FDriver]



O4 - HKLM\..\Policies\Explorer\Run: [ADriver]



O4 - HKLM\..\Policies\Explorer\Run: [CDriver] c:\microsoft\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [DDriver] c:\microsoft\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\microsoft\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\microsoft\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\microsoft\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [DriverLoad]



O4 - HKLM\..\Policies\Explorer\Run: [DriverCheck]



O4 - HKLM\..\Policies\Explorer\Run: [SystemDriverLoad]



O4 - HKLM\..\Policies\Explorer\Run: [Winhost]



O4 - HKLM\..\Policies\Explorer\Run: [Winhost1]



O4 - HKLM\..\Policies\Explorer\Run: [Winhost2]



O4 - HKLM\..\Policies\Explorer\Run: [Winhost3]



O4 - HKLM\..\Policies\Explorer\Run: [Winhost4]





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Y tras recibir las muestras indicadas, procederemos en consecuencia e informaremos



saludos



ms, 24.07.2008

[carlota34]

Hola a todos



Disculpad el retraso en mi respuesta pero no he podido meterme a ello antes del fin de semana.



Os he enviado todas las muestras que me pedís, incluida una más que me ha pedido el Elistar hoy en uno de los muchos reintentos de volver a pasarlo. La muestra q me pedía era C:\Winlogon\WINCTRL32.DLL. Las he enviado encriptadas y con contraseña, pero no sé si la contraseña os la tengo que dar ahora a vosotros...



Como os digo, no he conseguido volver a pasar el Elistar ni el Elitriip después de los primeros logs que os pegué, porque el portatil está cada vez peor, y cuando lo intento, aparte de que va lentísimo, al rato se me queda toda la pantalla en azul con unas letras en inglés que dicen que ha ocurrido un error grave. De modo que lo he reiniciado no sé cuántas veces y siempre ocurre igual.



Respecto a la actualización del SP3, también lo he intentado, pero en el windows update hay muchas opciones y no sé cuál tengo que escoger. Siento mi gran ignoracia en todo esto.



Y por último, no sé dónde encontrar las claves que me comentáis para eliminar...repito, siento mi gran ignorancia..



Bueno no sé si voy a poder solucionar yo el problema, porque como os comento cada vez está peor, no paran de saltar ventanitas continuamente y la pantalla se pone azul como os decía cuando lleva un rato en marcha.



En cualquier caso, mil gracias por vuestra ayuda. Sois los mejores.



Salu2



Charo

[msc hotline sat]

Sobre el password de las muestras enviadas ha de ser VIRUS, como ya se indica en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Donde tambien hay un apartado que te dice como eliminar las claves que se te indican.



Y prueba de arrancar en modo seguro con funciones de red y descargar las ultImas versiones del ELISTARA y del ELITRIIP, y, tras probarlas, postearnos el contenido de c:\infosat.txt



Entre las dos opciones que te ofrece el windowsupdate, escoge la de ACTUALIZACION RAPIDA



Y hablas de otra muestra, pero si no has enviado la que indicamos:



C:\Muestras\LPHCVEOJ0E14C.EXE.Muestra EliStartPage v16.77



hazlo de nuevo como te decimos en el primer link de este post, gracias



saludos



ms, 27-07-2008

[msc hotline sat]

Recibido mail, el password del fichero no responde a VIRUS



Compruebelo Vd misma intentando desempaquetar el fichero que nos ha enviado, y la proxima vez que nos lo envie, pruebe de desempaquetarlo antes, gracias



saludos



ms, 28-07-2009