Tengo un virus, AYUDA por favor (CERRADO)

[mendidani]

Hola a todos, es la primera vez que participo en este foro y lo hago para solicitar ayuda. Soy nuevo en esto de los virus y no entiendo mucho. Tengo lo que parece ser un virus, os explico y a ver si alguien sabe cómo puedo eliminarlo:



cuando enciendo el ordenador me aparece una ventana de Warning, que dice que tengo virus. Se me ha cambiado solo el fondo de pantalla (ahora es azul) y el programa que se me ha instalado (tambien solo) es ANTIVIRUS XP 08, y por lo que he leido en internet creo que es un programa falso o algo así.



Por favor, si alguien sabe cómo puedo eliminarlo que me ayude, muchisimas gracias. Un saludo

[msc hotline sat]

Sí, es un FAKE ALERT, empieza probando el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 27 de Agosto de 2008

[mendidani]

Antes de nada muchas gracias por tu ayuda. No me deja descargarlo, se abre una ventana pequeña blanca pero no hace nada... qué puedo hacer???

[flacoroo]

baja el programita que se te recomienda, desde otra máquina y lo copias a la tuya y lo ejecutas....

[msc hotline sat]

Y a lo mejor tambien lo podría soslayar arrancando en modo seguro con funciones de red, si quiere probarlo, lo que le sea mas fácil y cómodo...



saludos



(y gracias, flacoroo :wink: , buen apunte ! )



ms, 27 de Agosto de 2008

[mendidani]

Hola. Lo he pasado, y ya por lo menos me deja cambiar el fondo de pantalla, pero sigo teniendo instalado el Antivirus xp 08 y constantemente me saltan mensajes de seguridad diciendo que estoy infectado desde el icono de xp 08. Os envío las muestras que me ha dicho el programa que mande y el informe, a ver si vosotros podéis hacer algo con eso o si no, decidme qué más tengo que hacer ahora. Muchas gracias, si no fuera por vuestra ayuda...

[mendidani]

bueno, había adjuntado las muestras, pero por lo que sea no se han cargado, quizá no me deje, si sirven decidme como las puedo subir. (perdón)

[msc hotline sat]

Para enviar las muestras hazlo como se indica en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y por cierto, este XP antiviruspro2008 es la moda !!!



Se está propagando y regenerando con nuevas variantes, y lo nuevo de hoyb al respecto es que se propaga tambien a traves de pendrive, por lo cual es muy importante que vacunes todos los ordenadores y unidades pendrives con el ELIPEN:





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y como que dices que se te regenera, tras probar el ELISTARA, antes de reiniciar, crea una carpeta con el nombre del fichero eliminado, y asi no se podrá volver a cerar con dicho nombre.



Y puede haber rootkit y otras historias... priomero descarga el SPROCES.EXE, luego arranca en modo seguro (pulsando repetidamente F8 al arrancar y escogiendo dicha opcion) y lo pruebas, le das a SALIR y veras que ha creado un informe en SPROCLOG.TXT, posreanos su contenido:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 28 de Agosto de 2008

[msc hotline sat]

Siempre mejor postea los informes con un copiar y pegar:





Thu Aug 28 09:55:23 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v16.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\BLPHC3K2J0E39R.SCR.Muestra EliStartPage v16.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BLPHC3K2J0E39R.SCR --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\LPHC3K2J0E39R.EXE.Muestra EliStartPage v16.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\LPHC3K2J0E39R.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\PHC3K2J0E39R.BMP --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Security iGuard"="C:\Archivos de programa\Security iGuard\Security iGuard.exe"

Entrada Eliminada [HKCU\...\Run] "svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe"



Thu Aug 28 09:56:49 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v16.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\BLPHC3K2J0E39R.SCR.VIR --> Eliminado.



Thu Aug 28 10:09:10 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Aug 28 10:09:10 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado SP3 de Windows XP

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Aug 28 10:10:18 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6017

Nº Total de Ficheros: 43514

Nº de Ficheros Analizados: 13029

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Aug 28 10:29:07 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Thu Aug 28 10:29:35 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6008

Nº Total de Ficheros: 43221

Nº de Ficheros Analizados: 13033

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







___________





Pues no veo los que esperaba ver regenerados, BURITO, KARINA, BRAVIAX, etc...



Entonces quizas esta es una variante ya conocida, si no se regenera no hace falta que generes ninguna carpeta, claro.



saludos



ms, 28 de AGOSTO DE 1008

[mendidani]

No me entero muy bien... es que no entiendo mucho de esto. Así que a ver, que recopile: envío ahora mismo las muestras que antes no pude enviar, y despues me paso el sprocer y te posteo el reultado, ok??



Sobre la vacunación, antes me pase el elistara con un pen, estará infectado?? De todas formas estos virus no pueden afectar a un mac, no?? es que es el otro ordenador con el que me estoy manejando... Vale, pues despues del sprocer vacuno el pc infectado y el pendrive y tambien te lo posteo.



Otra cosa, no he entendido lo que me has dicho de regenerarse el virus... como puedo saber si se regenera o no?? y como puedo saber el nombre de esa carpeta que tengo que crear si se regenera?? Perdona, de verdad, que soy nuevo en esto...

[mendidani]

Intento enviar las muestras pero no puedo, desde el mac me da error, y desde el pc cuando pincho en "enviar fichero sospechoso", el ordenador no hace nada, se queda como esta.



Ahora además, no me deja ni enviar esta respuesta, cuando lo intento mandar me sale que no se puede encontrar el servidor...



Te envio el informe del sprocer:



Thu Aug 28 16:23:25 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\SAVEDUMP.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\JAIME LOPEZ\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de b˙squeda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [P2kAutostart] C:\Documents and Settings\Jaime Lopez\Escritorio\p2kcommander3.2.9\P2kAutostart.exe

O4 - HKCU\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [nng32d49] C:\WINDOWS\system32\nng32d49.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [FX] C:\w.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\uxfmu.exe

O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [lphc3k2j0e39r] C:\WINDOWS\system32\lphc3k2j0e39r.exe

O4 - HKLM\..\Run: [SMrhc7k2j0e39r] C:\Archivos de programa\rhc7k2j0e39r\rhc7k2j0e39r.exe

O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio r·pido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Microsoft AntiSpyware helper - {8448A526-6316-4A20-AD8B-D0100C18C79E} - (no file) (HKCU)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_04) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camaras.costablanca.org/AxisCamControl.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de cachÈ de las categorÌas de componente - %SystemRoot%\system32\browseui.dll



InformaciÛn Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Fallback - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FALL.sys

O23 - Service: Fsks - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FSKS.sys

O23 - Service: hardlock - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: Haspnt - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\Haspnt.sys

O23 - Service: K56 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_K56K.sys

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\system32\drivers\PfModNT.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoftFax - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FAXX.sys

O23 - Service: SpeakerPhone - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_SPKP.sys

O23 - Service: Tones - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_TONE.sys

O23 - Service: V124 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_V124.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: basic2 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_BSC2.sys

O23 - Service: BDFsDrv - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\bdfsdrv.sys (file missing)

O23 - Service: BDRsDrv - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\bdrsdrv.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lÛgicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hl_mull - Unknown owner - C:\WINDOWS\System32\drivers\hl_mull.SYS

O23 - Service: hsf_msft - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_MSFT.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys

O23 - Service: Nokia USB Port (nmwcdcj) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcj.sys

O23 - Service: Nokia USB Modem (nmwcdcm) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Red Inal·mbrica Local 802.11G USB Driver (PRISM_A02) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PRISMA02.sys

O23 - Service: Controlador de vÌnculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Rksample - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_SAMP.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SiS315 - Silicon Integrated Systems Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisgrp.sys

O23 - Service: SiS PCI Fast Ethernet Adapter Driver (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: sysrest.sys - Unknown owner - C:\WINDOWS\system32\sysrest.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



46 Servicios.

15 de Carga Automatica.

30 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues debes actualizar tu XP con el SP3 y el I.E. a v7, lanzando un windowsupdate:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Internet Explorer: (v6.0.2900.2180) ;SP2;





Y en el log vemos:



O4 - HKCU\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe



O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe



Es un adware : http://www.processlibrary.com/es/directory/files/sacc



Renombra el fichero SAcc.exe a SAcc.vir y asi no se pondrá en uso a partir del proximo reinicio



Aparte, envianoslo para analizar





Tambien vemos:



O4 - HKLM\..\Run: [lphc3k2j0e39r] C:\WINDOWS\system32\lphc3k2j0e39r.exe



O4 - HKLM\..\Run: [SMrhc7k2j0e39r] C:\Archivos de programa\rhc7k2j0e39r\rhc7k2j0e39r.exe



Parecen claves de un FAKE ALERT, renombra tambien dichos fichero a .VIR y envianoslos



y estos otros:



uxfmu.exe



y este sysrest32.exe tambien:

http://www.sophos.com/security/analyses/trojdloadrbgt.html



sobre todo tras renombrarlo y reiniciar, envianos las muestras para poder analizarlos y controloar



saludos



ms, 28 de Agosto de 2008

[flacoroo]

haz lo siguiente:cambiale de extensia a vir este archivo:despues lo comprimes le pones la contraseña virus y nos lo mandas(en la parte superior hay un menu y dice mandar muestras)



O4 - HKCU\..\Run: [P2kAutostart] C:\Documents and Settings\Jaime Lopez\Escritorio\p2kcommander3.2.9\[color=#FF0000]P2kAutostart.exe[/color] debe quedar asi [color=#0000BF]P2kAutostart.vir[/color]

O4 - HKLM\..\Run: [nng32d49] C:\WINDOWS\system32\[color=#FF0000]nng32d49.exe[/color]

O4 - HKLM\..\Run: [FX] C:\[color=#FF0000]w.exe[/color]

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\[color=#FF0000]uxfmu.exe[/color]

O4 - HKLM\..\Run: [lphc3k2j0e39r] C:\WINDOWS\system32\[color=#FF0000]lphc3k2j0e39r.exe[/color]

O4 - HKLM\..\Run: [SMrhc7k2j0e39r] C:\Archivos de programa\rhc7k2j0e39r\[color=#FF0000]rhc7k2j0e39r.exe[/color]

O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\[color=#FF0000]sysrest32.exe[/color]



reinicias y nos dices como te esta llendo tu maquina

[mendidani]

A mi no me aparecen como sacc.exe, sino sólo como sacc, asi que no sé como cambiarles la extensión, ¿basta con que cambie el nombre?

Cómo os los envío?? como archivos adjuntos o como muestras? es que las muestras no me dejan mandarlas los ordenadores... no se por que.



Por otra parte, antes de leer el ultimo de tus comentarios reinicie en modo seguro y borre la carpeta rhc7k2j0e39r, que tenía fecha y hora del dia que me entro el virus y también todos sus accesos directos, despues he creado otra carpeta con el mismo nombre y al reiniciar ya no me ha vuelto a aparecer y todo "parece" funcionar correctamente, aunque va un poco lento. Así que ese ultimo que me has pedido que cambie no te lo puedo mandar porque lo eliminé con la carpeta... :?



Dime entonces cómo les cambio la extensión y cómo quieres que te los mande, vale??

[flacoroo]

buscas los archivos en cuestino y renombras el archivo añadiendo al nombre actaul que tienes .vir(un punto y la palabra vir) despues los comprimes, dentro del compresor hay una opcion donde le puedes poner una contraseña, la cual sera virus, y la mandas los archivos comprimidos a zonavirus@satinfo.es como asunto tu nick de este foro

[mendidani]

Vale, lo he hecho y todo parece ir perfecto. Ahora miro todo lo que os tengo que mandar y os lo envío como me habéis dicho, ok?? Hay algunos ficheros que no tengo, no les he podido cambiar el nombre, y supongo que tiene que ver con que antes de leer uno de los posts borre la carpeta que os he dicho... lo siento mucho.



Si pudierais decirme algun antivirus y antispyware que me recomendéis y donde conseguirlos (gratuitos) os lo agradcería muchisimo. Igual que os agradezco la ayuda, me ha ido genial con ella y el foro es magnifico. gracias

[flacoroo]

ok celebramos que ya te vaya bien.....no se te olvide actualizar tu windows con la opcion windowsupdate para que te descargues el SP3 de XP y el IE 7 y estar actualizado....

solo antes de cerrar el post te pedimos de nuevo que ejecutes el SProces y nos pegues el resultado para ver si no te queda algo por ahi........

[mendidani]

No no, he cantado victoria muy rapido... me va lentisimo y ademá me redirecciona cada vez que intento acceder a alguna página (a otras como jump, globoengine..). Y además, cuando intento mandar el e-mail con las muestras me aparece una ventana del explorer que dice "¡Vaya! no se ha podido realizar, intentelo más tarde" .Os mando el sproces:



Thu Aug 28 18:09:24 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\SAVEDUMP.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\SISTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\WLAN11G\WLAN11GSTA.EXE

C:\WINDOWS\SYSTEM32\PRISMSVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_04\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\LAUNCHAPPLICATION.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIV~1\SONY\SONICS~1\SSAAD.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KITAIM\AIMMON.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\JAIME LOPEZ\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de b˙squeda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [P2kAutostart] C:\Documents and Settings\Jaime Lopez\Escritorio\p2kcommander3.2.9\P2kAutostart.exe

O4 - HKCU\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [nng32d49] C:\WINDOWS\system32\nng32d49.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [FX] C:\w.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\uxfmu.exe

O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [lphc3k2j0e39r] C:\WINDOWS\system32\lphc3k2j0e39r.exe

O4 - HKLM\..\Run: [SMrhc7k2j0e39r] C:\Archivos de programa\rhc7k2j0e39r\rhc7k2j0e39r.exe

O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio r·pido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Microsoft AntiSpyware helper - {8448A526-6316-4A20-AD8B-D0100C18C79E} - (no file) (HKCU)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_04) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camaras.costablanca.org/AxisCamControl.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de cachÈ de las categorÌas de componente - %SystemRoot%\system32\browseui.dll



InformaciÛn Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Fallback - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FALL.sys

O23 - Service: Fsks - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FSKS.sys

O23 - Service: hardlock - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: Haspnt - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\Haspnt.sys

O23 - Service: K56 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_K56K.sys

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: PfModNT - Creative Technology Ltd. - C:\WINDOWS\system32\drivers\PfModNT.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoftFax - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_FAXX.sys

O23 - Service: SpeakerPhone - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_SPKP.sys

O23 - Service: Tones - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_TONE.sys

O23 - Service: V124 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_V124.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: basic2 - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_BSC2.sys

O23 - Service: BDFsDrv - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\bdfsdrv.sys (file missing)

O23 - Service: BDRsDrv - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\bdrsdrv.sys (file missing)

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lÛgicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hl_mull - Unknown owner - C:\WINDOWS\System32\drivers\hl_mull.SYS

O23 - Service: hsf_msft - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_MSFT.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcd.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdc.sys

O23 - Service: Nokia USB Port (nmwcdcj) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcj.sys

O23 - Service: Nokia USB Modem (nmwcdcm) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdcm.sys

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Red Inal·mbrica Local 802.11G USB Driver (PRISM_A02) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PRISMA02.sys

O23 - Service: Controlador de vÌnculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Rksample - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_SAMP.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SiS315 - Silicon Integrated Systems Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisgrp.sys

O23 - Service: SiS PCI Fast Ethernet Adapter Driver (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: sysrest.sys - Unknown owner - C:\WINDOWS\system32\sysrest.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



46 Servicios.

15 de Carga Automatica.

30 de Carga Manual.

1 Deshabilitados.

[flacoroo]

[quote="flacoroo"]haz lo siguiente:cambiale de extensia a vir este archivo:despues lo comprimes le pones la contraseña virus y nos lo mandas(en la parte superior hay un menu y dice mandar muestras)[/quote]

O4 - HKLM\..\Run: [nng32d49] C:\WINDOWS\system32\[color=#FF0000]nng32d49.exe[/color]

O4 - HKLM\..\Run: [FX] C:\[color=#FF0000]w.exe[/color]

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\[color=#FF0000]uxfmu.exe[/color]

O4 - HKLM\..\Run: [lphc3k2j0e39r] C:\WINDOWS\system32\[color=#FF0000]lphc3k2j0e39r.exe[/color]

O4 - HKLM\..\Run: [SMrhc7k2j0e39r] C:\Archivos de programa\rhc7k2j0e39r\[color=#FF0000]rhc7k2j0e39r.exe[/color]O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\[color=#FF0000]sysrest32.exe[/color]



estos archivos ya le habia dicho en un post anterior lo que deberia hacer....hagalo y reinicie y nos manda los archivos y nos dice como le va su compu....

[mendidani]

Ya, pero es que estos archivos no los consigo encontrar... si me dicen como buscarlos... porque mediante el explorador de windows no lo consigo...

[msc hotline sat]

Si no los encuentra en las rutas especificadas puede que sea por estar ocultos o tener atributo de sistema, configure su windows para verlos todos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 28 de Agosto de 2008

[mendidani]

No, ni así, no están...

[mendidani]

pero además no me funciona internet, tengo conexion, pero el explorer me dice constantemente que no se puede encontrar la pagina

[msc hotline sat]

Pues arranque en modo seguro y elimine las claves indicadas por flacoroo



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 28 de Agiosto de 2008

[mendidani]

vale, pero qué es hjt???

[flacoroo]

HiJackThis es un programa que hacen un scan de tus sistemas, y tambien se peuden eliminar ciertos registros que solo los experto te deben recomendar......debes seguir estos pasos para eliminar los procesos que te mencionaremos:

ejecuta de nuevo el HiJackThis, deja que genere el log(no es la copia que sale en block de notas) habilitas solo los procesos que te indicamos(debes tener cuidado para no equivocarte) y despues en pulsas la opcion FIX CHECKED y asi las eliminaras,

si te pide guardar una copia dale que si, despues reinicias y nos dices como va tu compu....

[mendidani]

Vale, para no equivocarme... dónde puedo conseguir hijackthis?? y otra cosita, decidme claramente cuales son los ficheros que tengo que eliminar por favor...

[flacoroo]

[b][color=blue]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



y los ficheros son.....


[quote="flacoroo"]O4 - HKLM\..\Run: [nng32d49] C:\WINDOWS\system32\nng32d49.exe

O4 - HKLM\..\Run: [FX] C:\w.exe

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\uxfmu.exe

O4 - HKLM\..\Run: [lphc3k2j0e39r] C:\WINDOWS\system32\lphc3k2j0e39r.exe

O4 - HKLM\..\Run: [SMrhc7k2j0e39r] C:\Archivos de programa\rhc7k2j0e39r\rhc7k2j0e39r.exeO4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe[/quote]



te puedes guiar por el Número que tiene al principio.......



y haces esto:ejecuta de nuevo el HiJackThis, deja que genere el log(no es la copia que sale en block de notas) habilitas solo los procesos que te indicamos(debes tener cuidado para no equivocarte) y despues en pulsas la opcion FIX CHECKED y asi las eliminaras,

si te pide guardar una copia dale que si, despues reinicias y nos dices como va tu compu....

[mendidani]

A ver, aquí va:



Logfile of HijackThis v1.99.1

Scan saved at 22:35:15, on 28/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = VÌnculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [nng32d49] C:\WINDOWS\system32\nng32d49.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [FX] C:\w.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\uxfmu.exe

O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [lphc3k2j0e39r] C:\WINDOWS\system32\lphc3k2j0e39r.exe

O4 - HKLM\..\Run: [SMrhc7k2j0e39r] C:\Archivos de programa\rhc7k2j0e39r\rhc7k2j0e39r.exe

O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [P2kAutostart] C:\Documents and Settings\Jaime Lopez\Escritorio\p2kcommander3.2.9\P2kAutostart.exe

O4 - HKCU\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - Global Startup: Inicio r·pido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Microsoft AntiSpyware helper - {8448A526-6316-4A20-AD8B-D0100C18C79E} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {8448A526-6316-4A20-AD8B-D0100C18C79E} - (no file) (HKCU)

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camaras.costablanca.org/AxisCamControl.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe







Los elimino???

[mendidani]

Ya los he eliminado con hijackthis, pero el explorador sigue sin funcionarme, dice que no es posible encontrar la pagina. Qué hago??