Un virus no me deja acceder a webs de antivirus

[alxer]

Hola a todos,

Acabo de registrarme al foro porque llevo unos dias estresado ya con este virus.

No puedo acceder a la mayoria de paginas web de antivirus (panda, bitdefender, avg,...), el explorador me dice que no se puede establecer una conexión con el servidor (con otro ordenador conectado a la misma conexion de internet si que puedo acceder).

Esto me priva el poder pasar un antivirus online o descargar alguno de gratis. Hasta ahora usaba el panda antivirus pero se ve que se le ha colado algun bichejo.



Me gustaria saber si alguien se ha encontrado con el mismo problema y me puede ayudar. Decidme que datos necesitais y os los posteare.



Muchisimas gracias.

Alxer

[msc hotline sat]

Por si tuvieras en el HOSTS redirecciones de dichas wbes, renombra dicho fichero a extension .OLD

Está en C:\windows\system32\drivers\etc\ y no tiene extension. Tienes que pulsar boton derecho sobre él, seleccionar CAMBIAR NOMBRE y le pones en su lugar el de HOSTS.OLD

Luego arrancas en modo seguro con funciones de red para evitar que se cargue el posible virus que tienes, y lanzas este AV ONLINE y nos posteas el informe resultante:
SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

A la vista de lo que tengas, obraremos en consecuencia

saludos
ms, 28-09-2008

[alxer]

Muchas gracias por responder tan rapido.

No puedo hacer lo que me pides ya que el ordenador en cuestion es un portatil y me conecto a internet via wireless. Por lo tanto, al iniciar en modo seguro no me deja conectarme a internet y no puedo pasar ese antivirus online.



Merci por la respuesta de todas formas.

Alxer

[msc hotline sat]

Bueno, pues una vez renombrado el HOSTS, prueba de navegar hasta la web del AV ONLINE y lanzalo, a ver si tras lo hecho, puedes



saludos



ms, 28-09-2008

[alxer]

Nada, a esta web tampoco puedo acceder. Me dice lo mismo.
Y si paso una herramienta de estas de scan? veo que recomendais pasar el Elistara este.. Si lo paso y os posteo los logs podría servir de algo en mi caso?

He pasado la versión trial de Bitdefender y dice que encuentra este problema:
[System]=]C:\WINDOWS\system32\drivers\svchost.exe (memory dump) Trojan.Downloader.JKQS Desinfección Fallida
[System]=]C:\WINDOWS\system32\drivers\svchost.exe (full dump) Trojan.Downloader.JKQS Desinfección Fallida

Mil mercis por todo.
Alxer

[lucl]

Prueba elistara a ver que ocurre y luego nos pegas el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Sí, y el ELITRIIP tambien... ambos controlan malwares que impiden acceder a wevs de casas antivirus, pero solo son un complemento, los antivirus controlan muchas mas, pero por probar...:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 28-09-2008

[alxer]

Hola de nuevo,
He hecho lo que me habeis dicho, he pasado el Elistara y el Elitriip. Me he dado cuenta que tampoco puedo acceder a la web de WindowsUpdate. Por lo demas, despues de reiniciar, sigo igual.
Aqui os pego los 2 logs:

################# ELISTARA ######################

Sun Sep 28 22:37:34 2008
EliStartPage v17.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Septiembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v17.06
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE --> Eliminado 
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Entrada Eliminada [HKCU\...\Run] "svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Sep 28 22:38:14 2008
EliStartPage v17.06  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Daniusoft\Video to Creative Zen Converter\WS_LOG.DLL --> Eliminado, 180Solutions
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios:   5363
Nº Total de Ficheros:      67164
Nº de Ficheros Analizados: 14555
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

######################################################
################ ELITRIIP #######################


	  Sun Sep 28 22:54:46 2008
EliTriIP v5.08  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

	  Sun Sep 28 22:54:56 2008
EliTriIP v5.08  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   5358
Nº Total de Ficheros:      67154
Nº de Ficheros Analizados: 13834
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

################################################

Gracias a los dos.
He visto que a veces pediis el Sproces, lo paso y os lo posteo tambien?
Alxer

[msc hotline sat]

Sí, posteanos el SPROCLOG.TXT, pero envianos la muestra que te pedimos !!! :

Por favor, envienos una muestra del fichero
C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v17.06

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos
ms, 29-09-2008

[alxer]

Aqui teneis el log de SProces. Diria que he subido bien el fichero de muestra que me pediais (link envio muestras desde este mismo tema). Por si sirve, a veces cuando enchego el pc despues de la pantalla de carga de windows i antes de la de bienvenida con la lista de usurios se me queda el portatil colgado con una pantalla negra y tengo ke reiniciarlo "a sako".

#################### SProcLog.txt #########################

Sun Sep 28 23:19:02 2008
SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v7.0.5730.13) 0

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\BITDEFENDER\BITDEFENDER UPDATE SERVICE\LIVESRV.EXE
C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\VSSERV.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE
C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\ARCHIVOS DE PROGRAMA\COMPAL ELECTRONICS, INC\SMART WATCHDOG\SWDSVC.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.EXE
C:\ARCHIVOS DE PROGRAMA\ELANTECH\KTP.EXE
C:\WINDOWS\SYSTEM32\TSNP2STD.EXE
C:\WINDOWS\VSNP2STD.EXE
C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\ZCFGSVC.EXE
C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\IFRMEWRK.EXE
C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EOUWIZ.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\COMPAL ELECTRONICS, INC\WIRELESS SELECT SWITCH\WIRELESS SELECT SWITCH.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\LIFEVIEW MVP\REMOTECONTROL.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\CREATIVE ZEN\ZEN MEDIA EXPLORER\CTCHECK.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\BDAGENT.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE
C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS\DAEMON.EXE
C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SYNC MANAGER UNICODE\CTSYNCU.EXE
C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE
C:\ARCHIV~1\INTEL\WIRELESS\BIN\DOT1XCFG.EXE
C:\ARCHIV~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\SECCENTER.EXE
C:\DOCUMENTS AND SETTINGS\ALEIX\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Archivos de programa\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ShutDownPC] C:\Archivos de programa\ShutDown PC/ShutDownPC.exe 02:30
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KTPWare] C:\Archivos de programa\Elantech\ktp.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\system32\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Smart Watch Dog] -C:\Archivos de programa\Compal Electronics, INC\Smart Watchdog\SmartWD.exe
O4 - HKLM\..\Run: [CASS] C:\Archivos de programa\Compal Electronics, INC\Wireless Select Switch\Wireless Select Switch.exe
O4 - HKLM\..\Run: [Shutdown Scheduler] C:\ARCHIV~1\PURPLE~1\SYSTEM~1\Shutdown.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [DTVRemote] "C:\Archivos de programa\LifeView MVP\RemoteControl.exe"
O4 - HKLM\..\Run: [CTCheck] C:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Archivos de programa\BitDefender\BitDefender 2009\IEShow.exe"
O4 - Startup: desktop.ini
O4 - Global Startup: BTTray.lnk
O4 - Global Startup: desktop.ini
O4 - Global Startup: Microsoft Office.lnk
O4 - Global Startup: Update Scheduler for Proteus Professional 7.lnk
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190672206562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200953515421
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc4.cab
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.10.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys
O23 - Service: BDVEDISK - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2009\BDVEDISK.sys
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys
O23 - Service: Smart Watchdog Service (Smart Watchdog) - Unknown owner - C:\Archivos de programa\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe
O23 - Service: System Shutdown (SystemShutdown) - Unknown owner - C:\ARCHIV~1\PURPLE~1\SYSTEM~1\shutdownservice.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Archivos de programa\BitDefender\BitDefender 2009\vsserv.exe

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: BDFM (bdfm) - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfm.sys
O23 - Service: BitDefender Firewall NDIS Filter Service (Bdfndisf) - BitDefender LLC - C:\WINDOWS\SYSTEM32\DRIVERS\bdfndisf.sys
O23 - Service: bdfsfltr - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfsfltr.sys
O23 - Service: BDSelfPr - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2009\bdselfpr.sys
O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys
O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys
O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys
O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys
O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys
O23 - Service: Módem Bluetooth (btwmodem) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwmodem.sys
O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys
O23 - Service: CamFilter - Compal Inc. - C:\WINDOWS\SYSTEM32\Drivers\CamFilter.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DSDrv4 - Unknown owner - C:\ARCHIV~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys (file missing)
O23 - Service: EMSCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\EMS7SK.sys
O23 - Service: ESDCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ESD7SK.sys
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: HWIONT - Unknown owner - C:\Archivos de programa\MoreTV\MoreTV 3.53\HWIONT.sys (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: Elantech Touchpad (Ktp) - ELANTECH Devices Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\Ktp.sys
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PANDA NDIS IM Filter Miniport (NETIMFLT) - Panda Software - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys
O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows XP de 32 bits (NETw4x32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw4x32.sys
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Profos - Unknown owner - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Threat Scanner\profos.sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: USB2.0 PC Camera (SNP2STD) (SNP2STD) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snp2sxp.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: Trident Device (TridDev) - Trident Microsystem Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\Triddev.sys
O23 - Service: Trident Analog plus Digital Video (TridVid) - Trident Multimedia Technologies Co.,Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\TridVid.sys
O23 - Service: Trufos - Unknown owner - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Threat Scanner\trufos.sys
O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

 55 Servicios.
 15 de Carga Automatica.
 39 de Carga Manual.
  1 Deshabilitados.

################################################

Mil gracias de nuevo, si necesitáis algún fichero / escaneo mas, decirlo.
Alxer

[msc hotline sat]

Pues de entrada faltan parches:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Lanza un windowsupdate e instala el SP3 !!!





y vemos claves de Panda y de Bit Defender, solo debe haber un antivirus instalado por ordenador para evitar colisiones y ralentizacion, por ello escoje uno y elimina totalmente el otro.





y por lo demas, sin poder lanzar un escaneo ONLINE, descarga esta aplicacion, la lanzas y tras reiniciar creará un informe, lo salvas y nos lo posteas, a ver si con ello lo podemos arreglar.



htttp://downloads.subratam.org/Fixwareout.exe



saludos



ms, 29-09-2008

[alxer]

A ver..

No puedo acceder a la web de WindowsUpdate, supongo que por el virus este.

El Panda esta desinstalado, estoy usando la version trial de BitDefender (el virus no me deja actualizarlo), he borrado la carpeta de Panda de Archivos de Programa ya que quedaba un archivo dentro, pero no se que mas archivos de panda quedan en el sistema.

Aqui te pego los logs del Fixewareout:



##############################################################



Username "Aleix" - 29/09/2008 22:20:54 [Fixwareout edited 9/01/2007]



~~~~~ Prerun check





System was rebooted successfully.



~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "System"=""

....

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....



~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"RTHDCPL"="RTHDCPL.EXE"

"AzMixerSel"="C:\\Archivos de programa\\Realtek\\InstallShield\\AzMixerSel.exe"

"AGRSMMSG"="AGRSMMSG.exe"

"KTPWare"="C:\\Archivos de programa\\Elantech\\ktp.exe"

"tsnp2std"="C:\\WINDOWS\\system32\\tsnp2std.exe"

"snp2std"="C:\\WINDOWS\\vsnp2std.exe"

"IntelZeroConfig"="\"C:\\Archivos de programa\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""

"IntelWireless"="\"C:\\Archivos de programa\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"

"EOUApp"="\"C:\\Archivos de programa\\Intel\\Wireless\\Bin\\EOUWiz.exe\""

"Smart Watch Dog"="-C:\\Archivos de programa\\Compal Electronics, INC\\Smart Watchdog\\SmartWD.exe"

"CASS"="C:\\Archivos de programa\\Compal Electronics, INC\\Wireless Select Switch\\Wireless Select Switch.exe"

"Shutdown Scheduler"="C:\\ARCHIV~1\\PURPLE~1\\SYSTEM~1\\Shutdown.exe"

"TkBellExe"="\"C:\\Archivos de programa\\Archivos comunes\\Real\\Update_OB\\realsched.exe\" -osboot"

"NeroFilterCheck"="C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NeroCheck.exe"

"DTVRemote"="\"C:\\Archivos de programa\\LifeView MVP\\RemoteControl.exe\""

"CTCheck"="C:\\Archivos de programa\\Creative\\Creative ZEN\\ZEN Media Explorer\\CTCheck.exe"

"SunJavaUpdateSched"="\"C:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\jusched.exe\""

"Adobe Reader Speed Launcher"="\"C:\\Archivos de programa\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""

"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\QTTask.exe\" -atboottime"

"BDAgent"="\"C:\\Archivos de programa\\BitDefender\\BitDefender 2009\\bdagent.exe\""

"BitDefender Antiphishing Helper"="\"C:\\Archivos de programa\\BitDefender\\BitDefender 2009\\IEShow.exe\""



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

"ShutDownPC"="C:\\Archivos de programa\\ShutDown PC/ShutDownPC.exe 02:30"

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NMBgMonitor.exe\""

"DAEMON Tools"="\"C:\\Archivos de programa\\DAEMON Tools\\daemon.exe\" -lang 1033"

"MSMSGS"="\"C:\\Archivos de programa\\Messenger\\msmsgs.exe\" /background"

"CTSyncU.exe"="\"C:\\Archivos de programa\\Creative\\Sync Manager Unicode\\CTSyncU.exe\""

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~



#################################################################



Gracias, gracias y gracias.

Alxer

[alxer]

He conseguido actualizar Windows a Service Pack 3 descargando el paquete desde otro pc.

Vuelvo a pegaros los logs de Sproces y de Fixewareout...



########################### SProces ##############################



Tue Sep 30 01:25:03 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\BITDEFENDER\BITDEFENDER UPDATE SERVICE\LIVESRV.EXE

C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\VSSERV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EVTENG.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\S24EVMON.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\REGSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\COMPAL ELECTRONICS, INC\SMART WATCHDOG\SWDSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\ARCHIVOS DE PROGRAMA\ELANTECH\KTP.EXE

C:\WINDOWS\SYSTEM32\TSNP2STD.EXE

C:\WINDOWS\VSNP2STD.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\ZCFGSVC.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\IFRMEWRK.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\WIRELESS\BIN\EOUWIZ.EXE

C:\ARCHIVOS DE PROGRAMA\COMPAL ELECTRONICS, INC\WIRELESS SELECT SWITCH\WIRELESS SELECT SWITCH.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\LIFEVIEW MVP\REMOTECONTROL.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\CREATIVE ZEN\ZEN MEDIA EXPLORER\CTCHECK.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\BDAGENT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SYNC MANAGER UNICODE\CTSYNCU.EXE

C:\ARCHIV~1\INTEL\WIRELESS\BIN\DOT1XCFG.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE

C:\ARCHIV~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\LIFEVIEW MVP\LIFEVIEWMVP.EXE

C:\ARCHIVOS DE PROGRAMA\BITDEFENDER\BITDEFENDER 2009\SECCENTER.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ALEIX\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Archivos de programa\BitDefender\BitDefender 2009\IEToolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ShutDownPC] C:\Archivos de programa\ShutDown PC/ShutDownPC.exe 02:30

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KTPWare] C:\Archivos de programa\Elantech\ktp.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\system32\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] "C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe"

O4 - HKLM\..\Run: [Smart Watch Dog] -C:\Archivos de programa\Compal Electronics, INC\Smart Watchdog\SmartWD.exe

O4 - HKLM\..\Run: [CASS] C:\Archivos de programa\Compal Electronics, INC\Wireless Select Switch\Wireless Select Switch.exe

O4 - HKLM\..\Run: [Shutdown Scheduler] C:\ARCHIV~1\PURPLE~1\SYSTEM~1\Shutdown.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [DTVRemote] "C:\Archivos de programa\LifeView MVP\RemoteControl.exe"

O4 - HKLM\..\Run: [CTCheck] C:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\BitDefender\BitDefender 2009\bdagent.exe"

O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Archivos de programa\BitDefender\BitDefender 2009\IEShow.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: BTTray.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: Update Scheduler for Proteus Professional 7.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190672206562

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200953515421

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc4.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.10.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: BDVEDISK - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2009\BDVEDISK.sys

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Transporte WLAN (s24trans) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s24trans.sys

O23 - Service: Smart Watchdog Service (Smart Watchdog) - Unknown owner - C:\Archivos de programa\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe

O23 - Service: System Shutdown (SystemShutdown) - Unknown owner - C:\ARCHIV~1\PURPLE~1\SYSTEM~1\shutdownservice.exe (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Archivos de programa\BitDefender\BitDefender 2009\vsserv.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe

O23 - Service: BDFM (bdfm) - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfm.sys

O23 - Service: BitDefender Firewall NDIS Filter Service (Bdfndisf) - BitDefender LLC - C:\WINDOWS\SYSTEM32\DRIVERS\bdfndisf.sys

O23 - Service: bdfsfltr - BitDefender S.R.L. Bucharest, ROMANIA - C:\WINDOWS\SYSTEM32\drivers\bdfsfltr.sys

O23 - Service: BDSelfPr - BitDefender S.R.L. - C:\Archivos de programa\BitDefender\BitDefender 2009\bdselfpr.sys

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys

O23 - Service: Módem Bluetooth (btwmodem) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwmodem.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: CamFilter - Compal Inc. - C:\WINDOWS\SYSTEM32\Drivers\CamFilter.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: DSDrv4 - Unknown owner - C:\ARCHIV~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys (file missing)

O23 - Service: EMSCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\EMS7SK.sys

O23 - Service: ESDCR - ENE Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ESD7SK.sys

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HWIONT - Unknown owner - C:\Archivos de programa\MoreTV\MoreTV 3.53\HWIONT.sys (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Elantech Touchpad (Ktp) - ELANTECH Devices Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\Ktp.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: PANDA NDIS IM Filter Miniport (NETIMFLT) - Panda Software - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows XP de 32 bits (NETw4x32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw4x32.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Profos - Unknown owner - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Threat Scanner\profos.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: USB2.0 PC Camera (SNP2STD) (SNP2STD) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snp2sxp.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Trident Device (TridDev) - Trident Microsystem Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\Triddev.sys

O23 - Service: Trident Analog plus Digital Video (TridVid) - Trident Multimedia Technologies Co.,Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\TridVid.sys

O23 - Service: Trufos - Unknown owner - C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Threat Scanner\trufos.sys

O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



55 Servicios.

15 de Carga Automatica.

39 de Carga Manual.

1 Deshabilitados.

####################################################################



######################### Fixewareout ###############################



Username "Aleix" - 30/09/2008 1:02:11 [Fixwareout edited 9/01/2007]



~~~~~ Prerun check



Se vació con éxito la caché de resolución de DNS.





System was rebooted successfully.



~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "System"=""

....

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....



~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"RTHDCPL"="RTHDCPL.EXE"

"AzMixerSel"="C:\\Archivos de programa\\Realtek\\InstallShield\\AzMixerSel.exe"

"AGRSMMSG"="AGRSMMSG.exe"

"KTPWare"="C:\\Archivos de programa\\Elantech\\ktp.exe"

"tsnp2std"="C:\\WINDOWS\\system32\\tsnp2std.exe"

"snp2std"="C:\\WINDOWS\\vsnp2std.exe"

"IntelZeroConfig"="\"C:\\Archivos de programa\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""

"IntelWireless"="\"C:\\Archivos de programa\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"

"EOUApp"="\"C:\\Archivos de programa\\Intel\\Wireless\\Bin\\EOUWiz.exe\""

"Smart Watch Dog"="-C:\\Archivos de programa\\Compal Electronics, INC\\Smart Watchdog\\SmartWD.exe"

"CASS"="C:\\Archivos de programa\\Compal Electronics, INC\\Wireless Select Switch\\Wireless Select Switch.exe"

"Shutdown Scheduler"="C:\\ARCHIV~1\\PURPLE~1\\SYSTEM~1\\Shutdown.exe"

"TkBellExe"="\"C:\\Archivos de programa\\Archivos comunes\\Real\\Update_OB\\realsched.exe\" -osboot"

"NeroFilterCheck"="C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NeroCheck.exe"

"DTVRemote"="\"C:\\Archivos de programa\\LifeView MVP\\RemoteControl.exe\""

"CTCheck"="C:\\Archivos de programa\\Creative\\Creative ZEN\\ZEN Media Explorer\\CTCheck.exe"

"SunJavaUpdateSched"="\"C:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\jusched.exe\""

"Adobe Reader Speed Launcher"="\"C:\\Archivos de programa\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""

"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\QTTask.exe\" -atboottime"

"BDAgent"="\"C:\\Archivos de programa\\BitDefender\\BitDefender 2009\\bdagent.exe\""

"BitDefender Antiphishing Helper"="\"C:\\Archivos de programa\\BitDefender\\BitDefender 2009\\IEShow.exe\""



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

"ShutDownPC"="C:\\Archivos de programa\\ShutDown PC/ShutDownPC.exe 02:30"

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NMBgMonitor.exe\""

"DAEMON Tools"="\"C:\\Archivos de programa\\DAEMON Tools\\daemon.exe\" -lang 1033"

"MSMSGS"="\"C:\\Archivos de programa\\Messenger\\msmsgs.exe\" /background"

"CTSyncU.exe"="\"C:\\Archivos de programa\\Creative\\Sync Manager Unicode\\CTSyncU.exe\""

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~

####################################################################



Alxer

[msc hotline sat]

Pues del log posteado, cabe indicar:



A la vista de lo indicado por http://www.baidumsg.com/malwareremoval/malwareremoval_21004.html





cabe sospechar de este fichero:



C:\ARCHIVOS DE PROGRAMA\LIFEVIEW MVP\LIFEVIEWMVP.EXE



por lo que si no es voluntaria, envianosla para analizar.







Tambien este otro es atípico:



C:\Archivos de programa\ShutDown PC/ShutDownPC.exe





posiblemente sea una aplicacion para cerrar el PC a una hora determinada, por lo que si es asi, dejela estar, y si no, envienosla para analizar.





Analizaremos las muestras que nos envie, pero vemos probable que sean voluntarias, asi que diganos si tras lo hecho hasta ahora, aun peristen anomalias, o ha cambiado la situacion, gracias



saludos



ms, 30-09-2008

[msc hotline sat]

Recibida esta muestra: C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v17.06

Corresponde a un downlader ya controlado por McAfee.

Implementaremos su control y eliminación en el ELISTARA 17.07 de hoy

Tras probarlo, posteenos el c:\infosat.txt resultante y comentenos si todavía persisten las anomalias.

saludos
ms, 30-09-2008

[alxer]

A ver, os cuento:

- Ante nada, si, persisten las anomalias: no puedo acceder a pag. web de antivirus, algunos foros de discusion de virus (en este por suerte si), a la pag. web de Windows Update, tampoco puedo actualizar mi antivirus, y otras cosas que ya no se si son del virus o del pc...



Sobre los ficheros que me deciis:

- El "C:\ARCHIVOS DE PROGRAMA\LIFEVIEW MVP\LIFEVIEWMVP.EXE" es el ejecutable de el programa que uso para ver la televisión con el sintonizador que lleva el portatil.

- Lo raro, raro, raro es el "C:\Archivos de programa\ShutDown PC/ShutDownPC.exe". Podria ser que en su dia instalara un programa con un nombre similar o igual a Shutdown PC pero ahora mismo no existe dicha carpeta ("C:\Archivos de programa\ShutDown PC") ni dicho fichero ("ShutDownPC.exe" - he hecho una busqueda en el sistema de un fichero con este nombre). Observad algo que a mi me parece raro: en el path, la barra final entre la carpeta "ShutDown PC" y el archivo "ShutDownPC.exe" está al revés de las tipicas barras "\", esto significa algo??



Asi que os mandaria una muestra de el "ShutDownPC.exe", pero no existe..



Ahora pasaré el Elistara 17.08 como me deciis, os pegare sus logs y os enviare los ficheros que me pida enviar...



Espero que no sea muy grave...

Merci, de veras.

Alxer

[alxer]

La he liado! La he liado gorda!

Os cuento lo que ha pasado:

1. He pasado el Elistara 17.08 y éste me ha eliminado un troyano y me pedia que enviara 3 muestras de ficheros, luego al escanear me ha borrado dos ficheros infectados, al finalizar me ha dicho lo del fichero de logs.

2. He reiniciado el portatil, ya se que no lo pide pero lo he hecho por si a caso. Se ha reiniciado perfectamente, he comprobado si seguian las anomalias y he visto que todo volvia a funcionar perfectamente, las anomalias habian desaparecido!! He aprovechado ante nada y he actualizado el antivirus Bitdefender y he iniciado un escaneo completo del PC.

3. Me he propuesto inmediatamente a daros la gran noticia y a felicitaros por todo. Pero...

4. Mientras escribia el mensaje y buscaba las muestras de los ficheros para enviaroslos... PAM!!! El PC se me ha quedao bloqueado de una forma muuy rara (podia seguir escribiendo en el campo de texto del foro y mover el cursor, pero no podia ni cambiar de ventana, ni acceder a la barra de inicio de Windows, tampoco funcionaba el Ctrl+Alt+Supr ni nada - que raro, verdad?). He reiniciado el PC apretando el boton de apagar un rato esperando que al enchegarse todo volviera a la normalidad...



Situación Actual:

No puedo enchegar el portatil, tras la pantalla de carga de Windows (el logo de Windows con la barra de carga esa), se me queda una pantalla en negro indefinidamente. Éste mensaje os lo mando desde el portatil de mi hermano.

La he liado cacho, verdad?

Lo único que se me ocurre es que el Elistara haya borrado algun fichero importante para el inicio de Windows, pero entonces porque he podido reiniciar windows la primera vez despues de pasar el Elistara??



Necesito ayuda.

Algun consejo?

Merci por todo.

Alxer

[msc hotline sat]

Porque lo mas seguro es que no ha sido por lo hecho por el ELISTARA, está claro !
De todas formas, posteanos el contenido de c:\infosat.txt para ver lo que h encontrado, gracias

Y lo que dices del ShutdownPC, fijate que la clave termina en 2:30 , te suena que quisieras apagar el ordenador a dicha hora, o que asi lo programaras por algo ???
O4 - HKCU\..\Run: [ShutDownPC] C:\Archivos de programa\ShutDown PC/ShutDownPC.exe 02:30

y la barra / indica que es una opcion o un fichero que está contenido en el otro, por tratarse de un autoextraible o de un instalador o de un empaquetado ZIP o RAR, pero no es significativo de virus.

Y si tienes problemas en el arranque, de momento mira de arrancar en modo seguro o modo seguro con funciones de red si quieres ademas navegar.

saludos
ms, 30-09-2008

[alxer]

Si, si, me creo que el Elistara no ha causado esto ya que si fuera asi no hubira podido enchegar el PC despues de pasar el Elistara.

Lo de shutdownPC: lo que uso de vez en cuando es el comando shutdown de windows (inicio -> ejecutar -> shutdown -i). Pero no uso ningún programa especial. Y si, puede ser que programara el apagado automatico para las 2:30 mas o menos con este comando.

No os puedo enviar el infosat.txt ya que no puedo iniciar windows ni en modo normal ni en modo seguro, ni en modo "ultima configuración buena conocida" (o algo asi), ni en símbolo de sistema,...
La verdad es que no se cuelga siempre en el mismo punto (pero nunca llego a entrar a la sesión):
- Antes intenté enchegarlo en modo seguro y se estuvo en pantalla negra unos 5 minutos, luego salió la pantalla azul de "Windows se está iniciando..." y me pasé mas de 15min esperando a que saliera la pantalla de inicio de sesion hasta que he reiniciado manualmente.
- También intente iniciar normalmente y al cabo de un rato del pantallazo negro, salió una pantalla azul de estas de error grave y se reinició el pc solo.
- La ultima vez he llegado hasta la pantalla de inicio de sesión, pero he puesto la contraseña, le he dado al ENTER y se ha vuelto a quedar bloqueado 20min hasta que le he dado al botón de apagar un rato.

Que puedo hacer? Alguna solución que no implique pérdida de datos?

Alxer

[msc hotline sat]

Puede que todo está relacionado con este fichero, que NO PARECE SER EL QUE DICE DEL SISTEMA OPERATIVO ...
C:\Archivos de programa\ShutDown PC/ShutDownPC.exe

Voy a ver si lo tengo en mi equipo ...
Tal como pensaba, el del sistema operativo no es este que indica, sino que es:
C:\WINDOWS\system32\shutdown.exe

en lugar del que usa desde Archivos de programa y con el nombre de ShutdownPC ???

Voy a ver si se habla de este ShutdownPC.EXE en alguna parte...

Pues sí, y tras descargarlo y probarlo (tras pasarlo por el Virustotal y solo un antivirus detectarle un sospechoso DNASCAN, lo que me ha hecho ha sido apagar el ordenador, lo cual era lo menos que podía hacer.

No sé si el que tiene en el ordenador es el mismo, pero lo que está claro es que no es del sistema operativo, pudiendo ser cualquier cosa con este nombre, aunque se suponga lo que es...

Si no sabe decirnos nada mas al respecto de como o cuando lo instaló, ni de donde, solo podemos sugerir que coloque el disco duro como esclavo de otro equipo y copie dicho fichero al disco duro Master y nos lo envie para analizar, a ver lo que es... Y de paso, copie también el c:\infosat.txt y nos lo postea, asi veremos lo que hizo el ELISTARA cuando lo probó.

Por otro lado le sugiero que renombre la extension de dicho fichero a .VIR, y asi pruebe de nuevo instalarlo como Master en el otro equipo y vea si ya arranca ???

Otra manera de actuar sería con un LIVE CD de Linux, o similar, pero lo que seguro que tiene a mano es el otro PC desde el que postea y por ello hemos sugerido lo de colocar como esclavo en este el disco duro afectado.

saludos
ms, 1 de Octubre de 2008

[alxer]

Ahora mismo estoy trabajando pero no había caído en eso: en el portátil que no se inicia Windows tengo el linux (Ubuntu) instalado también, mira tu que casualidad... Cómo no me atrevo a sacar el disco duro del portátil, ya que no se como se hace, en cuanto llegue a casa probaré de acceder con el linux (diría que éste tiene acceso a los discos duros de Windows, NTFS), así que os enviaré las muestras y os postearé el infosat.txt.



Aún así, como ya dije, aunque en los logs aparezca el fichero "C:\Archivos de programa\ShutDown PC/ShutDownPC.exe". Éste no existe en mi sistema (ni poniendo "mostrar ficheros ocultos" y "mostrar ficheros protegidos del SO" aparece dicho fichero). Además he hecho una búsqueda en todo el PC de algún archivo con nombre "ShutDownPC" y no me ha encontrado nada.

Así que el fichero shutdownPC no puedo enviároslo.



Así que si puedo hacer algo desde linux para recuperar el Windows, decírmelo.

Muchas gracias.

Alxer

[msc hotline sat]

Pues elimina esta clave:
O4 - HKCU\..\Run: [ShutDownPC] C:\Archivos de programa\ShutDown PC/ShutDownPC.exe 02:30

Y como hemos dicho, con un LIVE CD podras arrancar y acceder a la informacion.

Sugiero de momento REPARAR windows, a ver si asi ya arranca desde él mismo...:

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos
ms, 1 de octubre de 2008

[alxer]

Siento hacerme tan pesado pero tengo dos dudillas:

1. Cómo puedo eliminar la clave?:
O4 - HKCU\..\Run: [ShutDownPC] C:\Archivos de programa\ShutDown PC/ShutDownPC.exe 02:30
Si eliminar la clave significa borrar el fichero "C:\Archivos de programa\ShutDown PC/ShutDownPC.exe", entonces no puedo hacerlo porque como dije antes, no existe ese fichero.
2. Si reparo Windows desde el CD de instalación, que datos voy a perder? Sólo las actualizaciones de Windows o algo más?

Muchas gracias.
Alxer

[msc hotline sat]

No hombre, las claves las eliminamos con el HJT, como se indica en:
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

Y por cierto, acabamos de subir nueva utilidad 17.09 del ELISTARA para corregir falsa deteccion del CTFMON... y añadir nuevas cadenas. Pruebala!

saludos
ms, 1 de octubre de 2008

[alxer]

Uixx.. :p No me había leído el segundo post de eliminación de claves aún...

OK, pero como ejecuto el HijackThis(HJT) desde linux si éste es un ejecutable .exe? O lo de eliminar la clave quieres decir que lo haga después de haber reparado Windows?

Merci por la paciencia.
Alxer

[msc hotline sat]

No, el registro solo se puede corregir en la máquina y sistema con el que se ha arrancado, por ello como ya adivinas debes reparar primero windows y cuando ya arranques con él, eliminar dicha clave

Por cierto, acabamos de subir nueva version 17.09 del ELISTARA, pruebala luego, que hay mejoras

saludos
ms, 1 de Octubre de 2008

[alxer]

OK, he entrado con el linux (Ubuntu) y he podido acceder al InfoSat.txt y a los ficheros de muestras. Os he enviado las muestras de los 3 ficheros que me pedia enviar y os posteo los logs de infosat.txt a continuación:

Tue Sep 30 20:16:29 2008
EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CTFMON.EXE.Muestra EliStartPage v17.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CTFMON.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\TSNP2STD.EXE.Muestra EliStartPage v17.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\TSNP2STD.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\VSNP2STD.EXE.Muestra EliStartPage v17.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\VSNP2STD.EXE --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
Entrada Eliminada [HKCU\...\Run] "SHUTDOWNPC"="C:\Archivos de programa\ShutDown PC/ShutDownPC.exe 02:30"
Entrada Eliminada [HKCU\...\Run] "DAEMON TOOLS"=""C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033"
Entrada Eliminada [HKCU\...\Run] "MSMSGS"=""C:\Archivos de programa\Messenger\msmsgs.exe" /background"
Entrada Eliminada [HKCU\...\Run] "CTSYNCU.EXE"=""C:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe""
Entrada Eliminada [HKLM\...\Run] "NWIZ"="nwiz.exe /install"
Entrada Eliminada [HKLM\...\Run] "RTHDCPL"="RTHDCPL.EXE"
Entrada Eliminada [HKLM\...\Run] "AZMIXERSEL"="C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe"
Entrada Eliminada [HKLM\...\Run] "AGRSMMSG"="AGRSMMSG.exe"
Entrada Eliminada [HKLM\...\Run] "TSNP2STD"="C:\WINDOWS\system32\tsnp2std.exe"
Entrada Eliminada [HKLM\...\Run] "SNP2STD"="C:\WINDOWS\vsnp2std.exe"
Entrada Eliminada [HKLM\...\Run] "CTCHECK"="C:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe"
Entrada Eliminada [HKLM\...\Run] "BDAGENT"=""C:\Archivos de programa\BitDefender\BitDefender 2009\bdagent.exe""
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue Sep 30 20:17:22 2008
EliStartPage v17.08  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\fixwareout\FindT\NIRCMD.EXE --> Eliminado, Tool-NirCmd
C:\Muestras\SVCHOST.EXE.MUESTRA ELISTARTPAGE V17.06 --> Eliminado, DownLoader.Small.ACES

Nº Total de Directorios:   5430
Nº Total de Ficheros:      72136
Nº de Ficheros Analizados: 17374
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

A ver si esto aclara algo...
Aun no he podido restaurar la instalacion de Windows (tengo que conseguir el cd).

Merci!
Alxer

[msc hotline sat]

Pues envianos estos ficheros:
C:\Muestras\TSNP2STD.EXE.Muestra EliStartPage v17.08
C:\Muestras\VSNP2STD.EXE.Muestra EliStartPage v17.08

lo del CTFMON era un falso positivo de la 17.08, actualiza a 17.09 cuando puedas

saludos
ms, 2 de octubre de 2008

[alxer]

Buenas, al enviar mi ultimo mensaje, ya envié las 3 muestras que me pedía (TSNP2STD.EXE.Muestra EliStartPage v17.08, VSNP2STD.EXE.Muestra EliStartPage v17.08 y el CTFMON.EXE.Muestra EliStartPage v17.08)... Si no se han enviado bien ésta tarde, cuando llegue a casa, los vuelvo a enviar.

Siento mi ignorancia pero, que significa un falso positivo?

En cuanto repare windows actualizo a la 17.09 o 17.10 o la que haya en ese momento.

Merciii
Alxer

[msc hotline sat]

Un falso positivo es una detección incorrecta debida a coincidencia de cadenas o causas técnicas propicias a considerar sospechoso a un inocente con cara de culpable.

Una vez detectado se busca otra cadena que siga detectando el malware pero no esté en el que no lo es, y se implementa en la siguiente versión de la utilidad.

Ello ocurre con todos los antivirus y nosotros no podemos ser menos !

Cuando el usuario tiene un fichero que sabe que no es malicioso, por conocerlo de hace tiempo, y resulta detectado por una nueva versión, se pide que lo envié como falso positivo para analizar y obrar en consecuencia, mejorando dicha detección.

saludos
ms, 2 de Octubre de 2008

NOTA: Recibidas las tres muestras, no se detectan rutinas maliciosas en ellas, simplemente son muestras que pedía el ELISTARA 17.08 por tener en sus claves de lanzamiento el valor contenido en el dato. Ya se corrigió ayer por la mañana con la 17.09. ms.