psguard, virtuamonde, smithfraud...ayuda please

[michicat]

Buenas tardes,

Lo primero saludar a todos los foreros y personas que trabajan en el foro.

Al tema:

Hace unos días estuve (y no sé si estoy) infectado por algunos troyanos y el típico PSguard del que he leído algo. Se abrían ventanas con esa publicidad y demás...pues bien, me baje el spybot, cleaner y me dispuse a utilizarlos. Primero utilicé el cleaner y todo continuaba igual. Ejecuté el spybot y me dispuse a arreglar todo lo que me dijo que estaba mal. Una vez realicé esa limpieza, el ordenador se volvio loco "reorganizando" archivos .dll, total que me cargué el PC. No podía hacer nada después de haber utilizado el spybot puesto que me había cargado (creo yo) varios archivos del sistema.

Recuperé el sistema una vez rescatado parte de mi disco duro que quería mantener y listo.

Cuatro o cinco días después me vuelve a pasar lo mismo con el PSguard de las narices..Y esta vez leí un poquito sobre como actuar. Apague el PC una vez pinchar "desactivar restaurar sistema", encendi a modo prueba de fallos, pasé otra vez el spybot y el cleaner, y cuando volví a arreglar todo y encender, resulta que sigo teniendo el run32.dll (creo que es así) estropeado y para más inri no puedo conectarme a internet puesto que el explorer se abre pero no consigo conexión (típica página que abre el explorer cuando no estas conectado).

Resultado, que he vuelto a restaurar todo con los cd´s originales del PC.

Acabo de bajar el hijackthis, lo he ejecutado pero evidentemente no sé interpretarlo.

Por tanto les ruego me indiquen la forma de proceder para actualizar windows y proteger mi sistema como es debido y consejos necesarios para si estoy infectado poder resolver todo...casi prefiero que me salten páginas a que el spybot me estropee todo cada vez que lo ejecuto....

En fin..un desesperado más.

Comentar que tengo un portatil toshiba satellite pro a200, el sistema operativo es el vista aunque trabajo con el Xp pro, puesto que venían los cd´s con los controladores y demás para trabajar con xp.

Si necesitais algún dato más no dudeis en postear y comentarme lo necesario.

Muchas gracias por adelantado y perdón por el tostón.



Aquí os pego el log:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:49:48, on 15/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\agrsmsvc.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\TODDSrv.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe

C:\WINDOWS\system32\TCtrlIOHook.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TDispVol.exe

C:\WINDOWS\system32\TPSMain.exe

C:\WINDOWS\system32\ZoomingHook.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe

C:\Archivos de programa\TOSHIBA\Toshiba Online Product Information\topi.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.5\NppBho.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [HWSetup] C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP

O4 - HKLM\..\Run: [SVPWUTIL] C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [TPNF] C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [DDWMon] C:\Archivos de programa\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe

O4 - HKLM\..\Run: [topi] C:\Archivos de programa\TOSHIBA\Toshiba Online Product Information\topi.exe -startup

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [IS CfgWiz] "C:\Archivos de programa\Archivos comunes\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe



--

End of file - 8600 bytes

[msc hotline sat]

Pues de entrada debes seguir las instrucciones que se indican en :



https://foros.zonavirus.com/antes-de-postear-log-para-su-analisis-leer-esto-t5148.html



y tras probar el ELISTARA indicado, postearnos el contenido de c:\infosat.txt





En cualquier caso, vemos que te faltan parches, asi que ante todo lanza un windowsupdate e instala el SP3 y posteriores



saludos



ms, 15-12-2008

[michicat]

Muy buenas,

Perdón lo primero por no haber leído antes todo lo debido..pero ya anda uno saturado con tanta información.





Mon Dec 15 19:12:37 2008

EliStartPage v17.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Ahí va pegado la lectura del infosat.



En principio veis algo raro?



De todos modos tengo problemas con un archivo dll cuando he apagado el PC para actualizar mi antivirus. No sé si me tocará volver de nuevo a restaurar el PC...que creeis?

Si estoy limpio y vuelvo a restaurar todos los archivos, los pasos a seguir son simplemente bajar antivirus, actualizar windows y bajar SP3 y posteriores?



Gracias

[flacoroo]

hicistes la primera parte de ejecutar el elistara pero te falto cuando sale la ventana explorar darle un clcik para que explore la unidad C: y tambien cuando termine le das explorar a todos los discos duros que tengas en esa compu.....no se te olvide pegarnos el resultado C:infosat.txt

[michicat]

Aquí tenéis:





Mon Dec 15 19:12:37 2008

EliStartPage v17.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Dec 15 20:16:12 2008

EliStartPage v17.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Dec 15 20:16:22 2008

EliStartPage v17.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\MIGUEL\Escritorio\ANTIVIR_WORKSTATION_WINU_EN_H.EXE --> Eliminado, Frauder.KG

C:\System Volume Information\_restore{1AFA579F-0BCB-4AF7-8CEB-40C0A330221E}\RP5\A0000410.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{1AFA579F-0BCB-4AF7-8CEB-40C0A330221E}\RP7\A0000889.DLL --> Eliminado, Trojan.KillAV.BAL(Puede necesitar Restauración)

C:\System Volume Information\_restore{1AFA579F-0BCB-4AF7-8CEB-40C0A330221E}\RP7\A0002454.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{1AFA579F-0BCB-4AF7-8CEB-40C0A330221E}\RP7\A0002455.EXE --> Eliminado, Frauder.KG

C:\WINDOWS\$NtServicePackUninstall$\SRSVC.DLL --> Eliminado, Trojan.KillAV.BAL(Puede necesitar Restauración)

C:\WINDOWS\SoftwareDistribution\Download\eead0cfdc22d32d8d279c0ba6a804d45\backup\SRSVC.DLL --> Eliminado, Trojan.KillAV.BAL(Puede necesitar Restauración)

C:\WINDOWS\system32\SRSVC.DLL --> Acceso Denegado, Trojan.KillAV.BAL(Puede necesitar Restauración) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 2974

Nº Total de Ficheros: 43247

Nº de Ficheros Analizados: 17857

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 8



Mon Dec 15 20:22:52 2008

EliStartPage v17.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\System Volume Information\_restore{1AFA579F-0BCB-4AF7-8CEB-40C0A330221E}\RP7\A0002456.DLL --> Eliminado, Trojan.KillAV.BAL(Puede necesitar Restauración)

C:\WINDOWS\system32\SRSVC.DLL.VIR --> Acceso Denegado, Trojan.KillAV.BAL(Puede necesitar Restauración) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 2975

Nº Total de Ficheros: 43402

Nº de Ficheros Analizados: 17864

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1



Mon Dec 15 20:28:23 2008

EliStartPage v17.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Dec 15 20:28:30 2008

EliStartPage v17.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\SRSVC.DLL.VIR.VIR --> Eliminado, Trojan.KillAV.BAL(Puede necesitar Restauración)



Nº Total de Directorios: 2975

Nº Total de Ficheros: 43268

Nº de Ficheros Analizados: 17855

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





A ver ahora como está la cosa...

[flacoroo]

dinos como va tu compu, y en caso de que siga con problemas....ahora si ejecutas el HijackThis y nos pegas el log....y si no dinoslo para cerra tu post y darlo como resuelto......

[michicat]

Pues te comento que noto problemas con la conexión, no sé si es normal o no, pero no he podido en varias ocasiones entrar dentro del foro desde mis favoritos, lo he tenido que hacer desde un enlace de un buscador.

Como te comento, no sé si se debe a los problemas anteriores o simplemente son problemas con la linea de mi proveedor...Ya no sé que pensar.

Te pego el log just in case, si ves que todo esta ok me cuentas y cierras el hilo:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:04:36, on 15/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\agrsmsvc.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\TODDSrv.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe

C:\WINDOWS\system32\TCtrlIOHook.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TDispVol.exe

C:\WINDOWS\system32\TPSMain.exe

C:\WINDOWS\system32\ZoomingHook.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\Archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe

C:\Archivos de programa\TOSHIBA\Toshiba Online Product Information\topi.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.5\NppBho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [HWSetup] C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP

O4 - HKLM\..\Run: [SVPWUTIL] C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [TPNF] C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [DDWMon] C:\Archivos de programa\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe

O4 - HKLM\..\Run: [topi] C:\Archivos de programa\TOSHIBA\Toshiba Online Product Information\topi.exe -startup

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe



--

End of file - 9110 bytes

[flacoroo]

pues yo encuentro el log limpio, espero una segunda opinion....y si esta limpio, pues cerramos el post...

[msc hotline sat]

Como muy bien dice flacoroo, el log está limpio,, pero fijate en el mensaje del infosat:



[b][i]C:\WINDOWS\system32\SRSVC.DLL.VIR.VIR --> Eliminado, Trojan.KillAV.BAL(Puede necesitar Restauración)[/i][/b]



Al estar en la carpeta de sistema, el fichero borrado había sustituido al original, y al borrarlo, puede ser necesaria su restauracion por original o copia de seguridad.



Así que busca este fichero en otro ordenador con igual sistema operativo :



C:\WINDOWS\system32\SRSVC.DLL



y copialo en la carpeta de sistema del tuyo, o lanza una REPARACION DE SISTEMA:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



SALUDOS



MS, 16-12-2008

[michicat]

Muchísmas gracias a todos por vuestra ayuda.

Magnífico trabajo.

Solamente me queda encontrar a alguien para hacer el arreglo final y todo resuelto.

Podéis dar por cerrado este hilo.

Saludos cordiales.

[msc hotline sat]

El golpe de gracia lo dará la nueva version del ELISTARA 17.63 que ya hemos subido a esta web



Descargala y tras probarla posteanos el resultado, gracias



saludos



ms, 16-12-2008