parece que mi PCenvia emails por su cuenta emails

[Mylkas]

Tengo sospechas de sofware malicioso.

El antivirus Norton, cuando envio un email abre una pequeña ventana que dice : Analizando el mensaje.



Pues bien, desde hace unos dias se abren montones de esas ventanitas, sin que yo este enviando nada, sospecho que lo hace algun grayware.

Arranque en modo seguro con funciones de red y pase el superantispyware y el ccleaner.despues use el antivirus en linea de microtrend, que encontro algunas infecciones y las elimino.

Estuvo unos dias bien pero hoy empezo de nuevo el problema. Repeti las acciones anteririores pero continua el problema, 30 o cuarenta veces por minuto aparece la ventanita de: analizando mensaje, tanto que desconectare de la red hasta que lo soluccione, conectando solo para ver el correo o acceder a este foro.



Gracias

[lucl]

Prueba estos dos antitrojanos, los ejecutas en el pc y luego nos pegas el infosat.txt que te dejara en C , saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[msc hotline sat]

Y como que parece ser una propagacion por e-mail, prueba tambien el ELIBAGLA:


[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

Tras ver ei infosat.txt resultante, obraremos en consecuencia



Y DINOS SI TRAS ELLO PERSISTE ALGUNA ANOMALIA, CLARO



saludos



ms, 10-1-2009

[Mylkas]

Hola



Acabo de pasar el alistara, y detectó y eliminó siete infecciones, pero aparcieron como veinte mensajes : " Acceso denegado" todos en carpetas de Documents and settings.



Este este es el infosat, continuare con el resto de utilidades sugeridas



Estos analisis los hago como administrador y a prueba de errores con funciones de red, en este modo no aparecen los mensajes sospechosos.



------------------------------------------





Sat Jan 10 12:01:35 2009

EliStartPage v17.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jan 10 12:02:10 2009

EliStartPage v17.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed

C:\Archivos de programa\RADIO_USA\TBRAD0.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\RADIO_USA\TBRAD1.DLL --> Eliminado, TBConduit(tb)

C:\descargas\IMGCONVUTI.EXE --> Eliminado, PWS-WoW.YU

C:\descargas\omniformat2\OmniFormat\engine\modules\coders\IM_MOD_RL_RLA_.DLL --> Eliminado, Puper-Isf

C:\fixwareout\FindT\NIRCMD.EXE --> Eliminado, Tool-NirCmd

C:\mIRC\MIRC.EXE --> Eliminado, mIRC(chat)



Nº Total de Directorios: 6584

Nº Total de Ficheros: 77314

Nº de Ficheros Analizados: 26473

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

[Mylkas]

He pasado elitriip y no ha encontrado infecciones, pero igual que el alistara se encontro con una

veintena de accesos denegados, todos en Documents and settings.

Estoy como administrador y tampoco puedo abrir esas carpetas, por ejemplo: C:\Documents and settings\angel\application data.

el unlocker dice que no esta bloqueada dicha carpeta,



Sigo con la siguiente aplicacion

[Mylkas]

Pasado elibagla, sin infecciones y tambien con unos cuantos accesos denegados, muchos en C:\documents and settings\angel\datos de programa\macromedia\flahs.



------------------------





Sat Jan 10 12:45:42 2009

EliBagle v12.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Jan 10 12:45:46 2009

EliBagle v12.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6583

Nº Total de Ficheros: 77341

Nº de Ficheros Analizados: 15590

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

--------------------------------



Saludos



Reinicio en modo normal a ver que pasa.

[lucl]

Y pasate este online para que salgamos de dudas del todo





http://www.kaspersky.com/kos/english//languages/english/check.html?n=1231592297584





nos pegas el resultado saludos

[Mylkas]

Este es el reporte de Symantec:



-------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Saturday, January 10, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, January 10, 2009 17:55:22

Records in database: 1599140

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

Scan statistics

Files scanned 154110

Threat name 22

Infected objects 41

Suspicious objects 0

Duration of the scan 02:33:33



File name Threat name Threats count

C:\WINDOWS\system32\userinit.exe/C:\WINDOWS\system32\userinit.exe Infected: Backdoor.Win32.Rbot.xec 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\108F782A Infected: Trojan.Win32.DNSChanger.amh 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\10922227.exe Infected: Trojan.Win32.DNSChanger.amh 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\19C764B9.exe Infected: Backdoor.Win32.Hupigon.aoyr 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\1F944CA1 Infected: Trojan.Win32.DNSChanger.aqd 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\1F944CA1.exe Infected: Trojan.Win32.DNSChanger.aqd 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\211C637B.exe Infected: Trojan.Win32.Agent.abt 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\28F274B7 Infected: Trojan-Downloader.JS.Agent.of 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\2C5B5031 Infected: Trojan-Downloader.JS.Agent.nw 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\2C61242A Infected: Trojan-Downloader.JS.Agent.nw 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\2C7B740D Infected: Trojan-Downloader.JS.Agent.nw 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\2E2E442F Infected: Trojan-Downloader.JS.Agent.nw 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\2E316E2B Infected: Trojan-Downloader.JS.Agent.nw 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\2E8307D2 Infected: Trojan-Downloader.JS.Agent.nw 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\3C895BBA.dll Infected: Trojan.Win32.Agent.atoj 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\46C5116B.exe Infected: Rootkit.Win32.Agent.ajn 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\4B2C3988.exe Infected: Backdoor.Win32.Agent.aou 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\53C8580F Infected: Trojan.Win32.DNSChanger.arn 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\53CB020B.exe Infected: Trojan.Win32.DNSChanger.arn 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\606F0296 Infected: Trojan.Win32.DNSChanger.aqd 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\606F0296.exe Infected: Trojan.Win32.DNSChanger.aqd 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\638838D4.exe Infected: Trojan.Win32.DNSChanger.apn 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\68523ACA.exe Infected: Trojan.Win32.DNSChanger.akt 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\6C157AEC Infected: Trojan.Win32.DNSChanger.qs 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\6C157AEC.exe Infected: Trojan.Win32.DNSChanger.qs 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\6CC30926.tmp Infected: P2P-Worm.Win32.Kapucen.b 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\7CA91E10 Infected: Trojan.Win32.DNSChanger.akt 1

C:\Archivos de programa\Norton AntiVirus\Quarantine\7CA91E10.exe Infected: Trojan.Win32.DNSChanger.akt 1

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\670B72A0.tmp Infected: Trojan-Downloader.Win32.Bagle.at 1

C:\Documents and Settings\Administrador\.housecall6.6\Quarantine\ares regular 2 0 9 spanihs castellano fastest bittorrent downloader.exe.bac_a01052 Infected: Trojan.Win32.Inject.ba 1

C:\Documents and Settings\Administrador\.housecall6.6\Quarantine\ares regular 2 0 9 spanihs castellano fastest bittorrent downloader.exe.bac_a01116 Infected: Trojan.Win32.Inject.ba 1

C:\Documents and Settings\Administrador\.housecall6.6\Quarantine\ares regular 2.0.9. spanihs castellano_fastest_BitTorrent_downloader.zip.bac_a01116 Infected: Trojan.Win32.Inject.ba 1

C:\Documents and Settings\Administrador\.housecall6.6\Quarantine\asc3550p.sys.bac_a01116 Infected: Trojan.Win32.Pakes.miu 1

C:\Documents and Settings\Administrador\.housecall6.6\Quarantine\BitDownload-3.0-setup.exe.bac_a01116 Infected: Trojan.Win32.Inject.ba 1

C:\Documents and Settings\Angel\Datos de programa\Thunderbird\Profiles\5w0gxkle.default\Mail\Local Folders\Inbox Infected: Trojan-Spy.HTML.Bankfraud.qb 1

C:\WINDOWS\system32\userinit.exe Infected: Backdoor.Win32.Rbot.xec 1

E:\mirc616.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 1

E:\z Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly\- Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly.rar Infected: not-a-virus:AdWare.Win32.Gator.4104 1

E:\z Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly\Codec Pack Elisoft v14.0\CodecPackElisoft140.exe Infected: not-a-virus:AdWare.Win32.Gator.4104 1

E:\z Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly.zip Infected: not-a-virus:AdWare.Win32.Gator.4104 1

K:\nuevos\bsplayer233.977_clip.exe Infected: Net-Worm.Win32.Kolabc.fat 1

The selected area was scanned.

[msc hotline sat]

Pues tiene muchos en carpeta de cuarentena del Norton, entre ellos el bagle, que posiblemente le ocasionaba el envio de mails indicados, pero como decimos, ya estan aparcados, solo le queda eliminarlos de allí.



Y estos otros envienoslos para analizar:



C:\WINDOWS\system32\userinit.exe Infected: Backdoor.Win32.Rbot.xec 1

E:\mirc616.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 1

E:\z Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly\- Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly.rar Infected: not-a-virus:AdWare.Win32.Gator.4104 1

E:\z Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly\Codec Pack Elisoft v14.0\CodecPackElisoft140.exe Infected: not-a-virus:AdWare.Win32.Gator.4104 1

E:\z Si!! Codec Pack Elisoft v14.0Bueno Para Instalar Todos Los Codecs Tipo Avi Al Windows Media Player Charly.zip Infected: not-a-virus:AdWare.Win32.Gator.4104 1

K:\nuevos\bsplayer233.977_clip.exe Infected: Net-Worm.Win32.Kolabc.fat 1





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 11-1-2009







NOTA: Y aparte de lo del Bagle mencionado, ya en cuarentena



C:\Archivos de programa\Norton AntiVirus\Quarantine\7CA91E10.exe Infected: Trojan.Win32.DNSChanger.akt 1

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\Quarantine\670B72A0.tmp Infected: Trojan-Downloader.Win32.Bagle.at 1



vemos que ha tenido tambien un DNSCHANGER, por lo que conviene ver si en el registro no tiene configurados servidores DNS maliciosos, por lo que conviene que pruebe el SPROCES y nos postee en su proximo post de respuesta a este Tema, el contenido del SPROCLOG.TXT resultante:


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto. ms.

[Mylkas]

Envio el sprolog.

Otros problemas: El Norton resulto dañado,la proteccion permanente, pero parece que reinstalandolo se soluciono



El Firefox advierte que no puede inciar el servicio de seguridad,lo reinstale sin que se solucionara el problema.



Tengo una duda sobre el envio de muestras solicitadas, lei el tutorial de envio pero no se si se pueden comprimir todas juntas o hay que empaquetarlas por separado.



---------------------------------------------



Sun Jan 11 12:51:45 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: ALFCASA

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\USERINIT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: RADIO_USA Toolbar - {870e3b1b-d1c6-4b91-864c-90043cf02e56} - C:\Archivos de programa\RADIO_USA\tbRAD0.dll (file missing)

O2 - BHO: Maryland Radio Toolbar - {ac1840ca-f154-4226-96f1-5a732c9a5766} - C:\Archivos de programa\Maryland_Radio\tbMary.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Archivos de programa\Live_TV\tbLive.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O2 - BHO: Online Radio TB Toolbar - {f1ac1133-287d-4340-a909-bbd06574f4c9} - C:\Archivos de programa\Online_Radio_TB\tbOnli.dll

O2 - BHO: Share Accelerator Toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Archivos de programa\Share_Accelerator\tbSha1.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Share Accelerator Toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Archivos de programa\Share_Accelerator\tbSha1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Archivos de programa\Live_TV\tbLive.dll

O3 - Toolbar: Maryland Radio Toolbar - {ac1840ca-f154-4226-96f1-5a732c9a5766} - C:\Archivos de programa\Maryland_Radio\tbMary.dll

O3 - Toolbar: Online Radio TB Toolbar - {f1ac1133-287d-4340-a909-bbd06574f4c9} - C:\Archivos de programa\Online_Radio_TB\tbOnli.dll

O3 - Toolbar: RADIO_USA Toolbar - {870e3b1b-d1c6-4b91-864c-90043cf02e56} - C:\Archivos de programa\RADIO_USA\tbRAD0.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P41 "EPSON Stylus Photo R220 Series (Copiar 1)" /O5 "LPT1:" /M "Stylus Photo R220"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - Startup: desktop.ini

O4 - Global Startup: Acrobat Assistant.lnk

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: BTTray.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Logitech Desktop Messenger.lnk

O4 - Global Startup: Logitech SetPoint.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: NaturalColorLoad.lnk

O4 - Global Startup: QuickTV6.lnk

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: bw+0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: offline-8876480 - {AFBDF7AE-B498-4866-9D72-A209C0AAC06A} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - (no file)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - C:\Archivos de programa\Freenet\bin\wrapper-windows-x86-32.exe" -s "C:\Archivos de programa\Freenet\wrapper.con (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: symlcbrd - Symantec Corporation - C:\WINDOWS\system32\drivers\symlcbrd.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: AVerE506 service (AVerE506) - AVerMedia - C:\WINDOWS\SYSTEM32\DRIVERS\AVerE506.sys

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: DigiCellDriver - Your Corporation - C:\Archivos de programa\MSI\DigiCell\NTGLM7X.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Logitech SetPoint Keyboard Driver (L8042Kbd) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042Kbd.sys

O23 - Service: Logitech SetPoint PS/2 Mouse Filter Driver (L8042mou) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042mou.Sys

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Logitech SetPoint Mouse Filter Driver (LMouKE) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouKE.Sys

O23 - Service: NAVENG - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20090107.002\NAVENG.SYS

O23 - Service: NAVEX15 - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20090107.002\NAVEX15.SYS

O23 - Service: Norton Unerase Protection Driver (NPDriver) - Symantec Corporation - C:\WINDOWS\system32\Drivers\NPDRIVER.SYS

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvax.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvapu.sys

O23 - Service: PCASp50 NDIS Protocol Driver (PCASp50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\SYSTEM32\Drivers\PCASp50.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SuperAdBlocker, Inc. - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: SAVRT - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVRT.SYS

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: SDdriver - Symantec Corporation - C:\WINDOWS\system32\Drivers\sddriver.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Archivos de programa\Archivos comunes\Symantec Shared\Support Controls\ssrc.exe

O23 - Service: SYMDNS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMDNS.SYS

O23 - Service: SymEvent - Symantec Corporation - C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

O23 - Service: SYMFW - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMFW.SYS

O23 - Service: SYMIDS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMIDS.SYS

O23 - Service: SYMIDSCO - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SymcData\IDS-DI~1\20090102.001\symidsco.sys

O23 - Service: SYMNDIS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMNDIS.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Creative WebCam Vista Plus (V0090VID) - PixArt Imaging Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\V0090Vid.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



67 Servicios.

24 de Carga Automatica.

42 de Carga Manual.

1 Deshabilitados.

[Mylkas]

He enviado el primero de los ficheros solicitados para segun las instrucciones, comprimido y con contraseña virus y entrado bien, pero cuendo intento subir otro me sale este mensaje: valida(fichero,pym_msj_fichero)

¿ Quiza deberia haberlos mandado todos juntos )

Aunque cierre y vuelva a abrir el navegador me vuelvo a salir ese mensaje cuando intento enviar muestras





Por otra parte, el fichero C:\windows\system32\userinit.exe no consigo verlo en el explorer ni en el asistente del compresor winrar, por lo que no pude comprimirlo.

Si lo veo en winrar en la primera pantalla, pero no puedo comprimirlo desde la misma.

Tambien lo veo con Nero, curiosamente con este programa me permtio copiarlo a otra carpeta, pero con explorer sigue invisible desde explorer en esta nueva carpeta, y debe de estar pues si intento copiarlo de nuevo me dice que ya existe. Estoy a prueba de fallos como administrador y veo que ese fichero tiene los permisos para verlo.

[msc hotline sat]

Prueba de hacerlo arramcando en modo seguro con funciones de red, pues sino es posible que tu antivirus te lo impida.



saludos



ms, 11-1-2009

[Mylkas]

Todasa estas operaciones las hago en aprueba de errores con funciones de red.

La verdad es que han cascado varias cosas, no me deja entrar en restaurar sistema, me dice que no puede proteger mi equipo y que reinicie para restaurar sistema, reinicio y el mismo mensaje.

Y Firefox que no puede cargar el modulo de seguridad, lo reinstale, y sigue igual

[msc hotline sat]

No damos soporte al firefox, solo al I.E. standar de Microsoft. Nuestras utilidades se basan en sus registros, que son diferentes al del firefox.



De todas formas puedes probar REPARAR el sistema, pues puedes tener problemas con algun fichero del mismo:


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

Tras ello, reinicia y cuentanos el resultado



saludos



ms, 11-1-2009







NOTA: De todas formas este userinit.exe con el que tienes problemas, recuerdo que hace unas semanas nos peleamos con un malware que lo sustituye, pero claro no debe eliminarse pues sino no arrancaria. Mañana, desde SATINFO, podré buscar en los archivos cual era, pero prueba las dos utilidades siguientes: ELITRIIP y ELISTARA





[/code] [b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



si ya has probado el ELISTARA, haz lo propio con el ELITRIIP , ms.

[msc hotline sat]

Voy recordando el malware que sustituye el userinit.exe, lo hace tanto en la carpeta de sistema como en la de DLLCACHE, para que aun eliminando el malware del sistema, desde la de DLLCACHE sea restaurado...



Bueno, ello se solucionaría con la REPARACION DE SISTEMA indicada, claro, pero posiblemente con la utilidad adecuada lo solucionariamos. Voy a ver qué decia el ONLINE al respecto---





Ya está, era un "Infected: Backdoor.Win32.Rbot.xec 1" y los backdoors son gusanos que pasamos a controlar con ELITRIIP, seguro que asi lo hicimos.



Sí, prueba el ELITRIIP indicado, a ver que dice :wink:



saludos



ms, 11-1-2009

[msc hotline sat]

Pues no, una vez consultados los archivos resulta que los dos que conocemos y controlamos lo hacemos con el ELISTARA, (DownLoader.Obitel.A y Trojan.Agent.AYBD), asi que si con dicha utilidad (ni con la otra) no encuentra nada, envienos este Fichero para analizar:



C:\WINDOWS\system32\userinit.exe



Como ya le deciamos al principio, y si ya lo ha hecho, en cuanto lo recibamos lo analizaremos e informaremos



saludos



ms, 12-1-2009

[msc hotline sat]

Se ha recibido un fichero de 21 MB con codepacks ... No sabemos a qué viene el enviarnoslo ??? Se le ha pedido el USERINIT.EXE para analizarlo, no estre monstruo que contiene un GATOR que ya controlamos tras la instalacion, con el ELISTARA-



Liquidado dicho fichero, esperamos nos envie el solicitado, NO OTRO DIFERENTE !!!



saludos



ms, 12-1-2009

[Mylkas]

Acabo de pasar elitriip como administrador y como usuario y no ha encontrado nada. Voy a probar con karpesky. Como dato, aunque me dijeron que no daban soporte Mozilla lo comento por si hay diferencia. Estoy en modo seguro con funciones de red y si lanzo firefox como el usuario habitual me da la advertencia de que no puede abrir el modulo de seguridad, pero si lo abro como administrador funciona sin problemas



---------------------------



Mon Jan 12 20:57:41 2009

EliTriIP v5.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Mon Jan 12 20:58:03 2009

EliTriIP v5.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7182

Nº Total de Ficheros: 80474

Nº de Ficheros Analizados: 24094

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Jan 12 21:01:36 2009

EliTriIP v5.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7182

Nº Total de Ficheros: 80474

Nº de Ficheros Analizados: 24094

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[Mylkas]

Perdon por el paquete, pero es que despues de enviar el informe de kaspersky, me pidieron esos ficheros.

En cuanto al userinit.exe, ya explique que el compresor winrar no lo encuentra en system32 ni en ningun lado, asi que no se como comprimirlo. Tampoco lo veo con el explorer, curiosamente si lo veo con el Nero



Saludos

[msc hotline sat]

Pues si lo ves con el NERO es que lo tienes...



Mira esto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y si tienes algun problema, prueba arrancando en modo seguro, haces una copia de dicho fichero y la copias al escritorio, allí luego la empaquetas y arrancando en modo normal nos lo envias



saludos



ms, 12-1-2009

[msc hotline sat]

Recibidas muestras para analizar se ha implementado su control y eliminacion en la version de hoy del ELISTARA 17.79 QUE YA SE HA SUBIDO A ESTA WEB, asi que puedes probarla y tras evaluarla informanos del resultado:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 14.1.2009

[Mylkas]

Hola de nuevo

No he tenido mas remedio que cargarme la particion y reinstalar todo de nuevo, el sistema se me degrado de tal manera que se colgaba al minuto de arrancar, y la unica forma de apagarlo era a la brava, cortando la corriente.



Para colmo mi proveedor por cable R-, nos tuvo sin señal, ni internet ni TV nada menos que una semana a varios edificios de mi calle, con lo que no pude seguir este hilo.



Habia enviado el userinit infectado, pero no se si me enviaron alguna respuesta, dado los problemas que he comentado.



Saludos

[lucl]

Pues entonces ya parece que has solucionado el tema, confirmanoslo. Y sobre tu envio mira en las herramientas que se actualizaron el dia despues a tu envio y lo veras si llego bien. En alertas viricas y utilidades de eliminacion, saludos

[msc hotline sat]

Sí, claro, el ppdo dia 14 se te contestó aqui mismo:




[quote="msc"]
ms, 14.1.2009

Recibidas muestras para analizar se ha implementado su control y eliminacion en la version de hoy del ELISTARA 17.79 QUE YA SE HA SUBIDO A ESTA WEB, asi que puedes probarla y tras evaluarla informanos del resultado:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 14.1.2009[/quote]

saludos



ms, 24-1-2009