AYUDA CON "GENERIC BACKDOOR"... (SOLUCIONADO)

[furylow]

Hola a todos

Tengo un problema que me trae de cabeza con un virus, el mcafee lo detecta como "generic backdoor" y/o w32.conficker.worm.gen.a y lo limpia, pero se queda una vez tras otra. Me infecta sobre todo en el directorio fonts un archivo "1ef699.dll" y un "wireless.exe"

He instalado numerosos parches de microsoft que eliminan el problema, pero sigue estando.

Datos: no me permite arrancar en modo a prueba de fallos, lo he intentado todo, el problema es que no consigo la herramienta de la que tanto hablais "elibagla", porque la que me he bajado me dice que esta obsoleta...

Lo que hace el virus es abrir puertos "a saco" y hacer mucho trafico de datos por ellos... tampoco me permite abrir los navegadores explorer ni firefox...



Alguien me puede ayudar???

[msc hotline sat]

Sí, el conficker es un "viejo" conocido



Mira lo que dijimos en su día al respecto:



http://www.zonavirus.com/noticias/2009/conficker.asp



saludos



ms, 30-3-2009

[furylow]

la zona de descargas de la web no va... ¿me puedo descargar el usb445 de algun otro sitio?

[msc hotline sat]

Es verdad, la web principal parece que no va. Voy a comentarselo a ADMIN, y lo pruebas en media hora.



Y la web de donde trabajo, SATINFO, si que está, pero restringida a los asociados con contrato de asistencia tecnica de SATINFO.



Espero que en breve tendrás acceso.



saludos



ms, 30-3-2009

[furylow]

Hola, el USB445 ni el elibagle me permiten reiniciar a prueba de fallos (entra en un bucle infinito) ¿alguna idea? necesito ayuda plis...

[msc hotline sat]

Sí, pero esto no tiene que ver con el Conficker, sino con alguno de la familia Bagle, o con los TROJAN.AGENT-ABUE, etc



Pruebe el ELISTARA y tras ello reinicie y posteenos el contenido completo de C:\infosat.txt , para ver lo que la hecho el ELIBAGLA, el ELISTARA, etc.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



De todas formas tras probar el ELISTARA acto seguido prueba reiniciar en modo seguro, a ver si entonces puedes.



saludos



ms, 31-3-2009





NOTA: Posiblemente tiene por lo menos dos virus, el Conficker que detectó MAfee y el backdoor que dice, y posiblemente sea este último el que haya modificado la clave del SafeBoot en el registro. ms.

[furylow]

El mcafee de la maquina con la que me lo estoy bajando me dice que es un "generic artemis".... es fiable???

[msc hotline sat]

Es una deteccion heuristica del motor 5301, muy avanzado, y si ademas estás diciendo que no puedes arrancar en modo seguro... lo confirmas !



Si te indica el fichero donde lo detecta, envianoslo para analizar (desactivando el antivirus, claro) y, tras analizarlo, implementaríamos su cionrtrol y eliminación en nuestras utilidades, de lo cual informaremos





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 31-3-2009

[furylow]

Ya tengo un log que mostrarte....









(31-3-2009 15:36:26)

EliStartPage v18.32 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Corel6\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\Pablo\Mis documentos\01.OFICINA-DURVIZ\03-DOCUMENTACION TECNICA\Documentacion de ordenadores-Impresoras\IMPRESORA HP 3820\win2k_xp\AUTORUN(2).INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\Pablo\Mis documentos\01.OFICINA-DURVIZ\03-DOCUMENTACION TECNICA\Documentacion de ordenadores-Impresoras\IMPRESORA HP 3820\win2k_xp\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\Pablo\Mis documentos\03.DOCUMENTACION PROVEEDORES\01.TRANSGENOMIC\Software Files\GPIB\NI4882 (E)\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\Pablo\Mis documentos\05.MI ORDENADOR\PROGRAMAS\OCR\FR80PE_TB_EGFD_SOFTONIC(2).EXE --> Eliminado, LowZones(dr)

C:\Documents and Settings\Pablo\Mis documentos\05.MI ORDENADOR\PROGRAMAS\OCR\FR80PE_TB_EGFD_SOFTONIC.EXE --> Eliminado, LowZones(dr)

C:\Documents and Settings\Pablo\Mis documentos\Human\pelis\PEN\Software Files\GPIB\NI4882 (E)\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\Documents and Settings\Pablo\Mis documentos\programas\PDFT20_TB.EXE --> Eliminado, LowZones(dr)



Nº Total de Directorios: 9722

Nº Total de Ficheros: 140127

Nº de Ficheros Analizados: 27213

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 8





despues de pasar el ELISTARA, pero me sigue sin dejar arrancar a prueba de fallos, con lo que deduzco que sigo teniendo el virus... ¿siguiente paso?

[msc hotline sat]

Pues se trataba de un virus de los que se propagan por pendrive...





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Y si persiste la no arrancada en modo seguro, prueba el SPROCES y nos posteas el informe resultante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 31-3-2009

[furylow]

resultado del elipen





Wed Apr 01 08:43:25 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



















resultado del sprocess











Wed Apr 01 08:48:59 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: PT-13

Nombre Usuario: Pablo



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\CFSVCS.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MANAGED VIRUSSCAN\VSCAN\ENGINESERVER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MANAGED VIRUSSCAN\AGENT\MYAGTSVC.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MANAGED VIRUSSCAN\AGENT\SWAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TME3\TMESRV31.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TME3\TMEEJME.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\NDSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOUCHPAD\TPTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\ACCESSIBILITY\FNKEYHOOK.EXE

C:\WINDOWS\SYSTEM32\TPSMAIN.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TOSHIBA ZOOMING UTILITY\SMOOTHVIEW.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\TME3\TMERZCTL.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\CFSSERV.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MANAGED VIRUSSCAN\AGENT\MYAGTTRY.EXE

C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\MSCONFIG.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\WINDOWS\SYSTEM32\TPSBATTM.EXE

C:\ARCHIVOS DE PROGRAMA\RESEARCH IN MOTION\BLACKBERRY\DESKTOPMGR.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTMNG.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\RIMDEVICEMANAGER\RIMDEVICEMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\CONFIGFREE\CFXFER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\RESEARCH IN MOTION\USB DRIVERS\BBDEVMGR.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSA2DP.EXE

C:\ARCHIVOS DE PROGRAMA\TOSHIBA\BLUETOOTH TOSHIBA STACK\TOSBTHSP.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\TOOLBOX\JRE\BIN\JAVAW.EXE

C:\ARCHIV~1\MCAFEE\MANAGE~1\VSCAN\MCSHIELD.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

E:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

[b]a partir de aqui empieza una lista muy larga (tan larga que no cabe en el post) con sitios web "sospechosos" como los deos que hay arriba...[/b]

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_12\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKLM\..\Run: [SVPWUTIL] C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [TPNF] C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Archivos de programa\TOSHIBA\Accessibility\FnKeyHook.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de programa\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - Global Startup: Administrador de escritorio.lnk

O4 - Global Startup: Bluetooth Manager.lnk

O8 - Extra context menu item: Download Video - http://www.viloader.net/addon.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_12\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224599768093

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancaja.es/arq_activex/particulares/BanServidorFicherosBPP.CAB

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_12) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.5.0_01) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.5.0_12) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_12) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_12-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.inquiero.com/inquiero/mod/setup/ntractivex118_28.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.566.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXSRVC.DLL

O20 - Winlogon Notify: LOGONDLL - FLY2513.DLL (file missing)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Groove GFS Stub Execution Hook - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: 251D1952 - Unknown owner - C:\WINDOWS\Fonts\B2C6084C.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: drvnddm - Sonic Solutions - C:\WINDOWS\SYSTEM32\drivers\drvnddm.sys

O23 - Service: EngineServer - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: McAfee Virus and Spyware Protection Service (myAgtSvc) - ..................................................................... - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: TOSHIBA Network Device Usermode I/O Protocol (Netdevio) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\netdevio.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 9\RoxioUpnpService9.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SonicWALL Agent Service (SWAGENT) - ..................................................................... - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\swAgent.exe

O23 - Service: tfsnboio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnboio.sys

O23 - Service: tfsncofs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsncofs.sys

O23 - Service: tfsndrct - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndrct.sys

O23 - Service: tfsndres - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsndres.sys

O23 - Service: tfsnifs - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnifs.sys

O23 - Service: tfsnopio - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnopio.sys

O23 - Service: tfsnpool - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnpool.sys

O23 - Service: tfsnudf - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudf.sys

O23 - Service: tfsnudfa - Sonic Solutions - C:\WINDOWS\SYSTEM32\dla\tfsnudfa.sys

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Archivos de programa\TOSHIBA\TME3\Tmesrv31.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: TOSHIBA V92 Software Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Deterministic Network Enhancer Miniport (DNE) - Deterministic Networks, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\dne2000.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: McShield - McAfee, Inc. - C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: McAfee Inc. MfeAVFK (MfeAVFK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeAVFK.sys

O23 - Service: McAfee Inc. MfeBOPK (MfeBOPK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeBOPK.sys

O23 - Service: McAfee Inc. MfeRKDK (MfeRKDK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeRKDK.sys

O23 - Service: NWADI Bus Enumerator (NWADI) - Novatel Wireless Inc - C:\WINDOWS\SYSTEM32\DRIVERS\NWADIenum.sys

O23 - Service: Novatel Wireless Installation CD (NWUSBCDFIL) - Novatel Wireless Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NwUsbCdFil.sys

O23 - Service: Novatel Wireless USB Modem Driver (NWUSBModem) - Novatel Wireless Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\nwusbmdm.sys

O23 - Service: Novatel Wireless USB Status Port Driver (NWUSBPort) - Novatel Wireless Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\nwusbser.sys

O23 - Service: Novatel Wireless USB Status2 Port Driver (NWUSBPort2) - Novatel Wireless Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\nwusbser2.sys

O23 - Service: Novatel Wireless USB SmartCardReader Driver (NWVSCR) - Novatel Wireless - C:\WINDOWS\SYSTEM32\DRIVERS\NWVSCR.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SonicWall VPN Client Service (RampartSvc) - SonicWALL, Inc. - C:\Archivos de programa\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe

O23 - Service: SonicWALL VPN Adapter (rcvpn) - SonicWALL, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\rcvpn.sys

O23 - Service: Smartphone BlackBerry (RimUsb) - Research In Motion Limited - C:\WINDOWS\SYSTEM32\Drivers\RimUsb.sys

O23 - Service: RIM Virtual Serial Port v2 (RimVSerPort) - Research in Motion Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\RimSerial.sys

O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Archivos de programa\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ATEN USB to Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: SMSC IrCC Miniport Device Driver (SMCIRDA) - SMSC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCDrv - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCDrv.sys

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SYMDNS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMDNS.SYS

O23 - Service: SymEvent - Symantec Corporation - C:\Archivos de programa\Symantec\SYMEVENT.SYS

O23 - Service: SYMFW - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMFW.SYS

O23 - Service: SYMIDS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMIDS.SYS

O23 - Service: SYMNDIS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMNDIS.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: Bluetooth Port Driver from Toshiba (tosporte) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosporte.sys

O23 - Service: Bluetooth RFBUS from TOSHIBA (Tosrfbd) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\Drivers\tosrfbd.sys

O23 - Service: Bluetooth RFBNEP from TOSHIBA (Tosrfbnp) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\Drivers\tosrfbnp.sys

O23 - Service: Bluetooth ACPI from TOSHIBA (tosrfec) - TOSHIBA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfec.sys

O23 - Service: Bluetooth RFHID from TOSHIBA (Tosrfhid) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\Tosrfhid.sys

O23 - Service: Bluetooth Personal Area Network from TOSHIBA (tosrfnds) - TOSHIBA Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\tosrfnds.sys

O23 - Service: Bluetooth USB Controller (Tosrfusb) - TOSHIBA CORPORATION - C:\WINDOWS\SYSTEM32\Drivers\tosrfusb.sys

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Controlador de la Conexión de red Intel(R) PRO/Wireless 2915ABG para Windows XP (w29n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w29n51.sys

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller (yukonwxp) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk51x86.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



82 Servicios.

26 de Carga Automatica.

52 de Carga Manual.

4 Deshabilitados.







no veo la luz al final del tunel....:(

[msc hotline sat]

Pues tu ultima frase, mejor, señal que estàs vivo..., que lo de la luz al final del tunel dicen que se ve cuando uno muere... :lol: :lol: :lol:





Pues del analisis del SPROCLOG lo primero que vemos es la fgalta de parches:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Asi que lance un windowsupdate e instale los pendientes, ademas que a partir de hoy se espera una avalancha de Conficker.C y sin los parches al día, le va a entrar con mucha probabilidad.



Y paso a analizar el resto del log y le informo



saludos



ms, 1-4-2009

[msc hotline sat]

Bueno... la lista le las modificaciones del HOSTS la provoca el Spybot que debes tener instalado, no pasa nada.



Y vemos esta clave que conviene eliminar:



O20 - Winlogon Notify: LOGONDLL - FLY2513.DLL (file missing)



y envianos este fichero sospechoso para analizar:



C:\WINDOWS\Fonts\B2C6084C.EXE





y ahi está el mayor problema:



O23 - Service: SYMDNS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMDNS.SYS

O23 - Service: SymEvent - Symantec Corporation - C:\Archivos de programa\Symantec\SYMEVENT.SYS

O23 - Service: SYMFW - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMFW.SYS

O23 - Service: SYMIDS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMIDS.SYS

O23 - Service: SYMNDIS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMNDIS.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS



tienes cantidad de servicios de Symantec cuando tienes el McAfee instalado..

No deben haber dos antivirus en un mismo ordenador, para evitar colisiones y ralentizacion.



Venga, desinstala totalmente este NORTON !!!





NORTON REMOVAL TOOL:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?Open&src=&docid=2004093015165236&nsf=tsgeninfo.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl=





y elimina la clave que indicamos al principio y envienos la muestra solicitada:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 1-4-2009

[furylow]

Hola, voy por aqui...



y elimina la clave que indicamos al principio y envienos la muestra solicitada:

O20 - Winlogon Notify: LOGONDLL - FLY2513.DLL (file missing)





de donde la tengo q eliminar, del registro? por otra parte el archivo .exe no lo encuentra, pero si el .dll del directorio fonts. Es meterme en ese directorio y detectarlo, con lo que para enviarlo te lo tendria q hacer deshabilitando el antivirus?

Otra cosa, con el SP3 instalado todavia no puedo iniciar a prueba de fallos...

gracias por tu ayuda!

[msc hotline sat]

pues el fichero en cuestion lo lanza esta clave:



O23 - Service: 251D1952 - Unknown owner - C:\WINDOWS\Fonts\B2C6084C.EXE



A lo mejor podrias encontrarlo arrancando en modo seguro, pero ya sé que aun no puedes...



Mira si con el ELISERV puedes eliminar este servicio, indicandole 251D1952 cpmp servicio a buscar a dicha utilidad:



ELISERV

http://www.zonavirus.com/datos/descargas/273/eliservexe.asp



Luego reinicias y miras si puedes arrancar en modo seguro, sino prueba el ELISTARA y acto seguido pruebas reiniciar en modo seguro.



Y nos informas del resultado, gracias



saludos



ms, 1-4-2009

[furylow]

he podido eliminar el servicio, he pasado el elistara.... y sigo sin poder iniciar en modo seguro... :(

[msc hotline sat]

Pues voy a copiarte un script para que lo ejecutes con el REGEDIT.



A ver si acto seguido puedes arrancar en modo seguro





Selecciona todas las lineas que hay entre asteriscos:





**************************************************************





Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot]

"AlternateShell"="cmd.exe"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal]



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\AppMgmt]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\Base]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\Boot Bus Extender]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\Boot file system]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\CryptSvc]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\DcomLaunch]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\dmadmin]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\dmboot.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\dmio.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\dmload.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\dmserver]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\EventLog]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\File system]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\Filter]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\HelpSvc]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\Netlogon]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\PCI Configuration]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\PlugPlay]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\PNP Filter]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\Primary disk]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\RpcSs]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\SCSI Class]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\sermouse.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\sr.sys]

@="FSFilter System Recovery"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\SRService]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\System Bus Extender]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\vga.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\vgasave.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\WinMgmt]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]

@="Universal Serial Bus controllers"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]

@="CD-ROM Drive"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]

@="Standard floppy disk controller"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]

@="PCMCIA Adapters"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]

@="SCSIAdapter"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]

@="Floppy disk drive"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

@="Human Interface Devices"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network]



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\AFD]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\AppMgmt]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Base]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Boot Bus Extender]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Boot file system]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Browser]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\CryptSvc]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\DcomLaunch]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Dhcp]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\dmadmin]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\dmboot.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\dmio.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\dmload.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\dmserver]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\DnsCache]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\EventLog]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\File system]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Filter]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\HelpSvc]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\ip6fw.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\ipnat.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\LanmanServer]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\LanmanWorkstation]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\LmHosts]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Messenger]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NDIS]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NDIS Wrapper]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Ndisuio]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NetBIOS]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NetBIOSGroup]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NetBT]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NetDDEGroup]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Netlogon]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NetMan]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Network]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NetworkProvider]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\NtLmSsp]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\PCI Configuration]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\PlugPlay]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\PNP Filter]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\PNP_TDI]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Primary disk]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\rdpcdd.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\rdpdd.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\rdpwd.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\rdsessmgr]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\RpcSs]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\SCSI Class]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\sermouse.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\SharedAccess]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\sr.sys]

@="FSFilter System Recovery"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\SRService]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Streams Drivers]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\System Bus Extender]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\Tcpip]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\TDI]

@="Driver Group"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\tdpipe.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\tdtcp.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\termservice]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\vga.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\vgasave.sys]

@="Driver"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\WinMgmt]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\WZCSVC]

@="Service"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{36FC9E60-C465-11CF-8056-444553540000}]

@="Universal Serial Bus controllers"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]

@="CD-ROM Drive"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]

@="Standard floppy disk controller"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]

@="Net"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]

@="NetClient"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]

@="NetService"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]

@="NetTrans"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]

@="PCMCIA Adapters"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]

@="SCSIAdapter"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]

@="Floppy disk drive"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

@="Human Interface Devices"





******************************************************



Luego con un Copiar y Pegar las pegas en el bloc de notas y lo salvas como SAFEBOOT.REG



A continuacion ejecutas dicho fichero, y tras ello reinicia pulsando repetidamente F8 y escoge ARRANCAR EN MODO SEGURO



Si asi no puedes, te índicaré otro script para eliminar las llaves corruptas al respecto y con el ELISTARA poder restaurarlas.



Comentame el resultado, gracias



saludos



ms, 1-4-2009

[furylow]

ni aun asi...



agrega con exito la informacion al registro, y cuando reinicias ya se encuentra un cambio, pero ni aun asi... sigue sin dejarme en modo seguro. Se ve un microsegundo una pantalla azul y vuelve al bucle de reinicios....

[msc hotline sat]

Pues edita este otro scritp (selecciona, copia, pega, guarda) , de la misma forma que el otro, y lo guardas como DELSAFE.REG





********************************





REGEDIT4



[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]







*********************************



Lo ejecutas y te quedarás sin la clave en su totalidad, luego lanzas el ELIBAGLA y te repondrá la estructura adecuada, y a continuación reinicias pulsando repetidamente F8 y seleccionas ARRANCAR EN MODO SEGURO , y nos cuentas el resultado, gracias



saludos



ms, 2-4-2009

[furylow]

me dice que no es un archivo valido de registro...

[msc hotline sat]

Debes tener seleccionado en guardar como UNICODE



Pues prueba seleccionando este otro, copiando y pegando y utilizando el NOTEPAD para guardarlo , si lo tiuenes en UNICODE



EL anterior era para ASCII, y necesitaba salvarlo como ANSI en el guardar como.



Es lo mismo pero con un byte por caracter o dos bytes, segun se use ANSI o UNICODE, y segun el encabezamiento entiende uno u otro.







******************





Windows Registry Editor Version 5.00



[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]







*******************



saludos



ms, 2-4-2009

[furylow]

Hola, solo decirte que elimine el virus sin necesidad de formatear. Contacte con mcafee y me pasaron una documento de como eliminar el conficker, me meti en el registro y lo solucione, no era facil pero lo tenia que conseguir.

Un saludo a todos y no desespereis

[msc hotline sat]

Perfecto, pero lo que decías de no poder arrancar en modo seguro no tenía que ver con el Conficker, asi que posiblemente tenias mas de uno, y atacamos al que nos dificultaba dicho arranque.



Para el Conficker ya tenemos la pauta correspondiente, que hemos dicho tantas veces:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto-.asp



y desde ayer la complementamos con esta sencilla utilidad para ver si este u otro que nos impida acceder a las webs de seguridad, está en memoria:





DESCARGA DEL COMPROBADOR.EXE

http://www.zonavirus.com/descargas/comprobador.asp





Pero en cualquier caso, celebramos que los hayas solucionado, entre todos :mrgreen:



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 7-4-2009