Problema con virus, imposible actualizar programas antispy (SOLUCIONADO)

[Ito08]

Hola a todos:



En primer lugar os agradezco vuestra atención y espero que me ayudéis con este problema ya que he intentado varias cosas y no he avanzado nada.



El problema es el siguiente, no puedo actualizar con Windows update, y no puedo acceder a la página manualmente ( me manda a una página de error que claramente no es auténtica ). Tampoco puedo acutalizar ningún antispyware, como malwarebytes, superantispyware o spybot, este último lo he actualizado manualmente ( descargando de otro ordenador ya que no podía entrar en la página ) pero no ha detectado nada. A parte de las páginas de windows tampoco puedo entrar en otras páginas que ayudan a eliminar virus o páginas de antivirus, y en ocasiones si pincho en el link al buscar por google me manda a una página de publicidad que siempre es la misma. Por otra parte, tengo el avast, que si se puede actualizar pero no detecta nada.



He utilizado sin éxito ( no han detectado nada ) EliStarA y EliTriIP. También he utilizado Dr.Web que ha detectado archivos infectados pero ningún virus en concreto, y tampoco he conseguido resolver el problema.



Hasta el momento eso es todo, agradecería alguna idea nueva, o por el contrario puedo postear el reporte de algún programa como el Hijackthis...



P.D: Tengo el Windows Vista Basic.



Un saludo!

[msc hotline sat]

No damos soporte al sistema VISTA, pero prueba el SPROCES, que es mas potente que el HJT, y posteanos el informe resultante, a ver si vemos algo sospechoso.



Hazlo mejor arrancando en modo seguro, por si algun Rootkit impidiera ver claves maliciosas en modo normal.


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 23-4-2009

[Ito08]

Grácias de todas formas, espero que detecte algo el programa.



Ahí va el txt:



(23-4-2009 19:52:13)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows Vista (TM) Home Premium (v6.0.6001)

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.6001.18000) 0



Procesos Activos:

C:\WINDOWS\EXPLORER.EXE

C:\USERS\USER\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

.

.

.

( Esta parte la suprimo ya que es muy larga y creo que es lo que genera el Spybot en el archivo Host, pero si hace falta la posteo entera. )

.

.

.

O1 - Hosts: 127.0.0.1 www.yvira.de

O1 - Hosts: 127.0.0.1 yvira.de

O1 - Hosts: 127.0.0.1 www.zfsearch.com

O1 - Hosts: 127.0.0.1 zfsearch.com

O1 - Hosts: 127.0.0.1 zinblog.com

O1 - Hosts: 127.0.0.1 www.zinblog.com

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe

O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"

O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [Skytel] Skytel.exe

O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe

O4 - HKLM\..\Run: [eRecoveryService]

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Empowering Technology Launcher.lnk

O4 - Global Startup: SETAUDIO.EXE

O4 - Global Startup: SETRES.EXE

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP_vista.cab

O16 - DPF: {A5A76EA0-7B92-4707-9DBF-6F6FE56A6800} (Pure Networks Security Scan) - http://scan.networkmagic.com/nmscan/download/WebDiag.4.5.8056.1-ship-WD.V1.cab

O18 - Protocol hijack: about - (no CLSID) - (no file)

O18 - Protocol hijack: dvd - (no CLSID) - (no file)

O18 - Protocol hijack: its - (no CLSID) - (no file)

O18 - Protocol hijack: mhtml - (no CLSID) - (no file)

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol hijack: ms-its - (no CLSID) - (no file)

O18 - Protocol hijack: tv - (no CLSID) - (no file)

O18 - Protocol hijack: vbscript - (no CLSID) - (no file)

O20 - Winlogon Notify: !SASWINLOGON - C:\PROGRAM FILES\SUPERANTISPYWARE\SASWINLO.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: aswMonFlt - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswMonFlt.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - C:\WINDOWS\SYSTEM32\%windir%\system32\svchost.exe (file missing)

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: int15 - Acer, Inc. - C:\Acer\Empowering Technology\eRecovery\int15.sys

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: PSDNServ - Egis Incorporated - C:\WINDOWS\SYSTEM32\DRIVERS\PSDNServ.sys

O23 - Service: PSDVdisk (psdvdisk) - Egis Incorporated - C:\WINDOWS\SYSTEM32\DRIVERS\PSDVdisk.sys

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: rimmptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimmptsk.sys

O23 - Service: rimsptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimsptsk.sys

O23 - Service: Ricoh xD-Picture Card Driver (rismxdp) - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rixdptsk.sys

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\WINDOWS\SYSTEM32\%windir%\system32\svchost.exe (file missing)

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudio - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\xaudio.sys

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe

O23 - Service: {49DE1C67-83F8-4102-99E0-C16DCC7EEC796} - Cyberlink Corp. - C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: atikmdag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atikmdag.sys

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60x) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60x.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTAZL3.SYS

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_DPV.sys

O23 - Service: HSXHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSXHWAZL.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RTKVHDA.sys

O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

O23 - Service: Controlador de adaptador Intel(R) PRO/Wireless 3945ABG para Windows Vista de 32 bits (NETw3v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw3v32.sys

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows Vista de 32 bits (NETw4v32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw4v32.sys

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: nvlddmkm - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvlddmkm.sys

O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\WINDOWS\SYSTEM32\%windir%\system32\svchost.exe (file missing)

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSX_CNXT.sys

O23 - Service: Winbond IR Transceiver (winbondcir) - Winbond Electronics Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\winbondcir.sys

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\drivers\megasas.sys

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\drivers\megasr.sys

O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

O23 - Service: NVIDIA nForce RAID Driver (nvraid) - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

O23 - Service: USB Mass Storage Driver (USBSTOR) - Unknown owner - C:\WINDOWS\system32\drivers\usbstor.sys (file missing)

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys



96 Servicios.

28 de Carga Automatica.

28 de Carga Manual.

40 Deshabilitados.







Eso es todo, un saludo!

[lucl]

No, no hace falta que pongas las lineas de host. En cuanto al log espera que te lo mire msc porque siendo del vista.... es mejor que te lo analize el mas experto. Saludos

[msc hotline sat]

Pues el VISTA, mejor ni verlo...



pero bueno, de entrada ya se ve que te faltan parches, y si como dices no puedes lanzar un windowsupdate ..., te falta al menos este parche:





Parche MS08-067 (Servicio Servidor) NO Instalado.





y seguramente otros, pero especialmente el indicado, sin el que estás desprotegido contra el Conficker y otros similares que entran por dicho agujero... Tienes registrado el VISTA con Microsoft ??? Sino sería causa suficiente para que no pudieras lanzar el windowsupdate, que te es tan necesario...





Luego vemos una clave lanzando este fichero sospechoso, envianoslo para analizar:



C:\Windows\PLFSetI.exe





AParte de esto lo peor es que es VISTA...



Tras recibir la muestra solicitada, la analizaremos e informaremos:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 24-4-2009

[Ito08]

Hola:



Grácias por tu atención. El Windows si es original, es un ordenador portátil y ya venia instalado y con las herramientas del fabricante. Además, antes si podía actualizar, pero en poco tiempo empezó a ir de mal en peor, hasta el punto de que no podía ni iniciar el windows ( se colgaba ), así que decidí recuperar el equipo al punto de fábrica ( equivaldría a un formateo ya que el CD de windows no lo tengo ), y desde entonces va bien salvo los problemas que he comentado.



Un saludo!

[flacoroo]

bajate estas herramientas y ejecutalas reiniciando tu compu en modo seguro y como Administrador ya que tiene el vista....despues que hayas terminado nos pegas el resultado que se crea en C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url]

[url=http://www.zonavirus.com/descargas/elipen.asp]Descargar Elipen[/url] (vacuna el Pc y usb´s o pendrives)

[Ito08]

Hola de nuevo, he ejecutado los programas que me has dicho, ElistarA y Elibagla en algunos archivos me daba un error de acceso denegado y al final de la ruta aparecia un " ( 16 ) ":



(24-4-2009 18:08:22)

EliStartPage v18.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\fixwareout\FindT\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 14472

Nº Total de Ficheros: 93329

Nº de Ficheros Analizados: 24573

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1







(24-4-2009 18:13:4)

EliBagle v12.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14471

Nº Total de Ficheros: 93327

Nº de Ficheros Analizados: 15895

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Apr 24 20:19:54 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida





Un saludo y gracias!

[msc hotline sat]

Has probado si tras pasar el ELISTARA puedes actualizar parches lanzando un windowsupdate ??? porque podría haber sido que entre las lineas del HOSTS, aparte de las del spybot, tuvieras algunas impidiendo acceder a las webs de microsoft ... es propio de muchos malwares.



Y ya que aun no tienes instalado el parche contra el Conficker, prueba el COMPROBADOR, no sea que no pudieras acceder a dichas webs por ello:





DESCARGA COMPROBADOR.EXE

http://www.zonavirus.com/descargas/comprobador.asp



si en la primera fila ves los tres iconos, no tienes el conficker, pero asegurate, por si las moscas...



y nos informas del resultado, gracias



saludos



ms, 24-4-2009





NOTA: y ya que no has posteado los informes de analisis por accion directa del ELISTARA y demás, prueba el ELITRIIP y luego selecciuona tyodo el contenido del c:\infodat.txt y con un COPIAR Y PEGAR lo posteas en tu proximoi post de respuesta a este Tema, gracias:


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

[Ito08]

No sé a que te fefieres con el informe por acción directa de ElistarA, he puesto todo lo que sale en el InfoSat.txt.

Respecto al Comprobador, me salen los tres logos.



Ahora pongo el contenido de InfoSat.txt incluyendo los resultados de ElitriIP:





(24-4-2009 18:08:22)

EliStartPage v18.46 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\fixwareout\FindT\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 14472

Nº Total de Ficheros: 93329

Nº de Ficheros Analizados: 24573

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1







(24-4-2009 18:13:4)

EliBagle v12.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Abril del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14471

Nº Total de Ficheros: 93327

Nº de Ficheros Analizados: 15895

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Apr 24 20:19:54 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



(24-4-2009 19:06:07)

EliTriIP v5.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.00hq.com

.

.

( creo que es lo que genera el Spybot )

.

.

Linea Eliminada del HOSTS --> 127.0.0.1 yurigamboa25.googlepages.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.yvira.de

Linea Eliminada del HOSTS --> 127.0.0.1 yvira.de

Linea Eliminada del HOSTS --> 127.0.0.1 www.zfsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 zfsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 zinblog.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.zinblog.com



(24-4-2009 19:06:19)

EliTriIP v5.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14483

Nº Total de Ficheros: 93635

Nº de Ficheros Analizados: 20331

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Un saludo!



P.D: Después de ejecutar esto, he reiniciado y sigue sin funcionar el windows update.

[msc hotline sat]

Pues ya por último, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





pero por lo menos sabemos que ...aun... no te ha entrado el conficker :mrgreen:



A la vista del informe obraremos en consecuencia



saludos



ms, 24-4-2009

[Ito08]

Casi es un consuelo que no tengo el conficker... no he podido pasar el antivirus online, me daba error en " updating database "... :?



Voy a probar unas cuantas cosas que he leído por ahí y ya posteo si consigo algo...



Un saludo!

[Ito08]

Hola de nuevo.



He descubierto varias cosas... aunque no se si son buenas o malas..



Me conectado a otra red ( la del vecino :wink: ) y he podido actualizar todo ( anispy, windows update... ), he seguido unos pasos para quitar virus y el Malwarebytes me ha detectado 3 DNS Charger:


[quote]Elementos de Datos del Registro Infectados: 3

Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{be9fc3ca-3983-410a-8629-b355f62f2e4c}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.99,85.255.112.126 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{be9fc3ca-3983-410a-8629-b355f62f2e4c}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.99,85.255.112.126 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{be9fc3ca-3983-410a-8629-b355f62f2e4c}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.99,85.255.112.126 -> Quarantined and deleted successfully.[/quote]

También he podido actualizar y ejecutar el Kaspersky online, y no ha detectado nada:
[quote]Saturday, April 25, 2009

Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Friday, April 24, 2009 09:11:47

Records in database: 2074498





Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes



Scan area Folder





Scan statistics

Files scanned 93872

Threat name 0

Infected objects 0

Suspicious objects 0

Duration of the scan 00:32:18



No malware has been detected. The scan area is clean.

The selected area was scanned. [/quote]

Después de esto ha sido cuando he actualizado con windows update, y una vez he vuelto a mi red, han vuelto los mismo problemas, no puedo actualizar, y tampoco puedo entrar a ciertas páginas. Así que supongo que tengo el router afectado por algún virus, y no es por configuración ya que hace 4 días me funcionaba perfectamente y soy yo el único que tiene acceso al router. Así que ahora no sé si el problema está solo en el router o es mi ordenador el que sigue con un virus.



Espero que alguien me pueda ayudar con esto ya que ahora si que no tengo ni idea de por donde tirar.



Un saludo!!

[julibaga]

Esas direcciones son de Ucrania.

Para cambiarlos puedes usar el [url=http://www.zonavirus.com/descargas/confgdns.asp]CONFGDNS[/url], pero primero pregunta cuales te aconseja usar tu ISP.

[msc hotline sat]

Efectivamente, las IP son de :



85.255.115.99 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.126 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



pero como que el informe anterior dice al respecto [b][i]"Quarantined and deleted successfully"[/i][/b], igual ya está solucionado, pues el AV ONLINE posterior ya no detecta nada...



Dinos tras todo ello persiste alguna anomalia o podemos consioderar splucionado el Tema, gracias



saludos



ms, 25-4-2009

[Ito08]

Cuando utilizo mi red todo funciona igual de mal, me sigue redirigiendo a páginas de publicidad ( casi siempre la misma ) cuando pincho en links de búsqueda google o yahoo, no puedo entrar en páginas de microsoft o de antivirus, y no puedo actualizar nada.



Cuando me conecto a otra red es cuando me funciona sin problemas.



He probado a cambiar la contraseña del administrador del router y seguir algunos consejos, pero no he avanzado nada. Estoy un poco perdido, y los antimalware actualizados no detectan nada, ni en modo seguro ni en modo normal. ( he utilizado malwarebytes y superantispyware ).



He pensado en restaurar el router, pero no sé si perdería la configuración de mi proveedor de internet y no sé si realmente el problema está en el router.



Un saludo!

[msc hotline sat]

Cuando se conecta con su ordenador pero a la red del vecino, está usando la IP del vecino, y el router del vecino, y posiblemente los servidores de DNS del vecino.



Creo que el problema puede estar en la configuracion de los DNS server de su ordenador. Abra una ventana al DOS y escriba IPCONFIG  /ALL > C:\IPCONFIG.TXT <ENTER>

Tras ello abra el bloc de notas, busque el C:\IPCONFIG.TXT , lo selecciona todo y con un copiar y pegar nos lo postea en su proxima respuesta a este Tema.



Normalmente los DNSCHANGER modifican las claves del registro y se ven las modificaciones en el apartado O17 , pero en su caso no lo mostraba el sproclog que nos posteó, incluso en modo seguro. O hay un Rootkit que nos lo oculta, o bien lo que ha modificado es la configuracion de su tarjeta ??? no es normal, pero lo veremos en el IPCONFIG, y obraremos en consecuencia.



Lo malo es que ni el AV ONLINE de kaspersky ni el Malwarebytes han detectado los ficheros infectados con el DNSCHANGER, y solo el segundo indicó haber borrado claves, pero de una carpeta rara : be9fc3ca-3983-410a-8629-b355f62f2e4c , de la que no aparece ninguna referencia en internet al buscarlo con el Google... o es algo muy nuevo o es aleatoria, en cualquier caso lo investigaremos





Y en cuanto nos postee lo pedido, obraremos en consecuencia



saludos



ms, 25-4-2009

[Ito08]

Ahí va el contenido de ipconfig, a ver si se puede avanzar algo:


[quote]
Configuraci¢n IP de Windows



Nombre de host. . . . . . . . . : User1

Sufijo DNS principal . . . . . :

Tipo de nodo. . . . . . . . . . : h¡brido

Enrutamiento IP habilitado. . . : no

Proxy WINS habilitado . . . . . : no



Adaptador LAN inal mbrico Conexi¢n de red inal mbrica:



Sufijo DNS espec¡fico para la conexi¢n. . :

Descripci¢n . . . . . . . . . . . . . . . : Intel(R) PRO/Wireless 3945ABG Network Connection

Direcci¢n f¡sica. . . . . . . . . . . . . : 00-1F-3C-2A-78-6A

DHCP habilitado . . . . . . . . . . . . . : s¡

Configuraci¢n autom tica habilitada . . . : s¡

V¡nculo: direcci¢n IPv6 local. . . : fe80::91cd:9afe:4ac4:b9ec%11(Preferido)

Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.128(Preferido)

M scara de subred . . . . . . . . . . . . : 255.255.255.0

Concesi¢n obtenida. . . . . . . . . . . . : s bado, 25 de abril de 2009 12:23:27

La concesi¢n expira . . . . . . . . . . . : martes, 28 de abril de 2009 12:23:27

Puerta de enlace predeterminada . . . . . : 192.168.1.1

Servidor DHCP . . . . . . . . . . . . . . : 192.168.1.1

Servidores DNS. . . . . . . . . . . . . . : 192.168.1.1

NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado



Adaptador de Ethernet Conexi¢n de  rea local:



Estado de los medios. . . . . . . . . . . : medios desconectados

Sufijo DNS espec¡fico para la conexi¢n. . :

Descripci¢n . . . . . . . . . . . . . . . : Broadcom NetLink (TM) Gigabit Ethernet

Direcci¢n f¡sica. . . . . . . . . . . . . : 00-1E-68-87-AE-A9

DHCP habilitado . . . . . . . . . . . . . : s¡

Configuraci¢n autom tica habilitada . . . : s¡



Adaptador de t£nel Conexi¢n de  rea local*:



Sufijo DNS espec¡fico para la conexi¢n. . :

Descripci¢n . . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

Direcci¢n f¡sica. . . . . . . . . . . . . : 02-00-54-55-4E-01

DHCP habilitado . . . . . . . . . . . . . : no

Configuraci¢n autom tica habilitada . . . : s¡

Direcci¢n IPv6 . . . . . . . . . . : 2001:0:4137:9e50:2c92:1f18:3f57:fe7f(Preferido)

V¡nculo: direcci¢n IPv6 local. . . : fe80::2c92:1f18:3f57:fe7f%12(Preferido)

Puerta de enlace predeterminada . . . . . : ::

NetBIOS sobre TCP/IP. . . . . . . . . . . : deshabilitado



Adaptador de t£nel Conexi¢n de  rea local* 2:



Estado de los medios. . . . . . . . . . . : medios desconectados

Sufijo DNS espec¡fico para la conexi¢n. . :

Descripci¢n . . . . . . . . . . . . . . . : Adaptador ISATAP de Microsoft #2

Direcci¢n f¡sica. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0

DHCP habilitado . . . . . . . . . . . . . : no

Configuraci¢n autom tica habilitada . . . : s¡



Adaptador de t£nel Conexi¢n de  rea local* 6:



Estado de los medios. . . . . . . . . . . : medios desconectados

Sufijo DNS espec¡fico para la conexi¢n. . :

Descripci¢n . . . . . . . . . . . . . . . : isatap.{5865DAC3-327A-4404-A268-A740889B3E9C}

Direcci¢n f¡sica. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0

DHCP habilitado . . . . . . . . . . . . . : no

Configuraci¢n autom tica habilitada . . . : s¡


[/quote]

[msc hotline sat]

Estás usando los DNS Server de tu router:



Puerta de enlace predeterminada . . . . . : 192.168.1.1

Servidor DHCP . . . . . . . . . . . . . . : 192.168.1.1

Servidores DNS. . . . . . . . . . . . . . : 192.168.1.1



Creo que el problema lo tienes ahí, yo pondría en su lugar unos DNS SERVER que te indicara tu proveedor de internet (ISP)



Pero como que veo que hace un momento nuestro ADMIN estaba por aquí, y él puede informarte mejor que yo al respecto, le paso la palabra... :wink:



saludos



ms, 25-4-2009

[admin]

Si por lo que he leido tienes todo limpio.



Es posible que te hallan entrado en tu router y cambiado la configuracion.



Asi que una posible solucion es

Asignales DNS's independientes del ROUTER, para que no cogan las dns del router sino otras, por ejemplo

· DNS1 195.235.113.3

· DNS2 195.235.113.5

Estas son de telefonica



Si un asi, te pasan esas cosas, te recomiento que te vallas a http://www.adslayuda.com/ verifiques cual es tu router, te hagas una copia de seguridad de la configuracion de tu router, en la pagina que te comento, tienes multitud de manuales paso a paso y acontinuacion resetees el router de fabrica una vez echo eso comprueba que valla todo OK sino, restaura tu copia de seguridad. PASO INMEDIATO es cambiarle la pass por defecto del router, todos los operadores les suelen poner unas fijas, vease 1234 adminttd etc...etc...

[Ito08]

Hola a todos:



Me alegra poder decir que ya he SOLUCIONADO el problema, he seguido el consejo de recuperar la configuración del router, he llamado a mi proveedor de internet y me han ayudado con el reseteo y ya funciona todo perfectamente. He cambiado la contraseña del administrador y espero no volver a sufrir este virus.



Voy a dejar el sistema con el avast!, spybot y spywareblaster ( si necesito alguno más estaría bien saberlo :D ).



Finalmente os agradezco vuestra ayuda y atención, y enhorabuena por la web.



Un saludo!

[msc hotline sat]

Pues lo celebramos, y gracias ADMIN por echarnos un cable !



Dando por solucioado el Tema, procedemoa a cerrarlo



saludos



ms, 25-4-2009