Error 0x10e0 The operator or administrator...

[lunch]

Hola a todos:

Antes que nada decir que llevo 2 días buscando por internet soluciones a este problema pero no encuentro nada de fiar.

El caso es que después de instalar un programa me empezó a salir esta ventana de error, que sale cada 20 minutos, a parte de que no me deja actualizar el antivirus y hay que cosas que no me deja descargar. Desinstalé el programa y demás y no me solucionó nada, como era de esperar. Le pasé un limpiador de registro y tampoco.



Me he bajado chorrocientas herramientas de desinfeción pero ninguna me ha hecho nada, el Malwarebytes Anti-Malware no me ha solucionado nada.



Eso sí, en todos los sitios que he mirado, siempre hay alguien que te recomienda el Ms-Errors, !que tiene que ser la caña porque te lo recomiendan hasta en la sopa!. El caso es que me bajo el programa, escaneo el ordenador con él, y para que me limpie al 100% tengo que pagar 40$, con lo cual ya empiezo a desconfiar. Eso sí, los "enviados" a decir que con este programa se soluciona todo, están haciendo muy bien su trabajo.



Estoy intentando por todos los medios el no tener que formatear. Si alguien ha solucionado este error por favor que me diga como hacerlo. (Seguro que alguien me recomienda el ms-errors)



Muchísimas gracias de antemano.

[msc hotline sat]

Pues no debemos comer en el mismo plato, porque esto que comenta suena mas a un FAKE ALERT que a un antivirus profesional, [b][i]"siempre hay alguien que te recomienda el Ms-Errors, !que tiene que ser la caña porque te lo recomiendan hasta en la sopa!. "[/i][/b]



No se fie de lo que digan porque muchos quieren vender la moto ... :mrgreen:



Empecemos por el Error que indica:



Error 0x10e0



De entrada aparenta ser un problema del I.E., pero sepamos en qué sistema operativo está trabajndo, no vaya a ser el VISTA ...



Diganos version del sistema mientras nos informamos un poco mas, gracias



saludos



ms, 22-6-2009

[msc hotline sat]

Pues un poco al respecto lo vemos en:



http://www.pc-library.com/errors/error-code/4320-0x10E0/



que nos indica que puede ser "caused by invalid registry entries and outdated or corrupt drivers."



A partir de aquí, cabe una REPARACION DE SISTEMA y un analisis con un AV ONLINE para ver si se trata de algun malware que se lo ha producido:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

______




[quote="AV ONLINE"]


entrar en:



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]


[/quote]

saludos



ms, 22-6-2009

[lunch]

El sistema operativo es Windows XP.

Gracias por contestar tan rápido.

Voy a pasarle el escaneo on line que me dices a ver que me encuentra.

Y menos mal que nadie me ha dicho nada del ms-errors ese.



Ya escribiré con el resultado, muchas gracias por todo.

[msc hotline sat]

Pues cuando lo hayas posteado lo analizaremos y procederemos en consecuencia





saludos



ms, 22-5-2009

[lunch]

Pues nada, el karpesky por más que lo intento se me queda actualizando la base de datos y no actualiza. Parece como si fallara el servidor.



Dice:

Update has failed. Program has failed to start. Close an open again, etc.

You must be online to update the karpersky online scanner 7, etc.

(Error: Failed to connect to update source)



Desactivé el antivirus como se decía y el cortafuegos por si acaso.



Y mientras estaba liada con ésto se me ha colao un antivirus falso que le di a descargar porque creía que era del Karpesky y me ha estado saliendo ventanas por todos lados. Gracias a Dios, y después de 1 hora intentándolo, he podido quitarlo. Era un tal Winbluesoft.



A ver que hago ahora con la ventanita del error 0x10e0



Ofú! que día más malo llevo.

[msc hotline sat]

Pues si no puedes pasar el AV ONLINE, veamos qué tienes en este ordenador para "apañarlo" .



Descarga el SPROCES y tras probarlo nos posteas el contenido del informe resultante :


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 23-6-2009

[lunch]

Bueno, ahí va lo que ha registrado el Sproces:



(24-6-2009 10:55:41 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: USUARIO-DC1D83A

Nombre Usuario: usuario



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\DISKEEPER CORPORATION\DISKEEPER\DKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\CDBURNERXP\NMSACCESSU.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\CLAMWIN\BIN\CLAMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\RUNDLL.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\FOXMAIL\FOXMAIL.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\CLAMWIN\BIN\FRESHCLAM.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\BitComet\tools\BitCometBHO_1.3.1.15.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [setup2.exe] C:\WINDOWS\system32\setup2.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [rundll] C:\WINDOWS\system32\rundll.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &D&escargue &con BitComet - res://F:\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&escargue todo con BitComet - res://F:\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: &D&escargue todos los vídeos con BitComet - res://F:\BitComet\BitComet.exe/AddVideo.htm

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://F:\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D18781E6-CFF3-4FA1-B0F1-03A064B51261}: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CCS\Services\Tcpip\..\{E06B4305-14F6-4F58-8912-335101B3F743}: NameServer = 85.255.112.23,85.255.112.126

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

scrfile: "%1" %*



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Servicio Google Update (gupdate1c9a73646beba0) (gupdate1c9a73646beba0) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFBS2S2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFDPSP2.sys

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Huawei Mobile Adapter USB Modem and USB Serial (MobileAdapter) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\hmvmdm.sys

O23 - Service: Motorola SURFboard USB Cable Modem Windows Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFCXTS2.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



27 Servicios.

10 de Carga Automatica.

16 de Carga Manual.

1 Deshabilitados.





Gracias.

[msc hotline sat]

Pues envianos esto dos ficheros para analizar:



C:\WINDOWS\system32\setup2.exe



C:\WINDOWS\system32\rundll.exe



y, mientras, añadeles la extension .VIR a estos ficheros, para que tras reiniciar ya no se pongan en marcha, luego sigue las indicaciones:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y



eliminacion, si procede, en nuestras utilidades, de lo cual informaremos







Además, tienes configurados en el registro unos servidores de DNS maliciosos, de Ukraina:



85.255.112.23 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.126 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



Pide a tu ISP los que te recomienden usar y con el CONFGDNS.EXE configuralos:





CONFGDNS.EXE:

http://www.zonavirus.com/descargas/confgdns.asp

[msc hotline sat]

Posiblemente en SETUP2.EXE se este:



File Setup2.exe received on 2009.06.22 19:26:54 (UTC)

Current status: finished



Result: 13/41 (31.71%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.18 2009.06.22 Net-Worm.Win32.Koobface!IK

AhnLab-V3 5.0.0.2 2009.06.22 -

AntiVir 7.9.0.193 2009.06.22 -

Antiy-AVL 2.0.3.1 2009.06.22 -

Authentium 5.1.2.4 2009.06.22 W32/Trojan-Sml-SDCW!Eldorado

Avast 4.8.1335.0 2009.06.21 -

AVG 8.5.0.339 2009.06.22 -

BitDefender 7.2 2009.06.22 Win32.Worm.Koobface.UK

CAT-QuickHeal 10.00 2009.06.22 Win32.Backdoor.Phdet.gen!A.3

ClamAV 0.94.1 2009.06.22 -

Comodo 1394 2009.06.22 -

DrWeb 5.0.0.12182 2009.06.22 -

eSafe 7.0.17.0 2009.06.22 Suspicious File

eTrust-Vet 31.6.6573 2009.06.22 -

F-Prot 4.4.4.56 2009.06.22 W32/Trojan-Sml-SDCW!Eldorado

F-Secure 8.0.14470.0 2009.06.22 -

Fortinet 3.117.0.0 2009.06.22 -

GData 19 2009.06.22 Win32.Worm.Koobface.UK

Ikarus T3.1.1.59.0 2009.06.22 Net-Worm.Win32.Koobface

Jiangmin 11.0.706 2009.06.22 -

K7AntiVirus 7.10.768 2009.06.19 -

Kaspersky 7.0.0.125 2009.06.22 Heur.Trojan.Generic

McAfee 5654 2009.06.22 -

McAfee+Artemis 5654 2009.06.22 Artemis!38D5FF82D762

McAfee-GW-Edition 6.7.6 2009.06.22 -

Microsoft 1.4803 2009.06.22 -

NOD32 4179 2009.06.22 probably a variant of Win32/Koobface.NBQ

Norman 6.01.09 2009.06.22 -

nProtect 2009.1.8.0 2009.06.22 -

Panda 10.0.0.16 2009.06.22 -

PCTools 4.4.2.0 2009.06.22 -

Prevx 3.0 2009.06.22 -

Rising 21.35.04.00 2009.06.22 -

Sophos 4.42.0 2009.06.22 -

Sunbelt 3.2.1858.2 2009.06.22 -

Symantec 1.4.4.12 2009.06.22 W32.Koobface.B

TheHacker 6.3.4.3.351 2009.06.22 -

TrendMicro 8.950.0.1094 2009.06.22 PAK_Generic.001

VBA32 3.12.10.7 2009.06.22 -

ViRobot 2009.6.22.1798 2009.06.22 -

VirusBuster 4.6.5.0 2009.06.22 -

Additional information

File size: 15360 bytes

MD5 : 38d5ff82d7624cab580e15390d0c3d73

SHA1 : b8979e6d96c044f1a49a8df9c5673c2cbe46724d





y el RUNDLL.EXE, subelo a www.virustotal.com/es y nos posteas con un copiar y pegar, el informe resultante, asi ganaremos tiempo.



saludos



ms, 24-6-2009

[lunch]

Hola:

Pues no tengo el setup2.exe. Lo borré hace unos días cuando se me instaló el falso antivirus: Winbluesoft. Busqué la manera manual de eliminar el programa. Lo que no sé es porqué aparece en el resultado del Sproces si no lo tengo en system 32.

Ya he enviado el rundll.exe.

También me indicáis que tengo que ejecutar en modo seguro el HJT, pero no tengo ni idea de lo que es y no hay enlace a él.

He cambiado el rundll.exe a rundll.vir como me dijísteis, y se ha cerrado el explorer momentáneamente, pero ha vuelto a restablecerse bien. Pero la ventana de error se sigue ejecutándo.



Gracias.

[julibaga]

El HJT es la abreviatura de [b][url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]HijackThis[/url][/b]. Si la das click al nombre lo podrás bajar.

Y no te olvides de cambiar los DNS.

[msc hotline sat]

Es que por lo visto lo eliminaste a medias, borraste el fichero pero no la clave de lanzamiento:



O4 - HKCU\..\Run: [setup2.exe] C:\WINDOWS\system32\setup2.exe





Eliminala como se indica para eliminar claves, ahora que ya sabes lo que es el [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]HJT[/url] :wink:



saludos



ms, 24-6-2009

[msc hotline sat]

Y recibida la muestra del RUNDLL.EXE resulta ser una nueva variante que pasamos a controlar a partir del ELISTARA 18.89 de hoy como Trojan.BranCUD :




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 25-6-2009

[lunch]

Gracias por toda la información.

Ahora me pongo con el HijackThis. Sí que la conocía y he llegado a tenerla, pero no me sonaba la abreviatura.

He tardado unos días en ponerme, por temas de trabajo, pero a ver si ahora me pongo las pilas con el virus este de marras.

Gracias y ya os cuento.

[lunch]

Bueno, pues el HJT no se ejecuta.

[lunch]

¿Crees que el problema del DNS puede hacer que no se me ejecuten las herramientas y que no se me actualice el antivirus?

[msc hotline sat]

Lo de que no puedes ejecutar el HJT es nuevo ...



Pero lo de que no se actualice el antivirus, sí, es prosible que sea por cuestiones de DNS.



Pero decíamos:



Y recibida la muestra del RUNDLL.EXE resulta ser una nueva variante que pasamos a controlar a partir del ELISTARA 18.89 de hoy como Trojan.BranCUD :



No hemos visto el infosat correspondiente a dicha version, tras probarla, reinicia, prueba si persiste alguna anomalía, y en tal caso dinos cual y posteanos el contenido de c:\infosat.txt



saludos



ms, 29-6-2009

[julibaga]

Y para ejecutar el HJT, cámbiale de nombre antes de ejecutarlo a HJT2009 a ver si así se ejecuta. Me pasó recientemente y así funcionó, como que el malware detecta ese nombre y no deja ejecutarlo.

[lunch]

Pues sí, después de cambiarle el nombre como me has dicho, he podido ejecutar el HJT.

Te pego el .log:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:48:50, on 29/06/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Google\Update\GoogleUpdate.exe

C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\ClamWin\bin\ClamTray.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Archivos de programa\Foxmail\Foxmail.exe

C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Trend Micro\HijackThis\HJT2009.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\BitComet\tools\BitCometBHO_1.3.1.15.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [rundll] C:\WINDOWS\system32\rundll.exe

O4 - HKLM\..\Run: [InCD] "C:\Archivos de programa\Nero\Nero 9\InCD\InCD.exe"

O4 - HKLM\..\Run: [NBHGui] "C:\Archivos de programa\Nero\Nero 9\InCD\NBHGui.exe"

O4 - HKLM\..\Run: [NeroRebootSetup] "C:\Documents and Settings\usuario\Configuración local\Temp\nro.tmp\SetupX.exe" SC -Reboot PIINSTALLTYPE="0"

O4 - HKLM\..\RunOnce: [CleanSetup] cmd /C rmdir /S /Q "C:\Documents and Settings\usuario\Configuración local\Temp\nro.tmp\"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &D&escargue &con BitComet - res://F:\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&escargue todo con BitComet - res://F:\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: &D&escargue todos los vídeos con BitComet - res://F:\BitComet\BitComet.exe/AddVideo.htm

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://F:\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D18781E6-CFF3-4FA1-B0F1-03A064B51261}: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CCS\Services\Tcpip\..\{E06B4305-14F6-4F58-8912-335101B3F743}: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Servicio Google Update (gupdate1c9a73646beba0) (gupdate1c9a73646beba0) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDSrv) - Nero AG - C:\Archivos de programa\Nero\Nero 9\InCD\InCDSrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Archivos de programa\Nero\Nero 9\InCD\NBHRegInCDSrv.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



--

End of file - 7909 bytes





Otra cosa. No sé a que te refieres con ésto: "No hemos visto el infosat correspondiente a dicha version, tras probarla, reinicia, prueba si persiste alguna anomalía, y en tal caso dinos cual y posteanos el contenido de c:\infosat.txt"

Ahí me he perdido.

Gracias.

[julibaga]

[quote="lunch"]Otra cosa. No sé a que te refieres con ésto: "No hemos visto el infosat correspondiente a dicha version, tras probarla, reinicia, prueba si persiste alguna anomalía, y en tal caso dinos cual y posteanos el contenido de c:\infosat.txt"

Ahí me he perdido.

Gracias.[/quote]

Cuando ejecutaste el Elistara, te crea un archivo en c:\ que se llama infosat.txt. Lo abres, copias el contenido y lo pegas en el siguiente post para ver los resultados.



Aparte, sigues teniendo estas claves:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D18781E6-CFF3-4FA1-B0F1-03A064B51261}: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CCS\Services\Tcpip\..\{E06B4305-14F6-4F58-8912-335101B3F743}: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.23,85.255.112.126



Estos DNS son los que te indicó [color=#800000]msc hotline sat[/color] que cambiaras. Espera a que él mismo te indique si las tienes que eliminar. Yo creo que sí, pero espera a que [color=#800000]msc hotline sat[/color] te lo indique.

[msc hotline sat]

Si, claro, ya se lo indicamos casi al principio:



[quote"msc"]

Además, tienes configurados en el registro unos servidores de DNS maliciosos, de Ukraina:



85.255.112.23 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.126 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



Pide a tu ISP los que te recomienden usar y con el CONFGDNS.EXE configuralos:





CONFGDNS.EXE:

http://www.zonavirus.com/descargas/confgdns.asp

[/quote]



Los que ahora tiene le llevan a pasear por uKRAINA ...



saludos



ms, 29-6-2009

[lunch]

Ya he visto lo del ElistarA, me había saltado ese mensaje.



Por cierto, que estoy tonta. Que ya la ventana de error no me sale. Después de cambiarle la extensión a .vir como me dijísteis y reiniciar no me ha vuelto a salir. Pero, ¿qué hago con ese archivo?

[msc hotline sat]

Mientras está con extensión .VIR no molesta, pero al probar el ELISTARA actual (>18.89) debe detectarlo y eliminarlo



Si no lo hace, dinoslo.



saludos



ms, 29-6-2009

[julibaga]

Repitiendo, postea también al resultado del infosat.txt después de pasarle la versión actualizada. Porque aún debes tener algo por ahí al no poder ejecutar el HJT con su propio nombre. Luego vuelve a pasar el Sproces y pega de nuevo el resultado del mismo para ver qué quedó.

[lunch]

El log del ElistarA:





(29-6-2009 16:32:11 (GMT))

EliStartPage v18.91 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DB --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Rundll"="C:\WINDOWS\system32\rundll.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.23,85.255.112.126

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-6-2009 16:33:39 (GMT))

EliStartPage v18.91 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\AVI Codec Pack\UNINSTALL.EXE --> Eliminado, WebDir.B(dr)

C:\WINDOWS\system32\RUNDLL.VIR --> Eliminado, Brancud



Nº Total de Directorios: 6872

Nº Total de Ficheros: 72661

Nº de Ficheros Analizados: 21461

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[lunch]

Resultado del Sproces:



(29-6-2009 17:13:31 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: USUARIO-DC1D83A

Nombre Usuario: usuario



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\DISKEEPER CORPORATION\DISKEEPER\DKSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\CLAMWIN\BIN\CLAMTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\CDBURNERXP\NMSACCESSU.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\BitComet\tools\BitCometBHO_1.3.1.15.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [InCD] "C:\Archivos de programa\Nero\Nero 9\InCD\InCD.exe"

O4 - HKLM\..\Run: [NBHGui] "C:\Archivos de programa\Nero\Nero 9\InCD\NBHGui.exe"

O4 - HKLM\..\Run: [NeroRebootSetup] "C:\Documents and Settings\usuario\Configuración local\Temp\nro.tmp\SetupX.exe" SC -Reboot PIINSTALLTYPE="0"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\MpcStar\Codecs\QuickTime\QTSystem\qttask.exe" -atboottime

O4 - HKLM\..\RunOnce: [CleanSetup] cmd /C rmdir /S /Q "C:\Documents and Settings\usuario\Configuración local\Temp\nro.tmp\"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: &D&escargue &con BitComet - res://F:\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&escargue todo con BitComet - res://F:\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: &D&escargue todos los vídeos con BitComet - res://F:\BitComet\BitComet.exe/AddVideo.htm

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://F:\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D18781E6-CFF3-4FA1-B0F1-03A064B51261}: NameServer = 85.255.112.23,85.255.112.126

O17 - HKLM\System\CCS\Services\Tcpip\..\{E06B4305-14F6-4F58-8912-335101B3F743}: NameServer = 85.255.112.23,85.255.112.126

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Servicio Google Update (gupdate1c9a73646beba0) (gupdate1c9a73646beba0) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDSrv) - Nero AG - C:\Archivos de programa\Nero\Nero 9\InCD\InCDSrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Archivos de programa\Nero\Nero 9\InCD\NBHRegInCDSrv.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFBS2S2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFDPSP2.sys

O23 - Service: Nero UDF File System Driver (InCDFs) - Nero AG - C:\WINDOWS\SYSTEM32\DRIVERS\InCDFs.sys

O23 - Service: Nero InCDPass Driver (InCDPass) - Nero AG - C:\WINDOWS\SYSTEM32\DRIVERS\InCDPass.sys

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Huawei Mobile Adapter USB Modem and USB Serial (MobileAdapter) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\hmvmdm.sys

O23 - Service: Motorola SURFboard USB Cable Modem Windows Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFCXTS2.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



32 Servicios.

13 de Carga Automatica.

18 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Bien, el ELISTARA detectó y eliminó los troyanos:



C:\Archivos de programa\AVI Codec Pack\UNINSTALL.EXE --> Eliminado, WebDir.B(dr)

C:\WINDOWS\system32\RUNDLL.VIR --> Eliminado, Brancud



Pero aun persisten estas claves de DNS server maliciosos:



O17 - HKLM\System\CCS\Services\Tcpip\..\{D18781E6-CFF3-4FA1-B0F1-03A064B51261}: NameServer = 85.255.112.23,85.255.112.126



O17 - HKLM\System\CCS\Services\Tcpip\..\{E06B4305-14F6-4F58-8912-335101B3F743}: NameServer = 85.255.112.23,85.255.112.126





Procede en consecuencia, como ya se te indicó.



y si ya lo hiciste, elimina estos restos.



saludos



ms, 29-6-2009

[lunch]

Antes de hablar con mi proveedor de servicios de internet, ¿borro las claves de Ukrania?, ¿o ya me las borró el HJT?. Lo digo porque al iniciarse el HJT, me detectó uno o dos DNS que me borró.

Y otra cosa, ¿tiene también que ver que no me funcione ningún programa de grabación de cds y dvds?, sólo me graba en imágenes.



Gracias.

[lucl]

Cuando hables con tu proveedor de internet pidele indicaciones de como cambiar las claves maliciosas. Hazlo asi que sera mas seguro, que te guien paso a paso y nos comentas. En cuanto a lo de los cds y demas espera a hacer esto de las dns y lo pruebas. Aunque sera por algo independiente de esto pero ya lo veremos saludos