Inicio sesion y me sale SSCVIHOST.exe Chequeo de hjt v2.0.2

[scvhost]

Por favor ayudenme ayer al iniciar sesion me aparecia una ventana que decia el archivo SSCVIHOST.exe no se encuentra...

pensando que era un virus pase el nod32 de eset y detecto algo extraño lo elimine despues pase el ccleaner para borrar cookies despues pase el SUPERAntispyware y detecto 66 archivos sospechosos y los mande a eliminar y despues pase el AD-Aware (version aniversario para usuarios) y elimine lo que quedaba sin embargo habia algo que no podia borrar con nada asi que ingrese al registro y lo elimine ahora cuando inicio sesion tarda un minuto en entrar al escritorio no se porq tarda tanto sera que borre algo del registro favor ayudenme









Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:24:04 a.m., on 18/7/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Software602\Print2PDF\PrnPack.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Uniblue\RegistryBooster\RegistryBooster.exe

C:\Archivos de programa\Media Key\MagicKey.exe

C:\Archivos de programa\Media Key\OSD.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\Ad-Aware.exe

C:\Documents and Settings\NeonPeran\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\msiexec.exe

C:\Documents and Settings\NeonPeran\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\NeonPeran\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\SearchProtocolHost.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [PrintPack dispatcher] "C:\Archivos de programa\Software602\Print2PDF\PrnPack.exe" /server

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINDOWS\system32\Print602.dll

O9 - Extra 'Tools' menuitem: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINDOWS\system32\Print602.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.7.109.cab

O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.33/g_bin/eng/boards_2_0_0_35.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {C0B8E968-6A2B-4825-8029-A92874CA6BD5} (VPlayer Control) - http://www.007.com/vividas/player/player_ocx.jpeg

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe



--

End of file - 9794 bytes

[msc hotline sat]

Lo que indicas del 'SSCVIHOST.EXE'probablemente lo encontrastes en pendrives o unidades externas, ya que es donde lo copia el virus Sohana.W: http://www.alertaantivirus.es/virus/detalle_virus.html?cod=6869

para propagar el virus a traves de pendrives y unidades USB.



Inicialmente llega al ordenador a traves de un mensaje del MSN que ofrece un link, el cual por pulsarlo, se infecta el ordenador:



http://[-Eliminado-]atquanglan.prohosts.org/index.html



Es importante que vacunes ordenador y pendrives con el ELIPEN, para evitar la propagacion del mismo:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Aparte, dicho virus deshabilita el acceso al Task Manager y crea ficheros SCVHOST.EXE conteniendo al malware (ojo, que no es el SVCHOST.EXE del sistema)



Si tienes alguno de estos ficheros, SCVHOST.EXE o SSCVIHOST.EXE, envianoslo para analizar y controlarlo con nuestras utilidades:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-7-2009





NOTA: Ademas le faltan muchos parches !!!

[b][i]Platform: Windows XP SP2 (WinNT 5.01.2600)[/i][/b]

Le faltan los 1073 del SP3 y posiblemente los posteriores... Lance un windowsupdate e instale los pendientes ! ms.

[msc hotline sat]

Has enviado un fichero log a SATINFO, donde los que no son asociados a sus servicios no deben enviar mas que muestras de fichero que en el foro se pidan para analizar, los log e informes que te generen las utilidades se han de postear en el foro:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



De todas formas, se ha recuperado de la papelera y lo posteo para analizarlo, sin que sirva de precedente !!! :



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:24:04 a.m., on 18/7/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Software602\Print2PDF\PrnPack.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Uniblue\RegistryBooster\RegistryBooster.exe

C:\Archivos de programa\Media Key\MagicKey.exe

C:\Archivos de programa\Media Key\OSD.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\Ad-Aware.exe

C:\Documents and Settings\NeonPeran\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\msiexec.exe

C:\Documents and Settings\NeonPeran\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\NeonPeran\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\SearchProtocolHost.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [PrintPack dispatcher] "C:\Archivos de programa\Software602\Print2PDF\PrnPack.exe" /server

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINDOWS\system32\Print602.dll

O9 - Extra 'Tools' menuitem: Print2PDF - {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - C:\WINDOWS\system32\Print602.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.7.109.cab

O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.33/g_bin/eng/boards_2_0_0_35.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {C0B8E968-6A2B-4825-8029-A92874CA6BD5} (VPlayer Control) - http://www.007.com/vividas/player/player_ocx.jpeg

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe



--

End of file - 9794 bytes



lo cual pasaremos a analizar desde el foro



saludos



ms, 20-7-2009

[msc hotline sat]

Visto el nuevo log, persiste la falta de parches:



[b][i]Platform: Windows XP SP2 (WinNT 5.01.2600)[/i][/b]



ya le deciamos en el anterior analisis:


[quote]NOTA: Ademas le faltan muchos parches !!!

[b][i]Platform: Windows XP SP2 (WinNT 5.01.2600)[/i][/b]

Le faltan los 1073 del SP3 y posiblemente los posteriores... Lance un windowsupdate e instale los pendientes ! ms.[/quote]

y no hemos recibido ninguna muestra de las que le pedíamos para analizar:



[b][i][quote]Si tienes alguno de estos ficheros, SCVHOST.EXE o SSCVIHOST.EXE, envianoslo para analizar y controlarlo con nuestras utilidades:[/quote][/i][/b]





Así que obre en consecuencia.



saludos



ms, 20-7-2009

[scvhost]

tengo un solo fichero scvhost se los voy a enviar el fichero scvihost.exe lo elimino el nod32 y ahora cuando inicio sesion la computadora tarda un minuto en arrancar hasta donde se el scvhost es el que ayuda al inicio de la pc me puedes ayudar con lo del inicio de sesion por que tardo demasiado para iniciar

[scvhost]

ok

[lucl]

Bueno veamos dos cositas, la primera es que el log de infosat lo tienes que poner con un copiar pegar no adjuntarlo. Y la segunda es que el archivo svchost.rar que adjuntas DEBES enviarlo a Satinfo . Arriba a la derecha tienes el boton de envio muestras. Ponle contraseña al rar, le pones la palabra VIRUS y lo envias. Y por favor quita el adjunto que has puesto aqui gracias saludos

[scvhost]

Gracias por la respuesta aqui esta lo de infosat:





(21-7-2009 18:44:12)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



Unidad D:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Ya te envio el archivo scvhost y gracias por la respuesta

[scvhost]

Ya envie el archivo espero sus respuestas gracias

[lucl]

Mañana te lo analizaran y te diran algo al respecto estate atento al foro saludos

[scvhost]

ok lucl gracias estare atento una cosa mas me podran ayudar con lo del inicio de sesion porq inicio muy lento ya que el virus se alojo en un archivo que permitia el arranque rapido de la pc y creo q el antivirus elimino el archivo y ahora inicia lento pero es solo cuando inicia despues la pc es super veloz.

[msc hotline sat]

No nos has enviado el fichero que te pediamos para analizar.



Te pediamos el SCVHOST.EXE y nos has enviado el SVCHOST.EXE del sistema, y esto que lo avisabamos bien claro ...


[quote="msc"]
Aparte, dicho virus deshabilita el acceso al Task Manager y crea ficheros SCVHOST.EXE conteniendo al malware (ojo, que no es el SVCHOST.EXE del sistema)



Si tienes alguno de estos ficheros, [b][i][u]SCVHOST.EXE o SSCVIHOST.EXE[/u][/i][/b], envianoslo para analizar y controlarlo con nuestras utilidades
[/quote]

Observa que el normal empieza por SVC y el malicioso es SCV...



Vuelve a enviarnoslo, pero fijate bien y envianos el SCVHOST.EXE !



saludos



ms, 22-7-2009

[scvhost]

msc el fichero que me solicitas SCVHOST.EXE lo borro el antivirus nod 32 de eset que puedo hacer cada vez que inicio sesion me tardo alrededor de un minuto y es porq el virus se alojo en una parte del sistema que se encargaba del inicio rapido pero como el antivirus lo borro no se que hacer... ya yo habilite el task manager por el registro pero quizas pude haber movido algo no estoy seguro... hoy voy a vajar el sp2 y el sp3 para los errores del system. espero respuestas gracias.

[lucl]

Has buscado activando mostrar ficheros ocultos?



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Buscalo otra vez y envialo. Asegurate de si esta o no ya que dices que crees que el nod32 te lo limpio. En cuanto actualizes al sp3 te mejorara bastante el rendimiento incluso el inicio. Saludos

[scvhost]

ya instale los sp 2 y 3 y todavia sigo con el problema de inicio de sesion ya que tardo mucho. pero ahora hay un nuevo problema ayer meti en la pc u pendrive infectado y la infecto con dos virus inborrables los virus se llaman WIn32 trojan agent y win32trojan peed solo los detecta el ad-aware(actualizado version aniversario) y los elimina entonces el prgrama me dice q se han eliminado 2 virus dañinos y que se debe reiniciar el sistema para borrarlos por completo . reinicio y y 5 minutos despues de haber iniciado sesion el ad-aware dice que hay un proceso dañino ejecutandose y que ha iniciado un analisis inteligente del sistema y adivina que encuentra los dos virus que ya habia eliminado y los vuelvo a eliminar reinicio y vuelven a aparecer dime como hago para eliminarlos tengo que entrar en modo seguro?



Estos son los prgramas de antivirus que tengo instalado:

Nod-32 de eset (actualizado)

Ad-aware (actualizado version aniversario 2009 solo para usuarios)

SUPERAntispyware (actualizado)

CCleaner (actualizado)



Y aparte tengo un programa que un amigo me recomendo bajar para los problemas con el registro se llama Speed Up My pc 2009 (actualizado) escaneo el registro encontro unos problemas y los arreglo sin embargo aun persiste el problema de cuando inicio sesion tardo un minuto y medio en poder entrar dime que puedo hacer con estos dos problemas espero su pronta respuesta gracias.

[msc hotline sat]

Pues es una pena lo que dices de:



[b][i]"el fichero que me solicitas SCVHOST.EXE lo borro el antivirus nod 32 de eset"[/i][/b]



Sin la muestra no podemos ver las claves que modificaba y restaurarlas...



Debía haberlo hecho el NOD32 si conocia el malware que eliminó, pero por lo visto no ha sido asi, o por si es por otra causa, vacie papelera, elimine temporales de windows y del internet explorer, desfragmente el disco duro, reduzca las aplicaciones que carga en el inicio (quite las superfluas), etc



Por ejemplo podría dejar de lanzar en el inicio estas aplicaciones:



Aunque no sean maliciosas pueden ralentizar o colisionar con otras. Prueba dejar de cargar en el inicio estas por ejemplo:



PrnPack.exe



SUPERAntiSpyware.exe



RegistryBooster.exe



SearchProtocolHost.exe



e incluso el Chrome si usas I.E.



luego, en función del resultado, vuelve a poner las que no molesten.





Y los link al SP2 y SP3 los tiene desde el Internet Explorer, vaya a Herramientas -> Windowsupdate -> Actualizacion RAPIDA e instale los que encuentre a faltar.



saludos



ms, 23-7-2009

[scvhost]

Muchachos ya baje el sp 2 y 3 y aun sigo con el problema de inicio de sesion pero ahora se complico todo meti un pendrive en mi pc y se metieron dos virus que son irremovibles se llaman Win32 Trojan Agent y Win32 Trojan Peed el ad-aware (version aniversario actualizado) los clasifica como malware y los elimina entonces me manda a reiniciar y 5 minutos despues de que inicio sesion el ad-aware me dice que hay un proceso dañino ejecutandose y que inicio un analizis inteligente y adivina q encuentra son los virus estos que ya habia eliminado pero que aparecen por arte de magia. Entro en modo seguro y escaneo el equipo y no encuentra nada que puedo hacer para eliminarlos y que puedo hacer con lo del inicio de sesion espero respuesta gracias.



Programas con los cuales escaneo:

Ad-aware (edicion aniversario 2009 actualizado solo para usuarios)

Nod-32 de eset (actualizado)

SUPERAntispyware (actualizado)

CCleaner (actualizado)



Y un amigo me recomendo bajar el Speedupmypc 2009 para arreglar los errores del registro lo pase y me arreglo algunos errores pero aun esta el del inicio de sesion que debo hacer ayudenme porfavor espero respuesta.

[lucl]

Utiliza el elipen de nuevo para vacunar tu pc. Aparte mete el pendrive en el pc pero pulsando a la vez, Ctrl y shift. Y acto seguido ejecuta elistara. Te pedira muestras si no controla ya los virus y debes enviarnoslas. Una recomendacion, si estas en este foro sigue las instrucciones de este foro. No nos hacemos responsables del uso de herramientas que no solemos utilizar ni aconsejar. Cuando pases elipen y elistara de nuevo nos pegas el infosat completo. Descargate la ultima version del elistara que se actualiza todos los dias y nos comentas resultados saludos

[scvhost]

Ok lucl gracias estoy utilizando el elistara en este momento al terminar edito este mensaje para postear la info, el pendrive lo regale para no tener otra vez ese problema pero me voy a comprar otro y lo voy a vacunar aqui esta el infosat:





(21-7-2009 18:44:12)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



Unidad D:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



(21-7-2009 22:30:01)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



estamos en cotacto...

[msc hotline sat]

A ver, primero dijiste:


[quote](21-7-2009 18:44:12)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



Unidad D:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida[/quote]



y luego que [b][i]"meti un pendrive en mi pc y se metieron dos virus que son irremovibles se llaman Win32 Trojan Agent y Win32 Trojan Peed "[/i][/b]





Eso no cuela-. Si el PC estaba vacunado con el ELIPEN no se pudo infectar luego por mas que le conectaras un pendrive infectado, a no ser que ejecutases voluntariamente los ficheros malware, pero no automaticamente pr insertarlo.



Pero en fin, ya para ultimar el Tema, descarga el ELISTARA y el ELITRIIP y tras probarlos nos posteas el nuevo contenido de c:\infosat.txt



saludos



ms, 24-7-2009

[scvhost]

Que queres que haga hermano si se me infecto con estos virus en realidad o no fui quien metio el pendrive si hubiera sido yo le paso el antivirus para ver que tenia me puedes decir como quitar esos virus ladillas.





(28-7-2009 18:44:12)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



Unidad D:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida

[msc hotline sat]

Pues procede con lo que indicabamos al final de mi anterior post:



[b][i]

Pero en fin, ya para ultimar el Tema, descarga el ELISTARA y el ELITRIIP y tras probarlos nos posteas el nuevo contenido de c:\infosat.txt[/i][/b]



saludos



ms, 29-7-2009

ref VE/CLM+10.60-67





NOTA:


[quote="msc"]Descargas:

[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]