PROBLEMAS AL INICIO

exitista · Mensaje por **exitista** » 13 Oct 2009, 05:40

HOLA Q TAL... TENGO VARIOS PROBLEMAS... FORMATIE LA PC ESTA COMO NUEVA... FORMATIE PRO MUCHISIMOS PROBLEMAS DE MALWARES EN MI PC.... AHORA DECIDI CAMBIAR DE ANTIVIRUS Y PUSE UN ANTIMALWARE... (TENGO EL NOD32 Y EL MALWAREBYTE)

pero vayamos al grano del asunto... inicio la pc... y el nod detecta virus (siempre los mismos) y corro el antimalware apra examine la pc... y siempre tiene archivos y/o carpetas infectadas... Y ME OBLIGA A REINICIAR LA PC PARA Q SE BORREN CORRECTAMENTE... PERO TODO ES UNA RUEDA Q GIRA... REINICIO Y TODO SIGUE IGUAL ME OBLIGA A REINICIAR CUANDO EXCAMINO LA PC Y TODO ES IGUAL

REALMENTE ESTOY PODRIDO DE WINDOWS... DIGANME ALGUN ANTIVIRUS BUENO Y UN ANTI-MALWARE BUENO... Y UN ANTI-SPYWARE

TOY CANSADO....

ACA LES PEGO MI LOG:

(13-10-2009 03:36:42 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: RED

Nombre Usuario: Administrador

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE

C:\WINDOWS\SYSTEM32\VTTIMER.EXE

C:\WINDOWS\SYSTEM32\VTTRAYP.EXE

C:\ARCHIVOS DE PROGRAMA\VIAUDIOI\SBADECK\ADECK.EXE

D:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMGUI.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE

D:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMSERVICE.EXE

D:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 52\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AlcoholAutomount] "d:\Archivos de programa\Alcohol Soft\Alcohol 52\axcmd.exe" /automount

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "d:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: MBAMService - Malwarebytes Corporation - d:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Eset Nod32 Boot (NOD32FiXTemDono) - Unknown owner - C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - d:\Archivos de programa\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ddsxeiservice2 (ddsxeiservice) - Unknown owner - D:\Archivos de programa\sXe Injected\ddsxei.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: VIA Rhine-Family Fast-Ethernet Adapter Driver Service (FET5X86V) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

O23 - Service: Vinyl AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\vinyl97.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

19 Servicios.

7 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.

GRACIAS

exitista · Mensaje por **exitista** » 13 Oct 2009, 05:42

ah otro problemita q me ocurre... me olvide de contarles... paso tiempo con la pc y cada la conexion de internet es mas lenta y hasta veces es nula... seguramente son troyanos q me deniegan el acceso a itnernet y me kitan conexion no?

tengo q reiniciarla para tener itnernet nuevamente

gracias

exitista · Mensaje por **exitista** » 13 Oct 2009, 05:46

disculpen nuevamente... para tener la pc protegida al 100% q hay q tener??? antimalware, antivirus, antiespias y firewall?? recomiendenme algunos

gracais y perdon las molestias

Mensaje por **msc hotline sat** » 13 Oct 2009, 06:33

Pues de entrada vemos que le faltan parches !!!

Parche MS08-067 (Servicio Servidor) no instalado.

Lance un windowsupdate e instale los que encuentre a faltar

y tras ello pruebe el ELISTARA, ya que en el registro hay muchas mas claves que no vemos en los log, a ver si encontramos lo que buscamos...

[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Y sobre lo que pregunta, efectivamente, todo esto y mucho sentido comun... Sin parches le pueden entrar los gusanos a pesar de los antivirus y antispywares !

saludos

ms, 13-10-2009

Mensaje por **msc hotline sat** » 13 Oct 2009, 11:42

Pues como que de su anterior https://foros.zonavirus.com/viewtopic.php?f=13&t=29800&start=15 que se cerró por indicar que había ya formateado, le pediamos unos ficheros y nos los envió, al menos los hemos podido analizar Y DETERMINAR QUE ERAN TROYANOS, los cuales pasamos a controlar y eliminar con la version de hoy del ELISTARA 19.44

Aunque ya no tenga estos problemas, por si se hubieran quedado dichos ficheros en pendrives, u otras particiones del disco duro, tras lo indicado anteriormente, aconsejamos lo pruebe a partir de las 19 h de hoy:

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 13-10-2009

NOTA: Los ficheros enviados NTUSER y CALC son opatch-ki y el SVCHOST es un malware HOST. Por supuesto que no tiene nada que ver con los del sistema del mismo nombre... :| ms.

exitista · Mensaje por **exitista** » 19 Oct 2009, 14:42

(14-10-2009 3:35:09 (GMT))

EliStartPage v19.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "MICROSOFT UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\dchlp.exe

a "virus@satinfo.es". Gracias.

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(14-10-2009 3:38:45 (GMT))

EliStartPage v19.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "MICROSOFT UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\dchlp.exe

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(17-10-2009 18:29:53 (GMT))

EliStartPage v19.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(17-10-2009 18:30:16 (GMT))

EliStartPage v19.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 1784

Nº Total de Ficheros: 14557

Nº de Ficheros Analizados: 3274

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

(19-10-2009 12:36:23 (GMT))

EliStartPage v19.47 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(19-10-2009 12:36:36 (GMT))

EliStartPage v19.47 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 2411

Nº Total de Ficheros: 22923

Nº de Ficheros Analizados: 6843

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mensaje por **msc hotline sat** » 19 Oct 2009, 14:49

Pues si todavía no nos ha enviado esta muestra que pide el informe:

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\dchlp.exe

envienosla para analizar:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 19-10-2009

exitista · Mensaje por **exitista** » 20 Oct 2009, 00:56

hola q tal... buske el fichero con el elimover y no lo encuentra.... ni poniendo el .vir

q tengo q hacer para q lo encuentre??

ir a modo seguro?

gracais

Mensaje por **msc hotline sat** » 20 Oct 2009, 07:17

Si pruebe de probar con el ELIMOVER pero arrancando en MODO SEGURO, por si se trata de un RootKit...

y nos informa del resultado, gracias

saludos

ms, 20-10-2009

PROBLEMAS AL INICIO

PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO

Re: PROBLEMAS AL INICIO