ayuda urgenteeee (SOLUCIONADO)

[morenorafa1]

Hola hace menos de una semana me baje un juego de emule.

mi antivirus era el nod32. y no me detecto nada raro. bueno instale el juego con su respectivo crak.
al iniciar el juego me salio un error grave, ( ventana azul y letras en blanco) de repente se apago. al iniciar de nuevo me encuentro que ya no me funciona el antivirus. bueno me lo instalo de nuevo y no me deja porque existe una version anterior.
pero mi problema es que sea con el programa que sea y haciendo todo lo posible NO PUEDO eliminar nada de lo relacionado con el nod32. ni tuneup para eliminar registros, ni nada. bueno me instalo el panda 2010. y me dice que todo esta bien en mi pc. pero aun desconfio ya que el panda no funciona correptamente. lo abro y el solito sin ninguna explicacion se cierra.

bueno la solucion mas facil que me dareis es que formatee, y perro muerto se acabo la rabia verdad? pues ahora viene lo dificil.
no puedo formatear ya que mi diquetera se jodio y no me leera el disco de wxp.

ayudadme por favor ya no se que hacer. y no se si tengo virus, troyanos.... etc. y como puedo borrar todo lo relacionado con el nod32.

GRACIAS DE ANTEMANO.

[msc hotline sat]

El formateo es un último recurso que no es lo que normalmente aconsejamos, seguramente no es asiduo a este foro...

Y bajar programas con el emule es la manera mas facil de introducir troyanos en el PC !
Y lo que luego dice de "instale el juego con su recpectivo crak" , esto ya es practicas de pirateo que rechazamos de plano !!!
De todas formas vamos a tratar de ayudarle:
Descargue el ELISTARA y posteenos el informe resultante, con un copiar y pegar de su contenido:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y si no detecta nada ni pide muestras para analizar, descarga el SPROCES y tras probarlo, posteanos el informe resultante:

SPROCES.EXE (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT

lo analizaremos e informaremos al respecto.

saludos

ms, 10-4-2010
RESVIG

[morenorafa1]

hola buenas de nuevo.



el alistara me detecto algo. "no se que era" me decia algo de borrar unos registros. LO HISE.



EL SPROCES me ha salido 2 cuadrados uno al lado de otro en el que me sale mas a la izquierda me pone 533 modulos todos ellos o la mayoria acabAdos en DLL. ejemplo( ES.DLL) otros son exe, luego en el recuadro de la derecha me salen los procesos. todos son acabado en exe ecepto algunos que son exe y continua con 1,2 o 3 asteriscos ejemplo de uno de ellos iexplore.exe.

NO se si os tengo que dar alguna imformacion mas pero de todas maneras muchisimas gracias por la ayuda.

[morenorafa1]

del elistarpage me sale limpiar fichero host y me sale una ventana en el escritorio diciendo que una aplicacion esta solicitando asceso a un elemento protegido. y me pide una contraseña. este cuadro me sale cada vez que enciendo el pc.

la aplicacion que pide permiso viene en chino. se llama 敲潮. que es esto??

[morenorafa1]

otra cosita mas. antes tenia el mozilla firefox. pero a partir de este problema me daba muchos fallos. y al iniciar el pc me salia una ventana diciendo que firefox a encontrado un problema grave.



si nesecitais mas informacion o algo pedidmela y decidmo como que soy un poco novato en el pc. nivel usuario.



gracias

[lucl]

Veamos tan solo haz esto, ve a Inicio -------Mi pc---------C y alli dentro busca dos logs uno llamado INFOSAT.TXT y otro llamado SPROCLOG.TXT. Los abres, seleccionas todo el contenido y mediante copiar pegar nos los pones los dos aqui como respuesta al tema y te los analizaremos y te diremos algo saludos.

[morenorafa1]

estos dos archivos no los encuentro ya que en archivos de programa hay un monton de carpetas.



de todas formas e buscado con el buscador los dos archivos y tampoco los encontro. supongo que estos dos archivos seran de los informes de los dos programas. para comprobarlo mejor los ejecutare de nuevo los dos.

[morenorafa1]

bueno el problema de que no tuviera los informes era de que al descargar los dos programas no los guarde solo los ejecute.

bueno ya tengo los dos informes vale.

P.D el elistar me detecto dos virus y supongo que ya no estan porque marque la casilla de eliminar automaticamente. es eso cierto??

[msc hotline sat]

En el infosat no vemos nada significativo, y el SPROCES lo vamos a analizar a continuacion. Por cierto que se pide siempre que se postee con un copiar y pegar, solo si tuviera un tamaño excesibo cabría anexarlo.... Es este caso es:

(10-4-2010 22:12:58 GMT)
SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

Código: Seleccionar todo

-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3
Parche MS08-067 (Servicio Servidor) Instalado.
Internet Explorer: (v8.0.6001.18702) 0
Nombre Equipo:  PC-SMEAGOL-KILL
Nombre Usuario: Rafael

Procesos Activos:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\NERO BACKITUP 4\NBSERVICE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSANHOST.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSUNMAIN.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SYSTEM32\IGFXPERS.EXE
C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE
C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DTLITE.EXE
C:\DOCUMENTS AND SETTINGS\RAFAEL\DATOS DE PROGRAMA\HIDIRES\FLEC003.EXE
C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\ARCHIVOS DE PROGRAMA\REALTEK USB WIRELESS LAN DRIVER AND UTILITY\RTWLAN.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQBAM08.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQGPC01.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\SMART WEB PRINTING\HPSWP_CLIPBOOK.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUMENTS AND SETTINGS\RAFAEL\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - (no file)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [flec003.exe] C:\Documents and Settings\Rafael\Datos de programa\hidires\flec003.exe
O4 - HKCU\..\Run: [explorer32.exe] C:\WINDOWS\instal\win.32.exe
O4 - HKCU\..\Run: [PC SpeedScan Pro] C:\Archivos de programa\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe -m
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [windows32.exe] C:\WINDOWS\instal\win.32.exe
O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\instal\win.32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\instal\win.32.exe
O4 - Global Startup: BTTray.lnk
O4 - Global Startup: HP Digital Imaging Monitor.lnk
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Archivos de programa\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_803138DCE93649E4.dll/cmsidewiki.html
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/uno1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255118623561
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1255118702311
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.5.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Component Services (ComServices) - Unknown owner - C:\WINDOWS\System32\com\ComServices.exe (file missing)
**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: Realtek EAPPkt Protocol (EAPPkt) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\EAPPkt.sys
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)
O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys
O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys
O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys
**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys
O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys
O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys
O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys
O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys
**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: HUAWEI USB-NDIS miniport (ewusbnet) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbnet.sys
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys
O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys
O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys
O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys
O23 - Service: HUAWEI Mobile Connect - USB Smart Card Reader (Huawei) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ewdcsc.sys (file missing)
O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys
O23 - Service: Huawei DataCard USB Fake (hwusbfake) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbfake.sys
O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys
O23 - Service: Intel(R) High Definition Audio HDMI Service (IntcHdmiAddService) - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\drivers\IntcHdmi.sys
O23 - Service: Logitech SetPoint PS/2 Mouse Filter Driver (L8042mou) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042mou.Sys
O23 - Service: Logitech SetPoint Mouse Filter Driver (LMouKE) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouKE.Sys
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter (RTL8187B) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8187B.sys
O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation                            - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys
O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys
*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys

Listado de Servicios (Deshabilitados):
--------------------------------------
**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys
O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe (file missing)

 46 Servicios.
 14 de Carga Automatica.
 29 de Carga Manual.
  3 Deshabilitados.

Lo analizao y paso a informarte del resultado en el siguiente post.

saludos

ms, 11-4-2010

[msc hotline sat]

Vemos estos ficheros sospechosos, envianoslos para analizar:

C:\DOCUMENTS AND SETTINGS\RAFAEL\DATOS DE PROGRAMA\HIDIRES\FLEC003.EXE

C:\WINDOWS\instal\win.32.exe

ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos


y aparte prueba el ELIBAGLA, ya que tienes sintomas de tener un Bagle:

ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso

saludos

ms, 11-4-2010

[morenorafa1]

bueno este es el informe de elibagla.exe. (10-4-2010 22:04:18 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-4-2010 22:10:31 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 8594

Nº Total de Ficheros: 86632

Nº de Ficheros Analizados: 24360

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(10-4-2010 22:25:41 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-4-2010 22:26:20 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8594

Nº Total de Ficheros: 86629

Nº de Ficheros Analizados: 24359

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-4-2010 06:23:27 (GMT))

EliBagle v13.77 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\RAFAEL\DATOS DE PROGRAMA\HIDIRES\FLEC003.EXE --> Eliminado Bagle.dldr

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.77

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\RAFAEL\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\DOCUMENTS AND SETTINGS\RAFAEL\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\RAFAEL\DATOS DE PROGRAMA\DRIVERS\DOWNLD\176281.EXE --> Eliminado Bagle.dldr

Entrada Eliminada [HKCU\...\Run] "flec003.exe"="C:\Documents and Settings\Rafael\Datos de programa\hidires\flec003.exe"



(11-4-2010 06:28:07 (GMT))

EliBagle v13.77 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8627

Nº Total de Ficheros: 87592

Nº de Ficheros Analizados: 15589

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







ahora me leere el tutorial de: Imagen¿Como enviar las muestras a zonavirus? - Para ello recordar:

viewtopic.php?f=5&t=14253 para mandaros el archivo.



P.D: de mayor quiero ser como tu tio. eres todo un crak. muchas gracias por todo ehm.

saludos

[morenorafa1]

vale ya mas o menos entiendo como es. pero una cosa en el campo contraseña la palabra virus no me deja insertarla ya que me dice que tiene que tener como minimo 8 letras. ( EL WIN ZIP ME LO BAJE DE EL PORTAL ZONA VIRUS HACE UN MOMENTO YA QUE NO LO TENIA EN MI EQUIPO)



Las 2 carpetas estan vacias. "para mas informacion"

[msc hotline sat]

Depende de la version que se usa, pide 8 letras, pues usa infected, que es la otra que usamos como alternativa.



saludos



ms, 11-4-2010

[morenorafa1]

perdon ya acabe el tutoria y yo mismo resolvi mi duda estupida de la contraseña. infected. jejeje



ahora mismo envio los dos ficheros vale.

[msc hotline sat]

Y si las dos carpetas están vacias, quiere decir que las utilidades que has pasado ya han detectado y eliminado dichos malwares.



Reinicia y dinos si persiste alguna anomalia o podemos dar el Tema por solucionado.



saludos



ms, 11-4-2010







NOTA: El Bagle acostumbra a corromper los antivirus, y deja KO algunas aplicaciones, indicando NO ES UN SISTEMA VALIDO WIN32 cuando se ejecutan, y en tal caso deben reinstalarse, tenlo presente. ms.

[msc hotline sat]

Pues a qué carpetas te referías con esto de que estaban vacías .. ???



[b][i]"Las 2 carpetas estan vacias. "para mas informacion""[/i][/b]



ms.

[morenorafa1]

bueno despues de intentar mandar los archivo el pc me ha dado eror grave "ventana zaul con letra blancas" y se me a apagado.

el antivurus panda cloud me dice que esta todo correpto, pero a la vez me dice que hay dos troyanos. y no los elimina.



luego tambien el antivirus no se me inicia correptamente. le doy a iniciar y nada. sin respuesta.



que antivirus me recomienda? borro directamente las 2 carpetas sospechosas??

[morenorafa1]

bueno despues de intentar mandar los archivo el pc me ha dado eror grave "ventana azul con letra blancas" y se me a apagado.

el antivurus panda cloud me dice que esta todo correpto, pero a la vez me dice que hay dos troyanos. y no los elimina.



luego tambien el antivirus no se me inicia correptamente. le doy a iniciar y nada. sin respuesta.



que antivirus me recomienda? borro directamente las 2 carpetas sospechosas??

[morenorafa1]

.

[morenorafa1]

bueno ahora mismo reinicie, ejecute el elistara, el sproces y el elibagla. ya no se si tengo virus o no. tanta informacion y procecos me ha llenado la cabeza. espero no haberme saltado ningun paso. por eso te envio de nuevo los informes de los 3 programas.



(11-4-2010 07:37:52 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PC-SMEAGOL-KILL

Nombre Usuario: Rafael



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\NERO BACKITUP 4\NBSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSANHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA CLOUD ANTIVIRUS\PSUNMAIN.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DTLITE.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\REALTEK USB WIRELESS LAN DRIVER AND UTILITY\RTWLAN.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQBAM08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQGPC01.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\RAFAEL\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [explorer32.exe] C:\WINDOWS\instal\win.32.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [windows32.exe] C:\WINDOWS\instal\win.32.exe

O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\instal\win.32.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\instal\win.32.exe

O4 - Global Startup: BTTray.lnk

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Archivos de programa\IncrediMail\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm

O8 - Extra context menu item: Translate with Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/uno1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255118623561

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1255118702311

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.4.5.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Component Services (ComServices) - Unknown owner - C:\WINDOWS\System32\com\ComServices.exe (file missing)

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Realtek EAPPkt Protocol (EAPPkt) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\EAPPkt.sys

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: PSINAflt - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINAflt.sys

O23 - Service: PSINFile - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINFile.sys

O23 - Service: PSINProc - Panda Security, S.L. - C:\WINDOWS\SYSTEM32\DRIVERS\PSINProc.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Controlador de comunicaciones virtual Bluetooth (BTDriver) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btport.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: Servidor de acceso a LAN Bluetooth (BTWDNDIS) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwdndis.sys

O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: HUAWEI USB-NDIS miniport (ewusbnet) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbnet.sys

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HUAWEI Mobile Connect - USB Smart Card Reader (Huawei) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ewdcsc.sys (file missing)

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: Huawei DataCard USB Fake (hwusbfake) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbfake.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Intel(R) High Definition Audio HDMI Service (IntcHdmiAddService) - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\drivers\IntcHdmi.sys

O23 - Service: Logitech SetPoint PS/2 Mouse Filter Driver (L8042mou) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042mou.Sys

O23 - Service: Logitech SetPoint Mouse Filter Driver (LMouKE) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouKE.Sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter (RTL8187B) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8187B.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: InCD File System (InCDFs) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\InCDFs.sys (file missing)

O23 - Service: NMIndexingService - Unknown owner - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe (file missing)



48 Servicios.

15 de Carga Automatica.

30 de Carga Manual.

3 Deshabilitados.



(11-4-2010 07:31:32 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-4-2010 07:37:23 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8677

Nº Total de Ficheros: 86679

Nº de Ficheros Analizados: 23966

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-4-2010 07:38:14 (GMT))

EliBagle v13.77 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"

Eliminada Carpeta "%AppData%\Hidires"

Eliminada Carpeta "%AppData%\M"



(11-4-2010 07:39:06 (GMT))

EliBagle v13.77 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8892

Nº Total de Ficheros: 102088

Nº de Ficheros Analizados: 15644

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues en cualquier caso, elimina estas claves:



O4 - HKCU\..\Run: [explorer32.exe] C:\WINDOWS\instal\win.32.exe



O4 - HKLM\..\Run: [windows32.exe] C:\WINDOWS\instal\win.32.exe



O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\instal\win.32.exe



O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\instal\win.32.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Y si nos has enviado muestras, mañana las recibiremos y analizaremos, tras lo cual informaremos



Si no lo has hecho por no encontrarlas, y no persiste ninguna anomalia tras reiniciar, indicanoslo y daremos el Tema por solucionado



saludos



ms, 11-4-2010

[morenorafa1]

que es lanzar el HJT. se arancar en modo seguro pero no entiendo eso del HJT????



bueno de momento ya no encuentro nada relacionado con el antiguo antivirus el nod32. ya no me sale ninguna ventana pidiendo permisos para acceder a una aplicacion. ya no me da errores el mozilla. (instalado nuevamente) el antivirus panda parece que ya tambien me funciona bien. ( por cierto es el original).



ya creo que solo sera borrar las claves aunque ya lo intente "sin modo seguro" no me deja borrarlas. sera porque noo hay nada en ellas. de momento no envie muestra ya que las dos carpetas ya no existen. las dos carpetas que te comentaba antes las que estaban vacias, que encontraste el gusano. ya solo me queda por decir que si el problema persiste no dudare en ponerme en contacto contigo ya que sois MUY buenos "hakers, informaticos, profecionales" como querais llamarlo. y por ultimo que me recomendeis un antivirus nuevo ya que me lo comprare original. ya no confio en los "piratas". por cierto emule definitivamente borrado de mi pc. saludos y gracias por todo :D :D :D :D :D

[msc hotline sat]

Pues si tiene el Panda original : [b][i]"el antivirus panda parece que ya tambien me funciona bien. ( por cierto es el original)."[/i][/b] , puede seguir con él, como siempre decimos, lo mas importante es tener uno residente y actualizado, el que mas le agrade, al menos que cuando e infecte sea con uno a su gusto :)



https://foros.zonavirus.com/viewtopic.php?f=8&t=28758



Y lo del HJT es el [b]H[/b]i[b]J[/b]ack[b]T[/b]his, que permite eliminar claves, si bien puede hacerlo alternativamente con el BUSCAREG, entrando a buscar la cadena win.32.exe (no se olvide de los puntos)



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



Y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos





saludos



ms, 11-4-2010