Ventana sospechosa al inicio windows xp (SOLUCIONADO)

[Rabanillo]

Hola amigos,

desde hace algun tiempo me sale un ventana cuando se carga windows con el boton aceptar, pulsando aceptar o espacio el sistema funciona con normalidad. He pasado el antivirus en forma segura asi como ccleaner y antimalware y no logro quitar la dichosa ventana. Os adjunto foto.

Por favor si alguien puede ayudarme a quitarla os lo agradeceria.

Saludos,

Rabanillo

[msc hotline sat]

Algo mal desinstalado o mal instalado... ??? pero no necesariamente virico.



Prueba el ELISTARA por si acaso


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si no detectara nada ni pidiera ninguna muestra para analizar, posteanos el informe que genera el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 11-4-2010

[Rabanillo]

[quote="msc hotline sat"]Algo mal desinstalado o mal instalado... ??? pero no necesariamente virico.



Prueba el ELISTARA por si acaso


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si no detectara nada ni pidiera ninguna muestra para analizar, posteanos el informe que genera el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 11-4-2010[/quote]

Estimado amigo, he descargado elistara y aqui tienes el report:

[msc hotline sat]

Los informes deben postearse con un copiar y pegar de su contenido ...


[quote](11-4-2010 18:27:47 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 010402.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 100sexlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.100sexlinks.com

...

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE[/quote]

pero falta el analisis por exploracion, hazlo y repite el posteo del informe, esta vez con un copiar y pegar, gracias



saludos



ms, 11-4-2010

[Rabanillo]

Lo siento aqui lo adjunto:

(11-4-2010 18:27:47 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 010402.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 032439.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 0scan.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 1000gratisproben.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 1001namen.com

Linea Eliminada del HOSTS --> 127.0.0.1 100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.100888290cs.com

Linea Eliminada del HOSTS --> 127.0.0.1 100sexlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.100sexlinks.com

...

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-4-2010 19:02:16 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-4-2010 19:12:33 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13517

Nº Total de Ficheros: 166521

Nº de Ficheros Analizados: 56173

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-4-2010 19:13:38 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 1658

Nº Total de Ficheros: 46164

Nº de Ficheros Analizados: 1992

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Visto, y posteanos, como ya te pedíamos, el log generado por el SPROCES, para analizarlo y poder ver la posible causa que lanza la dichosa ventana, y proceder en consecuencia.



saludos



ms, 12-4-2010

[Rabanillo]

[quote="msc hotline sat"]Visto, y posteanos, como ya te pedíamos, el log generado por el SPROCES, para analizarlo y poder ver la posible causa que lanza la dichosa ventana, y proceder en consecuencia.



saludos



ms, 12-4-2010[/quote]

Adjunto lo pedido:



(12-4-2010 19:17:23 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: JAVIER

Nombre Usuario: El Villa



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT LIFECAM\MSCAMS32.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

D:\ARCHIVOS DE PROGRAMA\MACRIUM\REFLECT\REFLECTSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

D:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\ARCHIVOS DE PROGRAMA\TOMTOM HOME 2\TOMTOMHOMESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESSERVICE32.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVMAILC.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVWEBGRD.EXE

C:\ARCHIVOS DE PROGRAMA\TUNEUP UTILITIES 2010\TUNEUPUTILITIESAPP32.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\PIXART\PAC7311\MONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVGNT.EXE

C:\ARCHIVOS DE PROGRAMA\COMODO\COMODO INTERNET SECURITY\CFP.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\OUTLOOK.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\OFFICE LIVE\OFFICELIVESIGNIN.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\DESCARGA DE PROGRAMAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 75.127.69.91 http://www.forospyware.com

O1 - Hosts: 75.127.69.91 forospyware.com

O1 - Hosts: 75.127.86.187 http://www.infospyware.com

O1 - Hosts: 75.127.86.187 infospyware.com

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Archivos de programa\COMODO\COMODO Internet Security\cfp.exe" -h

O8 - Extra context menu item: Add to AMV Converter... - D:\Archivos de programa\MP3 Player Utilities 4.05\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - D:\Archivos de programa\MP3 Player Utilities 4.05\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~1\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSDA.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSDA.DLL

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\AVIRA\ANTIVIR DESKTOP\AVSDA.DLL

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Archivos de programa\COMODO\COMODO Internet Security\cmdagent.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - D:\Archivos de programa\Macrium\Reflect\ReflectService.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: tifsfilter - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\tifsfilt.sys

O23 - Service: TomTomHOMEService - TomTom - D:\Archivos de programa\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller (AtcL001) - Atheros Communications Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\l151x86.sys

O23 - Service: cpuz132 - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\system32\drivers\cpuz132_x32.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Macrium Reflect Image Explorer Service (PSMounter) - Macrium Software - C:\WINDOWS\system32\drivers\psmounter.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Sony Digital Imaging Video2 (sonypvs1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sonypvs1.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



34 Servicios.

16 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Puede eliminar estas claves:





O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)





O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab









>[b]ENVIO DE MUESTRAS Y ELIMINACION DE



CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y nos comenta el resultado, gracias





saludos



ms, 12-4-2010

[Rabanillo]

Estimado amigo,



al pasar el HJT no aparece el item 016-DPF......si he borrado el 02-BHO y continua apareciendo la ventana incluso en modo seguro. te adjunto informe de HJT por si puedes encontrar una solución:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 18:56:35, on 13/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\TrendMicro\HiJackThis\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 75.127.69.91 www.forospyware.com

O1 - Hosts: 75.127.69.91 forospyware.com

O1 - Hosts: 75.127.86.187 www.infospyware.com

O1 - Hosts: 75.127.86.187 infospyware.com

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Archivos de programa\COMODO\COMODO Internet Security\cfp.exe" -h

O8 - Extra context menu item: Add to AMV Converter... - D:\Archivos de programa\MP3 Player Utilities 4.05\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - D:\Archivos de programa\MP3 Player Utilities 4.05\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~1\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: AcrSch2Svc - Unknown owner - (no file)

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Archivos de programa\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - D:\Archivos de programa\Macrium\Reflect\ReflectService.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TomTomHOMEService - TomTom - D:\Archivos de programa\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 8656 bytes



Saludos,

[msc hotline sat]

Pues con el HJT como que sí que se ve esta, eliminala:



O23 - Service: AcrSch2Svc - Unknown owner - (no file)



y la otra que no ves, al ser el HJT mas limitado, eliminala con el BUSCAREG:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]



Para ello entra a buscar CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA y cuando la encuentre, eliminala.



saludos



ms, 13-4-2010

[Rabanillo]

La pesadilla continua, he borrado todas las lineas descritas y la pantalla sigue apareciendo.

[msc hotline sat]

Pues alguna aplicacion que tienes instalada está corrupta y la presenta, pero no creemos que sea nada vírico.



Puedes probar de reinstalar una a una las aplicaciones que se lanzan en el inicio, y cuando veas que ya no te pasa, la ultima que has reinstalado es la que te lo causaba.



Por supuesto que si notas que alguna no te va normalmente, empieza por ella.



Las cuatro que vemos en el log son:



[NvCplDaemon] -> NvCpl.dll

[PixArt] -> Monitor.exe

[Avira] -> avgnt.exe

[Cortafuegos COMODO] -> cfp.exe.



Informanos del resultado, gracias



saludos



ms, 14-4-2010

[Rabanillo]

[b]PROBLEMA SOLUCIONADO[/b]. Gracias por el tiempo y la ayuda pero el problema era otro. Describo la solución para los que puedan tener el mismo problema:



Abrir el panel de control

Ir a Herramientas administrativas

Abrir Directiva de seguridad local/Configuracion del equipo/Configuracion windows

Doble clic en directivas Locales

Haga clic en Opciones de seguridad

Buscar: Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión ... está vacío

debajo hay otra linea que pone: título del mensaje para los usuarios que intentan conectarse también está vacío.

:D

Saludos,

Rabanillo

[msc hotline sat]

Pues como ya decíamos no era nada vírico !



Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 15-4-2010