Problemas con internet (log de sproces) (TERMINADO)

[Apikalegusta]

buenas gente, soy nuevo y estuve con unos problemas hace una semana en la maquina.

Resulta que se me corto la luz por un día entero (acá en capital federal cuando llueve se te puede cortar la luz mucho tiempo) pero ya 1 día antes venia con problemas de la internet, que andaba muuuy lento, las paginas me cargaban para el orto (lo que me costo bajar el sproces no se dan una idea) y no me dejaba conectar al msn (me tiraba 4 errores cíclicos, arreglaba uno y saltaba el otro devuelta). Cuestión que le termine pasándole el antivirus (AVG internet security full, con licencia y sin crack) me encontró 6 troyanos, 4 los mando a la bóveda de virus y los otros 2 los termine eliminando a mano.

Al día siguiente me anduvo todo casi joya, después el msn se arreglo solo (?) y ahora toy bien con la internet y toda la cháchara, pero el tune up no me anda, cuando quiero tocar el botón del modo turbo no se activa y me dice que lo reinstale (cosa que antes no pasaba).

Bueno, teniendo en cuenta todas estas cuestiones les dejo un resultado recién hecho del sproces, cualquiera cosa que tenga que cambiar, por mas que no tenga que ver con los problemas que tuve, me dicen por favor.


[list]

(8-3-2010 23:55:43 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: DESKTOP

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGRSX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\SYGATE\SPF\SMC.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGAM.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGNSX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\AVG\AVG9\AVGTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\TASKSWITCHXP\TASKSWITCHXP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 58.253.71.248:80 (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 http://www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 http://www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 http://www.00hq.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 010402.com

O1 - Hosts: 127.0.0.1 http://www.032439.com

O1 - Hosts: 127.0.0.1 032439.com

O1 - Hosts: 127.0.0.1 http://www.100888290cs.com

O1 - Hosts: 127.0.0.1 100888290cs.com

O1 - Hosts: 127.0.0.1 http://www.100sexlinks.com

O1 - Hosts: 127.0.0.1 100sexlinks.com

O1 - Hosts: 127.0.0.1 http://www.10sek.com

O1 - Hosts: 127.0.0.1 10sek.com

O1 - Hosts: 127.0.0.1 http://www.123topsearch.com

O1 - Hosts: 127.0.0.1 123topsearch.com

O1 - Hosts: 127.0.0.1 http://www.132.com

...

O2 - BHO: IE7Pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Archivos de programa\IEPro\iepro.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Archivos de programa\IEPro\iepro.dll

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IEPro\iepro.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab

O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.codificado.tv/nsvplayx_vp3_mp3.cab

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EEC050-BD56-47DB-8D25-7C41184EFA8E}: NameServer = 208.67.222.222,208.67.220.220

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: Kodak DCFS2K Driver (DCFS2K) - Eastman Kodak Company - C:\WINDOWS\SYSTEM32\drivers\dcfs2k.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: SyGate for NT, wg3n (wg3n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys

O23 - Service: SyGate for NT, wg4n (wg4n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg4n.sys

O23 - Service: SyGate for NT, wg5n (wg5n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg5n.sys

O23 - Service: SyGate for NT, wg6n (wg6n) - Sygate Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\wg6n.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: DcFpoint - Eastman Kodak Company - C:\WINDOWS\SYSTEM32\DRIVERS\DcFpoint.sys

O23 - Service: Legacy Polling Service (DcLps) - Eastman Kodak Company - C:\WINDOWS\SYSTEM32\DRIVERS\DcLps.sys

O23 - Service: dcptp (DcPTP) - Eastman Kodak Company - C:\WINDOWS\SYSTEM32\DRIVERS\DcPTP.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: dtscsi - Unknown owner - C:\WINDOWS\System32\Drivers\dtscsi.sys

O23 - Service: EagleNT - Unknown owner - C:\WINDOWS\system32\drivers\EagleNT.sys (file missing)

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: nocashio - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\nocashio.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 PCI NIC Family NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SiS315 - Silicon Integrated Systems Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisgrp.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys

O23 - Service: upperdev - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: Nokia CA-42 USB (usb2vcom) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usb2vcom.sys

O23 - Service: UsbserFilt - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: USB Remote NDIS Network Device Driver (USB_RNDIS) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usb8023.sys (file missing)

O23 - Service: vaxscsi - Unknown owner - C:\WINDOWS\System32\Drivers\vaxscsi.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares Ultra\chatServer.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

O23 - Service: vsdatant - Unknown owner - (file missing)



49 Servicios.

10 de Carga Automatica.

27 de Carga Manual.

12 Deshabilitados.

[/list]

a les aviso que tenia el msn abierto y el firefox mientras abri el programa.



suerte y muchas gracias por pasarse a leer :wink:

[msc hotline sat]

Pues puedes eliminar estas claves:



O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab





y vemos muchas superfluas en el HOSTS, pero probablemente tienes algun parental control instalado, como el SPYBOY, y volverian a crearse si las eliminaras:



O1 - Hosts: 127.0.0.1 http://www.007guard.com



O1 - Hosts: 127.0.0.1 007guard.com



O1 - Hosts: 127.0.0.1 008i.com



O1 - Hosts: 127.0.0.1 http://www.008k.com



O1 - Hosts: 127.0.0.1 008k.com



O1 - Hosts: 127.0.0.1 http://www.00hq.com



O1 - Hosts: 127.0.0.1 00hq.com



O1 - Hosts: 127.0.0.1 010402.com



O1 - Hosts: 127.0.0.1 http://www.032439.com



O1 - Hosts: 127.0.0.1 032439.com



O1 - Hosts: 127.0.0.1 http://www.100888290cs.com



O1 - Hosts: 127.0.0.1 100888290cs.com



O1 - Hosts: 127.0.0.1 http://www.100sexlinks.com



O1 - Hosts: 127.0.0.1 100sexlinks.com



O1 - Hosts: 127.0.0.1 http://www.10sek.com



O1 - Hosts: 127.0.0.1 10sek.com



O1 - Hosts: 127.0.0.1 http://www.123topsearch.com



O1 - Hosts: 127.0.0.1 123topsearch.com



O1 - Hosts: 127.0.0.1 http://www.132.com





Si quieres eliminarlas, hazlo pero si se regeneran será por lo antes indicado, y como que solo impiden acceder a dichas webs, si no tienes interés en entrar en ellas... dejalo estar



Y ya no hay nada mas que decir del log, asi que si tras lo indicado y reiniciar, persiste la anomalía, será por restos en el registro y demás de lo que tuviste, lo cual no aparece en dichos logs.



Dinos los troyanos que eliminaste, a ver si disponemos de utilidades que los controlen, por si aun pudieran eliminar claves al respecto...



saludos



ms, 9-3-2010

RARBA

[Apikalegusta]

una pregunta tonta, pero como elimino las claves del registro? con el hijack?

Si te refieres a que tengo instalado el spybot, si es verdad y a esas paginas no entro así que no molestan para nada (que pagina se puede llamar 007guard.com y no parecer un virus XD)

Después de mucho buscar en el AVG encontré el resultado del análisis, porque al parecer los troyanos ya fueron borrados de la bóveda.
[list]

"C:\Documents and Settings\Administrador\Mis documentos\Archivos Rober\Juegos\Juegos cel\juegos 240x320\Змея.jar:\S.class" - "Virus identificado Java/RedBrowser.B" - "Mover a la bóveda de virus"



"C:\Documents and Settings\Administrador\Mis documentos\Archivos Rober\Juegos\Juegos cel\juegos 240x320\Змея.jar" - "Virus identificado Java/RedBrowser.B" - "Mover a la bóveda de virus"



"C:\Documents and Settings\Administrador\Mis documentos\Archivos Rober\Exes\VirtualDJ 3.3 Home Edition 2006 (Full)\virtualdj_trial.exe:\unwise0053.bin" - "Troyano BackDoor.Generic10.FFE" - "Infectado" [b](ya elimine la carpeta)[/b]



"C:\Documents and Settings\Administrador\Mis documentos\Archivos Rober\Exes\VirtualDJ 3.3 Home Edition 2006 (Full)\virtualdj_trial.exe" - "Troyano BackDoor.Generic10.FFE" - "Infectado" [b](ya elimine la carpeta)[/b]



"C:\Documents and Settings\Administrador\Mis documentos\Archivos Javi\installs\m_l_nits.rar:\m_l_nits\keygen.exe" - "Troyano Generic14.BBKH" - "Mover a la bóveda de virus"



"C:\Documents and Settings\Administrador\Mis documentos\Archivos Javi\installs\m_l_nits.rar" - "Troyano Generic14.BBKH" - "Mover a la bóveda de virus"

[/list]

suerte gente y muchas gracias

[msc hotline sat]

Sí, las claves eliminalas con el HJT:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y visto todo lo que detectó el AVG, pudo dejar claves modificadas pendientes de restaurar o incluso el autor del backdoor "Troyano BackDoor.Generic10.FFE" manipularte remotamente el ordenador... prueba estas cuatro utilidades, a ver si restablecen a su estado correcto alguna clave que pueda estar molestando:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



[b] ELIPALEVO: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp


[/quote]

y tras reiniciar nos comenta el resultado, gracias (y posteenos el contenido de c:\infosat.txt)



saludos



ms, 9-3-2010

[Apikalegusta]

buenas maestro, te pongo una duda. Las claves que me diste a eliminar no aparecen en el HijackThis asi que te posteo el log para que veas que hice mal :P. Te comento que lo unico que tenia abierto era el Jdownloader mientras analize:


[list]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:23:55 p.m., on 14/03/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\AVG\AVG9\avgchsvx.exe

C:\Archivos de programa\AVG\AVG9\avgrsx.exe

C:\Archivos de programa\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\AVG\AVG9\avgam.exe

C:\Archivos de programa\AVG\AVG9\avgnsx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\AVG\AVG9\avgtray.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Java\jre6\bin\javaw.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

C:\Documents and Settings\Administrador\Escritorio\EliTriIP.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 58.253.71.248:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Archivos de programa\IEPro\iepro.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Archivos de programa\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Archivos de programa\IEPro\iepro.dll

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Archivos de programa\IEPro\iepro.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab

O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.codificado.tv/nsvplayx_vp3_mp3.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B6EEC050-BD56-47DB-8D25-7C41184EFA8E}: NameServer = 208.67.222.222,208.67.220.220

O17 - HKLM\System\CS3\Services\Tcpip\..\{B6EEC050-BD56-47DB-8D25-7C41184EFA8E}: NameServer = 208.67.222.222,208.67.220.220

O17 - HKLM\System\CS5\Services\Tcpip\..\{B6EEC050-BD56-47DB-8D25-7C41184EFA8E}: NameServer = 208.67.222.222,208.67.220.220

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



--

End of file - 6969 bytes

[/list]
No termine de pasar los Eli*, hasta ahora solo pase el Elistrap y no encontro nada malo, pero aparecieron cosas interesantes mientras analizaba:

1- Cuando lo abro me dice si quiero bloquear el intento de intrusion por el TCP445, como hago para saber si es algo seguro o es un atacante?

2- Mientras analizaba me aparecio un cartel del avg que habia encontrado un virus en un archivo muy viejo, para ser exacto un keygen del photshop, tiene algo que ver con el analizis o era un falso positivo?


[list]

Infección - Troyano Downloader.Generic9.BALV - C:\Documents and Settings\Administrador\Mis documentos\Archivos Rober\Exes\Adobe Photoshop Pro CS2 v9.0 Full + Keygen\keygen.exe

[/list]

y eso nada mas, suerte y gacias por todo

[msc hotline sat]

Pues dos respuestas: A la última, la detecion de keygen no son falsos positivos, sino malwares propios de los keygens, lo cuales no deben usarse al ser propios de pirateos, o atenerse a las consecuencias.



Por ello mas vale que los elimines, y si tras ello persiste algun problema, envianos los ficheros donde tu antivirus detecte algo y lo analizaremos





Y a lo de la eliminacion de claves, el HJT no es tan exhaustivo y se deja muchas claves en el tintero, por ello recomendamos el uso del SPROCES, pero si las claves a eliminar son de las que no se ven con el HJT, puedes hacerlo con el BUSCAREG, indicarle un texto que contenga la clave a eliminar y darle a buscar. Una vez la encuentre, doble click en ella y seleccionar ELIMINAR.



Para la primera, entrar la class 8AD9C840-044E-11D1-B3E9-00805F499D93 (con un copiar y pegar, para la segunda: CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA y para la tercera: CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





saludos



ms, 14-3-2010

[Apikalegusta]

buenas che, te hago 3 preguntitas rapidas:

1. Ya pase el busca reg y no me encontro esta clave 8AD9C840-044E-11D1-B3E9-00805F499D93 ni esta CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA, es normal que desasparezcan solas?



2. En la otra me encontro 3 claves, las borro todas o alguna es importante?

[img]http://img257.imageshack.us/img257/4561/dibujoceq.jpg[/img]

(se ve cortada la imagen de arriba) [url]http://img257.imageshack.us/img257/4561/dibujoceq.jpg[/url]



3.Que es lo de puerto TCP445? Lo que encontre dice que es algo del puerto usb para impresoras (?) pero me parecio cualquiera :mrgreen:.



suerte y gracias maestro

[msc hotline sat]

Corresponden a estas tres claves:



O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



Puedes eliminar las tres, son DPF (Dynamic Property Framework) de active X normalmente maliciosos.



saludos



ms, 19-3-2010

[Apikalegusta]

y lo del puerto TCP445 para que sirve? porque entendi, en lo que lei, si lo tengo que bloquear o no en caso de tener una impresora por usb...



suerte y graciela

[msc hotline sat]

Hay algunos virus que intrusionan a traves de este port, como por ejemplo el Conficker, y para eliminarlos y/o descargar parches, conviene cerrar el TCP445 en dicha sesion, y ello es lo que se hace si se acepta, pero tras el siguiente reinicio ya se normaliza.



Dinos si con lo hecho se ha solucinado el problema y podemos cerrar el Tema, gracias



saludos



ms, 24-3-2010

[Apikalegusta]

bueno maestro, te comento que al final lo termine todo y no me mejoro en nada (dios sabra xq), pero para peor se me cago la compu y la tuve q formatear pero ya el avg me esta tirando viruses (tiene menos de 1 semana de formateo) pero eso te lo comento en otro post, o te lo pongo aqui mismo?



suerte.

[msc hotline sat]

Habiendo formateado el ordenador y siendo el Tema de hace mas de 1 mes, mejor abre otro Tema, ya que mejor no mezclar problemas no homogeneos.



En consecuencia cerramos este Tema, y cuenta en el otro el antivirus que tienes instalado y las utilidades que has probado y los informes resultantes, aparte del problema, claro.



saludos



ms, 15-4-2010