Tengo un virus en mi ordenador

[prettyange]

Hola soy Carolina,



Les escribo para consultarles por que tengo un problema con un virus y un amigo me sugirió esta página.

Así que saludos a Shaury (quién me obliga a escribir este saludo por que cree que sería gracioso)



El virus que tengo no me permite abrir mozilla firefox, ni internet explorer, ni el msn.

Tengo instalado el nod 32 como antivirus me borra archivos maliciosos troyanos *.dll

Se pone más lenta de lo normal.



Cuando quiero abrir programas que usa internet contantemente tira alerta de virus



TIRA CARTELES DE ERROR de forma constante los cuales si los hago a un lado pudo seguir utilizando el programa de chrome temporalmente sin que me afecte a lo que me encuentre haciendo cuando navego.



Desde ya muchas gracias por su ayuda,

Espero pronta respuesta.

[lucl]

Descargate este programa que te indico y ejecutalo en tu pc. Te dejara un log en C llamado infosat.txt cuyo contenido debes pegarnos. Y a partir de ahi continuaremos segun de el resultado, te dejo link de descarga . Saludos.





http://www.zonavirus.com/descargas/descargar-elistara.asp

[prettyange]

Muchas gracias por su pronta respuesta;

He realizado lo que me han pedido y aquí les dejo el mensaje que dice en el archivo que me indicaron:



(23-3-2010 01:11:59 (GMT))

EliStartPage v20.58 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acci Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-3-2010 01:40:55 (GMT))

EliStartPage v20.58 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploraci):

Explorando "C:\"



Nｺ Total de Directorios: 7361

Nｺ Total de Ficheros: 86264

Nｺ de Ficheros Analizados: 34520

Nｺ de Ficheros Infectados: 0

Nｺ de Ficheros Limpiados: 0



Aún persiste el tema de los virus en mi ordenador cada vez que inicio sesión el "Norton" detecta virus troyanos en mi carpeta de sistema.



Espero nuevas instrucciones para eliminar el problema.



Desde ya muchas gracias y hasta pronto!

[msc hotline sat]

Debería haber probado el ELISTARA actual, es v 20.61, no el 20.58 ... por algo cada día lo actualizamos, para contemplar las últimas novedades.



Y en cualquier caso, posteenos log generado por el SPROCES y tras analizarlo informaremos:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 26-3-2010

[prettyange]

Muchas gracias por su pronta respuesta,

Aquí le dejo el texto del archivo que creó el programa que me ha indicado.



(29-3-2010 01:53:01 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: CARO

Nombre Usuario: Carito



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\PANDO NETWORKS\MEDIA BOOSTER\PMB.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DTLITE.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\WTSRV.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\DOCUMENTS AND SETTINGS\CARITO\CONFIGURACION LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\CARITO\CONFIGURACION LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\CARITO\CONFIGURACION LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

C:\DOCUMENTS AND SETTINGS\CARITO\CONFIGURACION LOCAL\DATOS DE PROGRAMA\GOOGLE\CHROME\APPLICATION\CHROME.EXE

E:\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {0541491A-E895-45E5-B8F7-7E5B6D5C05A2} - C:\WINDOWS\System32\d3dx10_3332.dll (file missing)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicacion auxiliar de inicio de sesion - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Archivos de programa\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Carito\Configuracion local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [Pando Media Booster] C:\Archivos de programa\Pando Networks\Media Booster\PMB.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Documents and Settings\Carito\Datos de programa\SystemProc\lsass.exe

O8 - Extra context menu item: Append to existing PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\IMON.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1269304564187

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - AppInit_DLLs: C:\WINDOWS\System32\eapolqec32.dll

O20 - Winlogon Notify: 747D4DCE800 - C:\WINDOWS\SYSTEM32\EAPOLQEC32.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de cache de las categorias de componente - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {896ADD03-EA8C-4164-BC73-C2CB6C43BE82} - TsanthurMsc - C:\WINDOWS\system32\tsanthur.dll (file missing)



Informaci Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Archivos de programa\Archivos comunes\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos logicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: VIA Rhine Family Fast Ethernet Adapter Driver Service (FETNDISB) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5b.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: GMSIPCI - Unknown owner - F:\INSTALL\GMSIPCI.SYS (file missing)

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MSICPL - Unknown owner - F:\install4\MSICPL.sys (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NTACCESS - Unknown owner - F:\NTACCESS.sys (file missing)

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vinculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SetupNTGLM7X - Unknown owner - F:\NTGLM7X.sys (file missing)

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: Serial Tablet Port Driver (Tablet2k) - Windows (R) 2000 DDK provider - C:\WINDOWS\System32\Drivers\Tablet2k.sys

O23 - Service: Tablet Class Driver (TClass2k) - Tablet Driver - C:\WINDOWS\SYSTEM32\DRIVERS\TClass2k.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: HID Tablet Port Driver (UCTblHid) - Tablet Driver - C:\WINDOWS\SYSTEM32\DRIVERS\UCTblHid.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: XDva295 - Unknown owner - C:\WINDOWS\system32\XDva295.sys (file missing)

O23 - Service: Look 312P (ZSMC301b) - VM - C:\WINDOWS\SYSTEM32\Drivers\usbVM31b.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



44 Servicios.

13 de Carga Automatica.

30 de Carga Manual.

1 Deshabilitados.



Desde ya muchas gracias!

Atte. Carolina

[lucl]

Descarga elistara de nuevo y pasalo en tu pc. Es la version mas reciente y nos pegas el log de infosat de nuevo. Saludos.

[msc hotline sat]

Aparte de postearnos el informe del actual ELISTARA, como muy bien indica lucl, añade .VIR a la extension de estos ficheros y envianoslos para analizar:





C:\Documents and Settings\Carito\Datos de programa\SystemProc\lsass.exe (no el de sistema, sino el de esta carpeta)



C:\WINDOWS\SYSTEM32\EAPOLQEC32.DLL



C:\WINDOWS\system32\tsanthur.dll (ESTE puede que esté oculto, utiliza el ELIMOVER...)







y elimina estas claves:



O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Documents and Settings\Carito\Datos de programa\SystemProc\lsass.exe



O20 - AppInit_DLLs: C:\WINDOWS\System32\eapolqec32.dll



O20 - Winlogon Notify: 747D4DCE800 - C:\WINDOWS\SYSTEM32\EAPOLQEC32.DLL



O22 - SharedTaskScheduler: {896ADD03-EA8C-4164-BC73-C2CB6C43BE82} - TsanthurMsc - C:\WINDOWS\system32\tsanthur.dll (file missing)







Y sin renombrar ni eliminar las claves O10, envianos tambien este para analizar: C:\WINDOWS\SYSTEM32\IMON.DLL, y en todo caso lanza el LSPFIX:



http://www.zonavirus.com/articulos/manual-lsp-fix.asp



http://www.zonavirus.com/descargas/lsp-fix.asp









[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos







saludos



ms, 29-3-2010

[prettyange]

Aloh, gracias por su atención,



he pasado nuevamente el elistar y esta es la información que contenía el archivo



(23-3-2010 01:11:59 (GMT))

EliStartPage v20.58 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acci Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-3-2010 01:40:55 (GMT))

EliStartPage v20.58 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploraci):

Explorando "C:\"



Nｺ Total de Directorios: 7361

Nｺ Total de Ficheros: 86264

Nｺ de Ficheros Analizados: 34520

Nｺ de Ficheros Infectados: 0

Nｺ de Ficheros Limpiados: 0



(29-3-2010 01:47:52 (GMT))

EliStartPage v20.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acci Directa):

[WinLogon\Notify\747D4DCE800]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\EAPOLQEC32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-3-2010 01:51:39 (GMT))

EliStartPage v20.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploraci):

Explorando "C:\"



Nｺ Total de Directorios: 1250

Nｺ Total de Ficheros: 27150

Nｺ de Ficheros Analizados: 13188

Nｺ de Ficheros Infectados: 0

Nｺ de Ficheros Limpiados: 0

Exploraci Detenida por el Usuario.



(31-3-2010 01:43:19 (GMT))

EliStartPage v20.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acci Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(31-3-2010 03:24:40 (GMT))

EliStartPage v20.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploraci):

Explorando "C:\"



Nｺ Total de Directorios: 7774

Nｺ Total de Ficheros: 82177

Nｺ de Ficheros Analizados: 37377

Nｺ de Ficheros Infectados: 0

Nｺ de Ficheros Limpiados: 0



(7-4-2010 00:28:39 (GMT))

EliStartPage v20.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acci Directa):

[WinLogon\Notify\747D4DCE800]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\EAPOLQEC32.DLL

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adobeereg.com

Linea Eliminada del HOSTS --> 127.0.0.1 adobeereg.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-4-2010 00:47:17 (GMT))

EliStartPage v20.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 30 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploraci):

Explorando "C:\"



Nｺ Total de Directorios: 9057

Nｺ Total de Ficheros: 93190

Nｺ de Ficheros Analizados: 38988

Nｺ de Ficheros Infectados: 0

Nｺ de Ficheros Limpiados: 0



Ya he enviado las muestras del imon y el eapolqec32 pero no he podido localizar el tsanthur.dll ni el

lsass.exe de la carpeta que me han indicado.



En cuanto a lo otro mencionado no supe como se realiza, aunque mi novio me ha dicho que lo ha hecho por mi, realmente no sabría decirle si lo realizó como le habían indicado.



Espero respuesta, desde ya muchas gracias

Atte. Carolina

[msc hotline sat]

Pues analizaremos las muestras enviadas y procederemos con ellas, a ver si es suficiente..., de lo cual informaremos



saludos



ms, 8-4-2010

[msc hotline sat]

Pues elimina ademas estas claves:



O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Documents and Settings\Carito\Datos de programa\SystemProc\lsass.exe



O22 - SharedTaskScheduler: {896ADD03-EA8C-4164-BC73-C2CB6C43BE82} - TsanthurMsc - C:\WINDOWS\system32\tsanthur.dll (file missing)







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y sobre otros ficheros enviadops, el IMON.DLL es de NOD32, dejalo estar, solo tiene raro las varias claves que aparecen en el O10, por eso indicamos que lanzaras el LSPFIX, y el eapolqec32.dll es un Downloader TRACUR que pasamos a controlar a partir del ELISTARA 20.68 DE HOY:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 8-4-2010

[prettyange]

Aloh, muchas gracias por la ayuda!



Aquí les dejo el documento que genero el programa luego de haberlo pasado en mi ordenador.





(25-4-2010 23:06:19 (GMT))

EliStartPage v20.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploraci):

Explorando "C:\"

C:\WINDOWS\system32\EAPOLQEC32.DLL --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\system32\EAPOLQEC32.DLL.VIR --> Acceso Denegado, DownLoader.Tracur.B (Reiniciar para Completar la Limpieza)

C:\WINDOWS\Temp\INF10D9.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF1395.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF1398.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF13C8.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF172F.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF1E7.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF2C6.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF48F.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF501.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF50A.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF781.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF793.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF7F9.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INF83B.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INFD8D.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INFDAD.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INFE58.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INFFCE.TMP --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\Temp\INFFD2.TMP --> Eliminado, DownLoader.Tracur.B



Nｺ Total de Directorios: 9880

Nｺ Total de Ficheros: 105051

Nｺ de Ficheros Analizados: 39462

Nｺ de Ficheros Infectados: 21

Nｺ de Ficheros Limpiados: 20



Luego le pediré a mi novio que me haga el favor de borrar lo que mencionaron anteriormente.



Y nuevamente muchas gracias, ante cualquier cosa los volveré a contactar.



Atte. Carolina

[msc hotline sat]

Bien, pues ya ves que se ha detectado un downloader y que ahora ya estará eliminado:


[quote]EliStartPage v20.80 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploraci):

Explorando "C:\"

C:\WINDOWS\system32\EAPOLQEC32.DLL --> Eliminado, DownLoader.Tracur.B

C:\WINDOWS\system32\EAPOLQEC32.DLL.VIR --> Acceso Denegado, DownLoader.Tracur.B (Reiniciar para Completar la Limpieza)[/quote]

Y con la eliminacion de las claves indicadas, ya debe quedar a punto.



Dinos si tras reiniciar persiste alguna anomalía o podemos dar por solucionado el Tema, gracias



saludos



ms, 26-4-2010