Virus "invisible"

RaquelCL · Mensaje por **RaquelCL** » 20 Oct 2010, 11:42

Hola, soy nueva aquí. Hace poco que he descubierto el foro, lo he descubierto intentando buscar alguna solución a un problema que me tiene ya frita ... :?

A ver si alguien me puede ayudar, pues me hariais un gran favor.

El problema es que hace un tiempo, navegando -y no por ningún sitio "raro"- se me coló algun programilla que se me autoinstaló y me dejó el ordenador infectado con algo - no sé si es un virus, o spyware o el qué exactamente. Empezó a hacer pantallazos de esos azules con un error super complicado y algunas veces el SO ni siquiera arrancaba (Windows XP).

Entonces decidí hacer un formateo con los dos DVDs originales que me dieron cuando compré el ordenador. La primera vez, ni siquiera pude completar el formateo, después si lo conseguí pero el dichoso virus o lo que sea, parece que sigue estando aquí.

El principal problema que me ocasiona es que cuando le doy al icono del Internet Explorer no arranca el navegador de ninguna manera. Tengo el Explorer 7. He probado de desinstalarlo para volver al 6 y sigue haciendo cosas raras -a veces funciona y a veces no-, también he intentado poner el Explorer 8 y sigue igual de mal.

Pues me he pasado al Firefox y este si que arranca, pero a menudo y sin mas, se abren ventanas solas hacia páginas que no se ni de qué van. Y cuando estoy haciendo una búsqueda con el Google y le doy a un resultado, me lleva a una página distinta de la que he clickado.

Intenté buscar alguna solución por la red y deducí que tengo algun "bicho" raro, algun virus "invisble" que soporta incluso un formateo "total" del ordenador... incluso instalé un antivirus -Avast- y me dice que todo está bién y no tengo virus, he puesto el CCleaner y he limpiado registros. También instalé el Malawarebytes, hice un escaneo completo, encontró algunos problemas y los solució, pero sigue yendo todo mal. Después instalé el Ad-Aware, encontró también un par de "cosas" (unos ".pdf"?) y los puso en cuarentena... En fin, todos estos programas me dicen que no tengo nada, el formateo fue integral, y aún así.... sigue yendo mal!Me estoy volviendo un poco loca... :?

Si alguien me puede hechar una mano, estaría MUY agradecida. Miré en foros en inglés y me bajé un programa llamado HiJack que me explica todo lo que está en marcha ahora en mi ordenador y genera un registro, pero mirando vuestro foro veo que utilizais un sistema diferente para poder resolver estos problemas, no?

Gracias de antemano si alguien me hecha un cable! lo necesito urgentemente, porque el ordenador "funciona" pero sé que tengo "algo" dentro y no sé lo que es!

Raquel

pd. Ah, y cada dos por tres me aparece un error que dice "generic host process for win32 ha detectado un error y debe cerrarse". Esto no me cierra nada y no parece que me ocasione ningun problema "mayor", pero me pone un poco nerviosa, porque sale continuamente.

Mensaje por **msc hotline sat** » 20 Oct 2010, 12:21

Pues empieza por el ELISTARA

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y si en el informe no detecta nada ni pide el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema

saludos

ms, 20-10-2010

NOTA: y si quieres, como que tienes a mano los CD de instalacion, arranca con ellos y pulsa R para acceder a la CONSOLA DE RECUPERACION, y desde alli escribe FIXMBR y pulsas <ENTER> . Asi sobreescirbirás el codigo del MBR, donde se meten algunos virus, y que de alli no se quita ni formateando , y por lo que cuentas, podría ser que tuvieras un Rotkit allí metido...

ms.

RaquelCL · Mensaje por **RaquelCL** » 20 Oct 2010, 13:19

Hola ms, muchas gracias por contestar.

La verdad es que me gustaría realmente empezar de 0, tener el ordenador limpio -ya guardé los datos importantes- y quiero probar eso de la consola de recuperación que me cuentas pero no veo como hacerlo.

Me dieron un par de DVDs de Windows XP (són de hace un año). Cuando pongo el nº1 y reinicio, nunca me pregunta nada, hace el arranque normal como si no hubiera nada en la bandeja del CD/DVD. Para forzarlo a hacer un formateo tengo que usar F8, y entonces me salen unas cuantas opciones -Modo Seguro, Modo seguro con funciones de red, Habilitar VGA, Modo de Depuración, etc.- pero no veo como o donde pulsar la R, y ninguna de esas opciones se llama Consola de Recuperación.

Si te sirve de algo, el ordenador es un Acer, y tiene el sistema:

Microsoft Windows XP Profesional, Versión 2002 Service Pack 3

Como puedo acceder a la Consola de recuperación? Hay algun otro sistema? Ayuda!...

Raquel.

gracias de nuevo

Mensaje por **msc hotline sat** » 20 Oct 2010, 13:52

Estos CD no son los originales de Microsoft, y en tal caso debes preguntarselo a quien te los ha dado, aunque es posible que con elllos no se pueda hacer lo que indicamos para los originales...

Empieza mejor pues por lo del SPROCES y veremos lo que hay

Si no vieramos nada y creyeramos que ha de estar en el MBR, probaríamos una utilidad que hay en internet que se llama MBRFIX, (no FIXMBR que es el de windows) pero solo en último caso.

saludos

ms, 20-10-2010

RaquelCL · Mensaje por **RaquelCL** » 20 Oct 2010, 14:08

vale, esto es el SProcLog:

(20-10-2010 12:04:56 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: JAN

Nombre Usuario: Jan X

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTSVC.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\SYSTEM32\SYSMONITOR.EXE

C:\ACER\EMPOWERING TECHNOLOGY\EDATASECURITY\EDSLOADER.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST5\AVASTUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ELOCK\MONITOR\LOCKMON.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ELOCK\LOCKSERV.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\__-- PACK ANTIVIRUS --__\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/webhp?complete=0

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe

O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe" /nogui

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\nvnrm.sys (de 943872 bytes) () NVIDIA Corporation

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: eLock2BurnerLockDriver - Windows (R) 2000 DDK provider - C:\WINDOWS\system32\eLock2BurnerLockDriver.sys

O23 - Service: eLock2FSCTLDriver - Windows (R) 2000 DDK provider - C:\WINDOWS\system32\eLock2FSCTLDriver.sys

**O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: iPod Service - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Lavasoft helper driver (Lavasoft Kernexplorer) - Unknown owner - C:\Archivos de programa\Lavasoft\Ad-Aware\KernExplorer.sys

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: Service for NVIDIA High Definition Audio Driver (NVHDA) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvhda32.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: psdfilter - HiTRUST - C:\WINDOWS\system32\Drivers\psdfilter.sys

O23 - Service: psdvdisk - HiTRUST - C:\WINDOWS\system32\Drivers\psdvdisk.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

32 Servicios.

12 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 20 Oct 2010, 16:16

En el log no se ve nada anormal.

por nuestra parte cabe aun ver si el ELISTARA detecta algo o indica se invie muestra para analizar de algun sospechoso, pruebalo, y nos posteas el resultado.

Sino, ya debes buscar con el Google el MBRFIX y seguir las instrucciones que te indiquen, pues no es una utilidad nuestra ni la usamos, pero en tu caso...

Posteanos el informe del ELISTARA y obraremos en consecuencia.

saludos

ms,. 20-10-2010

RaquelCL · Mensaje por **RaquelCL** » 20 Oct 2010, 20:33

bueno, he lanzado el EliStarA, y me ha pedido que si queria borrar los HOSTS, le he dicho que sí, después si quería eliminar al contenido de las carpetas temporales de Windows y he aceptado, y justo después me dice que ha encontrado el malware (o un virus, no sé que es) SpyRealtek y que lo ha eliminado.

Haciendo el análisis me ha salido esto:

"Acceso denegado a la carpeta: C:/Archivos de programa/Adobe/Reader 8.0/Resource/CMap (16)"

después ha seguido y me da este informe:

(20-10-2010 18:11:47 (GMT))

EliStartPage v21.84 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(20-10-2010 18:20:55 (GMT))

EliStartPage v21.84 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{63F0E97B-F815-4D35-99DC-6CCC27C54DE1}\RP19\A0013949.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{63F0E97B-F815-4D35-99DC-6CCC27C54DE1}\RP19\A0014102.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{63F0E97B-F815-4D35-99DC-6CCC27C54DE1}\RP3\A0000361.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{63F0E97B-F815-4D35-99DC-6CCC27C54DE1}\RP8\A0006039.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{63F0E97B-F815-4D35-99DC-6CCC27C54DE1}\RP8\A0006114.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{63F0E97B-F815-4D35-99DC-6CCC27C54DE1}\RP9\A0006406.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 5542

Nº Total de Ficheros: 43854

Nº de Ficheros Analizados: 14622

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

Una vez hecho he reiniciado pero el icono del explorer sigue sin funcionar... le doy y no se abre ninguna ventana del navegador. Y el Firefox funciona, pero sigue tardando más en arrancar de lo que acostumbraba antes de infectarse el ordenador, y sigue enviandome a páginas que no són los resultados que me da el Google.

No sé si esto del SpyRealtek puede ser el que se "cuela" por debajo del formateo general y persiste aunque reinstale el Windows XP...

Crees que tengo que hacer más pasos? volver a probar ahora de reinstalar el Windows XP -ya te digo que no puedo hacer lo de la Consola + R porque no me aparece la consola en ningun lado -- de hecho, he buscado con el Google y he visto que en algun sitio decian que en el Service Pack 3 la consola no está instalada o disponible....

Estoy hecha un lío, la verdad... ya no sé si tengo virus o no tengo. Los antivirus dicen que no, y los navegadores está claro que les pasa algo -de hecho, en todo el sistema, cuando intento ejecutar un .exe a veces se cuelga- ...:(

Gracias de nuevo

RaquelCL · Mensaje por **RaquelCL** » 20 Oct 2010, 20:47

pongo también el log de HijackThis por si sirve de algo o salen cosas nuevas:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 20:45:16, on 20/10/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\SysMonitor.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Acer\Empowering Technology\eLock\LockServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe

O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: iPod Service - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 8039 bytes

Mensaje por **msc hotline sat** » 20 Oct 2010, 20:53

La consola de recuperacion en XP SP3 se obtiene arrancando con el CD de instalacion y pulsando R

Y no veo nada anormal en el log del HJT.

Postee el del SPROCES que es mas exhaustivo, como ya le indicaba en mi post anterior.

Aparte, ha probado reinstalar el IEXPLORE ???

saludos

ms, 20-10-2010

Virus "invisible"

Virus "invisible"

Re: Virus "invisible"

Re: Virus "invisible"

Re: Virus "invisible"

Re: Virus "invisible"

Re: Virus "invisible"

Re: Virus "invisible"

Re: Virus "invisible"

Re: Virus "invisible"