EXPLORER.EXE

Herpa · Mensaje por **Herpa** » 13 Abr 2011, 22:46

Hola a todos,

Tengo un grave problema con un virus que me detecta el MSN Cleaner el mismo es detectado de la siguiente forma:

- Reporte MSNCleaner 1.2.6

- Reporte Creado: 11/04/2011 a las 09:03:24 p.m.

- Sistema Operativo: Windows Vista

- Modo de Inicio: Normal

_________________________________________

Archivos detectados: 1

Archivos eliminados: 0

Archivos no eliminados: 0

C:\Windows\System32\EXPLORER.EXE

Este virus no lo puedo eliminar con el MSN cleaner, me pone que se eliminara al reiniciar y no se elimina probé en modo seguro y tampoco se elimina.

Los otros antivirus no lo detectan tengo Kis 2011, Escanee con Malwarebytes y no detecta nada, escanee con SUPERAntiSpywarePro y me dio unos cuantos virus los cuales elimine. Pero ahun asi el problema no se solucionó, el MSN cleaner sigue detectando.

Me baje un cortafuego que tengo instalado en este momento es el Zone Alarm.

Use el HiJackThis para analizar pero no se cuales son las entradas que hay que borrar, (agrego que leyendo vi que todas las entradas que tenían %@ son posibles virus entonces las elimine, pero cuando vuelvo a escanear me aparecen nuevamente)

Por ultimo vi en zonavirus que decía que era conveniente analizar los procesos con SProces el cual lo hice pero no se que entradas eliminar,

Desde ya muchas gracias a todo aquel que me pueda ayudar, hace mas de una semana que estoy luchando con este virus y no logro nada,

Saludos

log

(13-4-2011 20:18:48 GMT)

SProces v5.3 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows 7 Home Premium (v6.1.7600)

Internet Explorer: (v9.0.8112.16421) 0

Nombre Equipo: PABLO-PC

Nombre Usuario: Pablo

Procesos Activos:

C:\PROGRAM FILES (X86)\DIGITALPERSONA\BIN\DPAGENT.EXE

C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\MSOSYNC.EXE

C:\PROGRAM FILES (X86)\UNIBLUE\REGISTRYBOOSTER\RBMONITOR.EXE

C:\PROGRAM FILES (X86)\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 2011\AVP.EXE

C:\PROGRAM FILES (X86)\EPSON SOFTWARE\EVENT MANAGER\EEVENTMANAGER.EXE

C:\PROGRAM FILES (X86)\COMMON FILES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\PROGRAM FILES (X86)\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSWOW64\MACROMED\FLASH\FLASHUTIL10O_ACTIVEX.EXE

C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP ADVISOR\HPADVISOR.EXE

C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE

C:\USERS\PABLO\DOWNLOADS\INSTALADORES\ANTIVIRUS\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: HP SimplePass Identity Protection Extension - {395610AE-C624-4f58-B89E-23733EA00F9A} - C:\Program Files (x86)\DigitalPersona\Bin\dpotspluginie8.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~4\Office14\GROOVEEX.DLL

O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~4\Office14\URLREDIR.DLL

O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll

O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"

O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll

O4 - HKCU\..\Run: [HPAdvisorDock] C:\Program Files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe

O4 - HKCU\..\Run: [HPADVISOR] C:\Program Files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE"

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files (x86)\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [MSNCleaner] C:\Users\Pablo\Downloads\Instaladores\Programas\MSNCleaner.exe

O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"

O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKLM\..\Run: [EEventManager] "C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe"

O4 - HKLM\..\Run: [jswtrayutil] "C:\Program Files (x86)\TP-LINK\QSS\jswtrayutil.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe

O8 - Extra context menu item: &Enviar a OneNote - res://C:\PROGRA~2\MICROS~4\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm

O8 - Extra context menu item: Descargar con Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office14\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: &Teclado virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: Compro&bar direcciones URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab

O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/en-US/wlscctrl2.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory Class) - http://download.microsoft.com/download/PowerPoint2002/Install/10.0.2609/WIN98MeXP/EN-US/msorun.cab

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O18 - Protocol hijack: about - (datos no accesibles)

O18 - Protocol hijack: dvd - (datos no accesibles)

O18 - Protocol hijack: its - (datos no accesibles)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll

O18 - Protocol hijack: mhtml - (datos no accesibles)

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol hijack: ms-its - (datos no accesibles)

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files (x86)\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Protocol hijack: tv - (datos no accesibles)

O18 - Protocol hijack: vbscript - (datos no accesibles)

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll

O20 - Winlogon Notify: !SASWINLOGON - C:\PROGRAM FILES (X86)\SUPERANTISPYWARE\SASWINLO.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~4\Office14\GROOVEEX.DLL

O22 - ShellExecuteHooks: - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files (x86)\SUPERAntiSpyware\SASSEH.DLL

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\AESTSr64.exe

O23 - Service: Servicio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe

O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: CinemaNow Service - CinemaNow, Inc. - C:\Program Files (x86)\CinemaNow\CinemaNow Media Manager\CinemanowSvc.exe

O23 - Service: @C:\Program Files\DigitalPersona\Bin\DpHostW.exe,-128 (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHostW.exe

O23 - Service: DeviceVM Meta Data Export Service (DvmMDES) - DeviceVM, Inc. - C:\SwSetup\QuickWeb\QW.SYS\config\DVMExportService.exe

O23 - Service: EPSON V5 Service4(04) (EPSON_EB_RPCV4_04) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50STB.EXE

O23 - Service: EPSON V3 Service4(04) (EPSON_PM_RPCV4_04) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RPB.EXE

O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: HP Health Check Service - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: HP Wireless Assistant Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe

O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe

O23 - Service: HP Service (hpsrv) - Hewlett-Packard - C:\WINDOWS\system32\Hpservice.exe (file missing)

O23 - Service: HPWMISVC - Unknown owner - C:\Program Files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe

O23 - Service: ZoneAlarm Toolbar ISWKL (ISWKL) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys

O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe

O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

O23 - Service: @%SystemRoot%\System32\uxtuneup.dll,-4096 (UxTuneUp) - TuneUp Software - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\uxtuneup.dll

O23 - Service: Validity VCS Fingerprint Service (vcsFPService) - Validity Sensors, Inc. - C:\Windows\system32\vcsFPService.exe

*O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe

**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: Power Control [2010/08/16 12:36:02] ({55662437-DA8C-40c0-AADA-2C816A897A49}) - CyberLink Corp. - c:\Program Files (x86)\Hewlett-Packard\Media\DVD\000.fcl

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: HP Accelerometer (Accelerometer) - Hewlett-Packard - C:\WINDOWS\SYSTEM32\DRIVERS\Accelerometer.sys (file missing)

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adp94xx.sys (file missing)

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpahci.sys (file missing)

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\adpu320.sys (file missing)

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\DRIVERS\aliide.sys (file missing)

O23 - Service: amdsata - Advanced Micro Devices - C:\WINDOWS\system32\DRIVERS\amdsata.sys (file missing)

O23 - Service: amdsbs - AMD Technologies Inc. - C:\WINDOWS\system32\DRIVERS\amdsbs.sys (file missing)

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arc.sys (file missing)

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\DRIVERS\arcsas.sys (file missing)

O23 - Service: Atheros Extensible Wireless LAN device driver (athr) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\athrx.sys (file missing)

O23 - Service: Atheros AR9271 Wireless Network Adapter Service (athur) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\athurx.sys (file missing)

O23 - Service: Broadcom NetXtreme II VBD (b06bdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\bxvbda.sys (file missing)

O23 - Service: Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 (b57nd60a) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\b57nd60a.sys (file missing)

O23 - Service: Bing Bar Update Service (BBSvc) - Microsoft Corporation. - C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE

O23 - Service: Broadcom 802.11 Network Adapter Driver (BCM43XX) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcmwl664.sys (file missing)

O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltLo.sys (file missing)

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\DRIVERS\BrFiltUp.sys (file missing)

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\Brserid.sys (file missing)

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrSerWdm.sys (file missing)

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbMdm.sys (file missing)

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\System32\Drivers\BrUsbSer.sys (file missing)

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\DRIVERS\cmdide.sys (file missing)

O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - %SystemRoot%\system32\svchost.exe -k defragsvc - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: Broadcom NetXtreme II 10 GigE VBD (ebdrv) - Broadcom Corporation - C:\WINDOWS\system32\DRIVERS\evbda.sys (file missing)

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\DRIVERS\elxstor.sys (file missing)

O23 - Service: Hauppauge Consumer Infrared Receiver (hcw85cir) - Hauppauge Computer Works, Inc. - C:\WINDOWS\system32\drivers\hcw85cir.sys (file missing)

O23 - Service: Intel(R) Management Engine Interface (HECIx64) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\HECIx64.sys (file missing)

O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: HpSAMD - Hewlett-Packard Company - C:\WINDOWS\system32\DRIVERS\HpSAMD.sys (file missing)

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys (file missing)

O23 - Service: Huawei DataCard USB PNP Device (hwusbdev) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbdev.sys (file missing)

O23 - Service: iaStorV - Intel Corporation - C:\WINDOWS\system32\DRIVERS\iaStorV.sys (file missing)

O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd64.sys (file missing)

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\DRIVERS\iirsp.sys (file missing)

O23 - Service: Impcd - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Impcd.sys (file missing)

O23 - Service: Intel(R) Display Audio (IntcDAud) - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntcDAud.sys (file missing)

O23 - Service: Kaspersky Lab KLMOUFLT (klmouflt) - Kaspersky Lab - C:\WINDOWS\SYSTEM32\DRIVERS\klmouflt.sys (file missing)

O23 - Service: LSI_FC - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_fc.sys (file missing)

O23 - Service: LSI_SAS - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas.sys (file missing)

O23 - Service: LSI_SAS2 - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_sas2.sys (file missing)

O23 - Service: LSI_SCSI - LSI Corporation - C:\WINDOWS\system32\DRIVERS\lsi_scsi.sys (file missing)

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\DRIVERS\megasas.sys (file missing)

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\DRIVERS\MegaSR.sys (file missing)

O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - %SystemRoot%\System32\svchost.exe -k NetworkService - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit (netw5v64) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\netw5v64.sys (file missing)

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\DRIVERS\nfrd960.sys (file missing)

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvraid.sys (file missing)

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\DRIVERS\nvstor.sys (file missing)

O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServicePeerNet - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServicePeerNet - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServicePeerNet - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: ql2300 - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql2300.sys (file missing)

O23 - Service: ql40xx - QLogic Corporation - C:\WINDOWS\system32\DRIVERS\ql40xx.sys (file missing)

O23 - Service: RtsUStor.Sys Realtek USB Card Reader (RSUSBSTOR) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\Drivers\RtsUStor.sys (file missing)

O23 - Service: Realtek 8167 NT Driver (RTL8167) - Realtek - C:\WINDOWS\SYSTEM32\DRIVERS\Rt64win7.sys (file missing)

O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - %SystemRoot%\system32\svchost.exe -k SDRSVC - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\DRIVERS\SiSRaid2.sys (file missing)

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\DRIVERS\sisraid4.sys (file missing)

O23 - Service: SrvHsfHDA - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTAZL6.SYS (file missing)

O23 - Service: SrvHsfV92 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTDPV6.SYS (file missing)

O23 - Service: SrvHsfWinac - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTCNXT6.SYS (file missing)

O23 - Service: stexstor - Promise Technology - C:\WINDOWS\system32\DRIVERS\stexstor.sys (file missing)

O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10301 (STHDA) - IDT, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\stwrt64.sys (file missing)

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics Incorporated - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys (file missing)

O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceAndNoImpersonation - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: TuneUpUtilitiesDrv - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesDriver64.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\DRIVERS\viaide.sys (file missing)

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\DRIVERS\vsmraid.sys (file missing)

O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - %SystemRoot%\System32\svchost.exe -k WerSvcGroup - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller (yukonw7) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk62x64.sys (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe

O23 - Service: JumpStart Push-Button Service (jswpbapi) - Wireless - C:\Program Files (x86)\TP-LINK\QSS\jswpbapi.exe

O23 - Service: JumpStart Wi-Fi Protected Setup (jswpsapi) - Wireless - C:\Program Files (x86)\TP-LINK\QSS\jswpsapi.exe

O23 - Service: MyEpson Portal Service - SEIKO EPSON CORPORATION - C:\Program Files (x86)\EPSON\MyEpson Portal\mepService.exe

106 Servicios.

28 de Carga Automatica.

74 de Carga Manual.

4 Deshabilitados.

Mensaje por **msc hotline sat** » 14 Abr 2011, 07:21

De entrada, si todavía tiene este C:\Windows\System32\EXPLORER.EXE envienoslo para analizar, pero pruebe el ELISTARA actual, 23.04, que puede ser que ya lo controle:

para DESCARGAR el ELISTARA, msc escribió: http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

A la vista del informe del ELISTARA (contenido en c:\infosat.txt), obraremos en consecuencia.

saludos

ms, 14-4-2011
RARBA

ANEXO:
Y como que en el log vemos duplicada esta entrada:

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL

lance el LSPFIX, por si procediera corregir dichas entradas:

Manual LSP-Fix
Descargar LSP-Fix

Herpa · Mensaje por **Herpa** » 14 Abr 2011, 22:57

Busque la ruta C:\Windows\System32\EXPLORER.EXE para enviarlo y no lo encontré, lance el ELISTARA y no detecto nada a continuación el log, luego lance el LSPFIX y me detecto esa entrada (WLIDNSP.DLL) la coloque en remove y le di a finish, (el LSPFIX me detecto otras entradas: NLAapi.dll, mswsock.dll, winrnr.dll, napinsp.dll y pnrpnsp.dll ), pase nuevamente el MSN cleaner y continua apareciendo.

(13-4-2011 21:02:32 (GMT))
EliStartPage v23.02 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Abril del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(13-4-2011 21:14:39 (GMT))
EliStartPage v23.02 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Abril del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 43468
Nº Total de Ficheros: 225619
Nº de Ficheros Analizados: 68052
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(14-4-2011 19:22:30 (GMT))
EliStartPage v23.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2011)
--------------------------------------------------
Usuario: Pablo
Sesión de Usuario: Pablo
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(14-4-2011 19:32:17 (GMT))
EliStartPage v23.05 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2011)
--------------------------------------------------
Usuario: Pablo
Sesión de Usuario: Pablo
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 43489
Nº Total de Ficheros: 226025
Nº de Ficheros Analizados: 68140
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Msn cleaner log

- Reporte MSNCleaner 1.2.6
- Reporte Creado: 14/04/2011 a las 05:04:02 p.m.
- Sistema Operativo: Windows Vista
- Modo de Inicio: Normal
_________________________________________

Archivos detectados: 1
Archivos eliminados: 0
Archivos no eliminados: 0

C:\Windows\System32\EXPLORER.EXE

Agrego un comentario para ver si sirve:

Hace como dos años me pasó lo mismo en otra pc pero con window vista use los procedimientos que muestro a continuación y lo logre eliminar, pero donde radica la diferencia en que en esta pc cuando realizo los paso 9 y 11 el archivo de texto no coincide con el que muestra acá y en el C: no me aparece el EXPLORER.EXE.
Primeramente veremos si podemos ejecutar el editor de registro de windows (regedit.exe).

Oprimimos el botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos regedit.exe y presionamos Enter.
Si de esta forma no es es imposible, puesto que el virus nos impide ejecutarlo, procederemos a hacer lo siguiente:

1. Nos bajamos el archivo fixswen.inf (tranquilos es un archivo que lo que hará será simplemente modificar la parte del registro que ha cambiado el virus para impedirnos acceder al editor)

2. Nos paramos sobre el archivo que acabamos de bajar, presionamos el botón derecho del mouse y seleccionamos instalar ( si nos pregunta si queremos instalarlo o algo así decimos que si)

Ahora procederemos entonces, con nuestro regedit.exe liberado a volver a realizar el primer paso de este tutorial:

1. Oprimimos el botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos regedit. exe

2. Buscamos en regedit las carpetas (o ramas siguientes) y vamos abriendo una, luego buscando dentro de ella la que sigue, etc: HKEY_LOCAL_MACHINE->Software->Microsoft ->Windows->CurrentVersion->Run

3.Miramos si aparece alli la carpeta "RunDLL32r", si es así, la borramos

4. Ahora, sin cerrar regedit buscamos en las carpetas (o ramas) siguientes: HKEY_LOCAL_MACHINE->Software ->Microsoft->Active Setup->Installed Components

5. Miramos si aparecen allí las entradas "%random" y "name%" y las borramos

6. Ahora, buscamos las carpetas (o ramas) siguientes: HKEY_LOCAL_MACHINE ->Software->Microsoft->Windows->CurrentVersion ->explorer->User shell folders

7.Borramos la entrada "Common Startup" en la ventana de la derecha

8. Cerramos regedit y oprimimos otra vez, el botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos SYSTEM.INI (más Enter)

9. Se nos abrirá un archivo de texto, donde modificaremos la siguiente entrada: (nombre_servidor puede ser cualquier nombre dado al servidor del troyano):

[boot]
shell=Explorer.exe c:\windows\system\nombre_servidor.exe

cambiándola por :

[boot]
shell=Explorer.exe

10. Grabamos y cerramos el archivo

11. Ahora volvemos a l botón inicio, seleccionamos ejecutar y en la caja de diálogo escribimos WIN.INI (más Enter) y modificamos la siguiente entrada:

[Windows]
load=c:\windows\system\nombre_servidor.exe

Cambiándola por :

[windows]
load=

12. Luego abrimos Mi Pc, buscamos el disco o unidad C:\ y alli nos paramos sobre el archivo explorer.exe y presionando a la vez la tecla shift y la tecla Supr lo borramos.
Importante: No confunda C:\EXPLORER.EXE con C:\WINDOWS\EXPLORER.EXE que es el Explorador de Windows.

13. Decimos que queremos borrarlo cuando windows nos pregunte

14. Reiniciamos el ordenador

15. Borramos el archivo del troyano, ("nombre_servidor.exe", donde "nombre_servidor" puede ser cualquier nombre dado al servidor), de la carpeta C:\WINDOWS\SYSTEM

16. Finalmente si alguien te avisa o tu ves, que al usar el mirc estas enviando el link con el virus por privados o canales. Desinstala tu mirc e instala uno nuevo desde cero.

Este tutorial ha sido realizado recopilando información dispersa de diferentes fuentes, para hacer más clara la eliminación del virus, por lo tanto mi trabajo no ha sido mas que recopilar y unir los textos en un solo documento.

Fuentes: Mcafee Threat Center Video Soft Antivirus Enciclopedia Symantec Security Response

Esto fue extraído de viewtopic.php?f=1&t=17044

Mensaje por **msc hotline sat** » 15 Abr 2011, 07:35

Respetando estas instrucciones, si no le han servido, mire de buscar el fichero en cuestion con el ELIMOVER:

ELIMOVER
http://www.zonavirus.com/descargas/elimover.asp

y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware

Entrando con un copiar y pegar : C:\Windows\System32\EXPLORER.EXE

y una vez lo tenga en C:\muestras, envienoslo para analizar según indicamos en :

Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 15-4-2011

Mensaje por **msc hotline sat** » 15 Abr 2011, 14:03

No se deben enviar ficheros de texto a SATINFO... Solo a sus asociados se les da dicho soporte. Los usuarios del foro deben postearlo en su Tema:

viewtopic.php?f=1&t=17488

De todas formas ha ido a parar a mis manos y pego su contenido:

(15-4-2011 11:25:44 (GMT))
EliMover v1.3 (c)2010 S.G.H. / Satinfo S.L.
--------------------------------------------
Lista de Acciones ():
Fichero: "C:\Windows\System32\EXPLORER.EXE" -> Copiado a "C:\Muestras"
Fichero: "C:\Windows\System32\EXPLORER.EXE" -> NO pudo ser Renombrado a .VIR

Pues como que seguramente lo tienes en C:\muestras\EXPLORER.EXE, envianoslo para analizar:

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

Pero si no lo haces ya mismo, para poderte contestar hoy mismo. (Sino será cuando vuelva de viaje, el martes 26)

saludos

ms, 15-4-2011

Herpa · Mensaje por **Herpa** » 29 Abr 2011, 01:00

Luego de un tiempo buscando la solución, emplee todos los métodos que anteriormente comentas y no obtuve nada, el gusano infecto el winamp, el wmp, el programa de Epson, etc etc estaba por todos lados los registros estaban llenos de modificaciones, no tuve más opción que formatear la máquina y perder mis 500gb de información porque no me dejaba hacer nada más.

Para aquellos que le pasa lo mismo según todo lo que estuve mirando hay formas de combatirlo, es manual y hay que saber manejar bien el registro como yo no soy experto no lo hice. (hay que modificar el registro y arreglarlo manualmente par que el gusano no se active y no se oculte y poder eliminarlo)

Agradezco la ayuda proporcionada por el equipo del foro.

Saludos Herpa

Mensaje por **msc hotline sat** » 29 Abr 2011, 07:10

Ya habrás visto que en C:\muestras, el ELIMOVER te ha copiado el archivo de marras:

Fichero: "C:\Windows\System32\EXPLORER.EXE" -> Copiado a "C:\Muestras"

Pues envianoslo para analizar y controlar con la proxima version del ELISTARA, que ya se cuidará de restaurar las claves de registro que modifique, pero claro, sin la muestra poco podemos hacer...

saludos

ms, 29-4-2011

EXPLORER.EXE

EXPLORER.EXE

Re: EXPLORER.EXE

Re: EXPLORER.EXE

Re: EXPLORER.EXE

Re: EXPLORER.EXE

Re: EXPLORER.EXE

Re: EXPLORER.EXE