Virus (o eso creo) (SOLUCIONADO)

[waw]

Buenas, recientemente (antes no me pasaba) cuando estoy jugando me suele sacar a windows y algunas veces se me abre este link: INTERCEPTADO POR LUCL, ZONAVIRUS



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044







y es super incomodo, se trata de algun virus? Gracias

[lucl]

Te intercepto el link porque no se pueden poner accesos directos aunque he tomado nota de la direccion. Descarga este programa que te indico y ejecutalo en tu pc. Luego te dejara un log en C llamado Infosat.txt cuyo contenido debes pegarnos. Te dejo link de descarga, saludos.





http://www.zonavirus.com/descargas/elistara.asp

[waw]

aparte de la pagina que salia una ip que te he pasado que me has quitado por lo de que no s puede poner (perdon, no lo sabia)

hay otra tb que me sale lo mismo y no es solo cuando estoy jugando, eso fue una casualidad, aqui te lo dejo (el usuario en el que estoy teniendo el problema y no se si en los otros tambien estara, es en la cuenta de Soni):



(28-3-2011 22:10:23 (GMT))

EliStartPage v22.89 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(28-3-2011 22:23:45 (GMT))

EliStartPage v22.89 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11707

Nº Total de Ficheros: 140160

Nº de Ficheros Analizados: 28090

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-9-2011 19:24:09 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Soni

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-1003



Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-9-2011 19:28:47 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Guest

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-501



Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-9-2011 19:54:31 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Soni

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-1003



Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-9-2011 19:54:39 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Guest

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-501



Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-9-2011 20:03:26 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Guest

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-501



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13462

Nº Total de Ficheros: 107710

Nº de Ficheros Analizados: 18374

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





edit: no sabia si darle a que Si cuando me preguntaba si queria recuperar mi HOSTS original, le doy a que si?

[lucl]

Si dale para que te los ponga bien. Pero cuando lo vuelvas a pasar el elistara hazlo arrancando el pc en modo seguro. Te dejo link de como hacerlo por si no lo sabes



https://foros.zonavirus.com/viewtopic.php?f=5&t=5266



Y nos pegas el infosat de nuevo, gracias saludos.

[waw]

puedes decirme si puedo cambiar algo de la pantalla cuando le doy al suprimir para que me reconozca el USB primero? porque le doy al f8 y me sale para elegir "modo seguro" y todo eso pero no me deja subir y bajar porque no me lo reconoce algo que puedo hacer? :S no tengo teclado de esos de PS/2 :S

[msc hotline sat]

El link interceptado lanzaba un PHP en este servidor de alemania:



93.186.170.53 DE Germany 51.0000 9.0000 Inline Internet Online Dienste Gmbh VPS4LESS



El lunes, de vuelta al trabajo en SATINFO, lanzaremos el link inteceptado desde ordenadores que tenemos al respecto, veremos lo que hace y, si procede, pasaremos a controlarlo, y en tal caso informaremos.



Aparte, lo que indica de que no puede arrancar en MODO SEGURO, quiza es por usar un teclado USB, en tal caso ponga uno conectado por cable y además del ELISTARA, lance tambien el SPROCES y nos envia el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 3-9-2011

[waw]

Ok, el lunes me decis de que se trata entonces? aqui te dejo el info sat en modo seguro y con el HOSTS original



(3-9-2011 18:24:01 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Soni

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-1003



Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-9-2011 18:24:08 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Guest

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-501



Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-9-2011 18:35:35 (GMT))

EliStartPage v23.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Septiembre del 2011)

--------------------------------------------------

Usuario: Guest

ID de Usuario: S-1-5-21-583907252-1214440339-682003330-501



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 12340

Nº Total de Ficheros: 93534

Nº de Ficheros Analizados: 18227

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[b]

y el sproces NO lo he exo en modo seguro, si es necesario hacelo en modo seguro avisarme y lo vuelvo a hacer en modo seguro:[/b]



(3-9-2011 19:16:59 GMT)

SProces v5.7 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: CHANGEME1

Usuario: Soni

Sesión de Usuario: Soni



42 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\AUDIODEVICESERVICE.EXE

C:\PROGRAM FILES\BONJOUR\MDNSRESPONDER.EXE

C:\PROGRAM FILES\JAVA\JRE6\BIN\JQS.EXE

C:\PROGRAM FILES\COMMON FILES\NERO\NERO BACKITUP 4\NBSERVICE.EXE

C:\PROGRAM FILES\MICROSOFT APPLICATION VIRTUALIZATION CLIENT\SFTVSA.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\COMMON FILES\WIREHELPSVC.EXE

C:\PROGRAM FILES\XOBNI\XOBNISERVICE.EXE

C:\PROGRAM FILES\MICROSOFT APPLICATION VIRTUALIZATION CLIENT\SFTLIST.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRA~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\PROGRAM FILES\MICROSOFT INTELLIPOINT\IPOINT.EXE

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SSSAUDIOCONTROL.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\DOCUMENTS AND SETTINGS\SONI\DESKTOP\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-583907252-1214440339-682003330-501\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Guest')

R0 - HKUS\S-1-5-21-583907252-1214440339-682003330-501\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Guest')

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

O2 - BHO: (no name) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - (no file)

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (file missing)

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: BS Player - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\prxtbBS_0.dll

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ESL Wire] "C:\Program Files\EslWire\wire.exe" --tray

O4 - HKCU\..\Run: [NTServiceManager] C:\Program Files\YoutubeDownloader.org\YoutubeDownloader\NTServiceManager.exe

O4 - HKCU\..\Run: [FocoLink] "C:\Program Files\YoutubeDownloader.org\YoutubeDownloader\Foco.exe"

O4 - HKCU\..\Policies\Explorer\Run: [windowsupdtt] C:\windowsupdtt\windowsupdtt.exe

O4 - HKUS\S-1-5-21-583907252-1214440339-682003330-501\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime (User 'Guest')

O4 - HKUS\S-1-5-21-583907252-1214440339-682003330-501\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Guest')

O4 - HKUS\S-1-5-21-583907252-1214440339-682003330-501\..\Run: [Skype] "C:\Documents and Settings\Guest\Local Settings\Application Data\Skype\Phone\Skype.exe" /nosplash /minimized (User 'Guest')

O4 - HKUS\S-1-5-21-583907252-1214440339-682003330-501\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Guest')

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DivX Download Manager] "C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe" start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SSSAudioControl] C:\WINDOWS\system32\SSSAudioControl.exe

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Policies\Explorer\Run: [windowsupdtt] C:\windowsupdtt\windowsupdtt.exe

O4 - HKUS\.DEFAULT\..\Run: [AMService] C:\WINDOWS\TEMP\ypwn\setup.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')

O4 - HKUS\S-1-5-19\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'Servicio Local')

O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Servicio de red')

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000 (User 'Guest')

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\PROGRAM FILES\BONJOUR\MDNSNSP.DLL

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/mjss/MJSS.cab109791.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/es/uno1/GAME_UNO1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 799744 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\ESLWireACD.sys (de 812448 bytes) () (Turtle Entertainment)

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\nvnrm.sys (de 895744 bytes) () NVIDIA Corporation

WinSys\Drivers\Sftfsxp.sys (de 554344 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 691696 bytes) ()

WinSys\Drivers\wdf01000.sys (de 492000 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Akamai NetSession Interface (Akamai) - Unknown owner - %SystemRoot%\System32\svchost.exe -k Akamai - C:\WINDOWS\SYSTEM32\C:/Program Files/Common Files/Akamai/netsession_win_2da1ebd.dll (file missing)

O23 - Service: AMService - Unknown owner - C:\WINDOWS\TEMP\ypwn\setup.exe (file missing)

O23 - Service: Apple Mobile Device - Unknown owner - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (file missing)

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: AudioDeviceService - SSS - C:\WINDOWS\system32\AudioDeviceService.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Client Virtualization Handler (cvhsvc) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE (file missing)

O23 - Service: ESLWireAC - (Turtle Entertainment) - C:\WINDOWS\system32\drivers\ESLWireACD.sys

*O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - Unknown owner - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe (file missing)

O23 - Service: IO.DLL Driver (io.sys) - Unknown owner - C:\WINDOWS\system32\drivers\io.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: WireHelpSvc - Unknown owner - C:\Program Files\Common Files\WireHelpSvc.exe

O23 - Service: XobniService - Xobni Corporation - C:\Program Files\Xobni\XobniService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ambfilt - Creative - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys

O23 - Service: apf001 - Unknown owner - C:\Game\SoftnyxGame\RakionLS\Bin\apf001.sys (file missing)

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: cpuz132 - Unknown owner - C:\DOCUME~1\Soni\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys (file missing)

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: ESLvnic Virtual Network 32 Bit (ESLvnic1) - Turtle Entertainment GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\ESLvnic.sys

O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: Hamachi Network Interface (hamachi) - LogMeIn, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: nProtect GameGuard Service (npggsvc) - INCA Internet Co., Ltd. - C:\WINDOWS\system32\GameMon.des

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Microsoft Office Diagnostics Service (odserv) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing)

O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE (file missing)

O23 - Service: Office Software Protection Platform (osppsvc) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (file missing)

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: PORTIO - Unknown owner - C:\Documents and Settings\Soni\Desktop\JungleFlasher.0.1.69.Beta\JungleFlasher v0.1.69 Beta (75)\portio32.sys (file missing)

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: rak - Unknown owner - C:\WINDOWS\system32\rakion.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: SANDRA - Unknown owner - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP1a\WNt500x86\Sandra.sys (file missing)

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - Unknown owner - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010.SP1a\RpcAgentSrv.exe (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Unknown owner - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe (file missing)

O23 - Service: Intel (R) System Management BIOS Service (SMBios) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SMBios.sys

O23 - Service: TAP-Win32 Adapter V9 (tap0901) - The OpenVPN Project - C:\WINDOWS\SYSTEM32\DRIVERS\tap0901.sys

O23 - Service: UAExt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\UAExt.sys

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: VIA USB Host Controller Lower Filter (vulfnths) - VIA Technologies, Inc. - C:\WINDOWS\System32\Drivers\vulfnth.sys

O23 - Service: VIA USB Roothub Lower Filter (vulfntrs) - VIA Technologies, Inc. - C:\WINDOWS\System32\Drivers\vulfntr.sys

O23 - Service: Windows Media Player Network Sharing Service (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

O23 - Service: XDva296 - Unknown owner - C:\WINDOWS\system32\XDva296.sys (file missing)

O23 - Service: XDva388 - Unknown owner - C:\WINDOWS\system32\XDva388.sys (file missing)

O23 - Service: XDva389 - Unknown owner - C:\WINDOWS\system32\XDva389.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



66 Servicios.

18 de Carga Automatica.

47 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

En el log del SPROCES, vemos todas estas claves que intentan cargarse desde RUNONCE, lo cual se hace una vez y desaparecen tras ello, pero en tu caso persisten... ??? Sugerimos eliminarlas:





O4 - HKUS\.DEFAULT\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'Default user')



O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')



O4 - HKUS\S-1-5-19\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'Servicio Local')



O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Servicio Local')



O4 - HKUS\S-1-5-20\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'Servicio de red')



O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Servicio de red')



Para ello lanza el SPROCES, pulsa en SCAN; selecciona dichas claves y pulsa ELIMINAR.







y vemos este fichero sospechoso: C:\windowsupdtt\windowsupdtt.exe



envianoslo para analizar.





y este servicio lanza un IO.SYS muy sospechoso:



O23 - Service: IO.DLL Driver (io.sys) - Unknown owner - C:\WINDOWS\system32\drivers\io.sys



Envianos ta,mbien dicho fichero para analizar: C:\WINDOWS\system32\drivers\io.sys



Para ello:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 4-9.2011

[waw]

el ordenador en el que tenia este "virus" ya no me funciona :/ os informare si me funciona o ya me compro otro..

[msc hotline sat]

Mira si te arranca en MODO SEGURO, y si no, dinos si se enciende algun led cuando intentas arrancar... y nos comentas el resultado.



saludos



ms, 4-9-2011

[waw]

cuando lo arranco las luces de mi fuente de alimentacion se encienden por un instante junto a los ventiladores y no da tiempo ni a que aparezca algo en la pantalla cuando se apaga de repente, le he quitado la grafica por si puede que sea fallo de tal, pero yo creo que se trata de la fuente de alimentacion, pero me la compre hace poco y eso me hace dudar que ya sea algo del procesador o de la placa base en si no?

[msc hotline sat]

Un cruce en cualquier componente, incluido disco duro y demas, puede "amorrar" la fuente, pero aunque la haya cambiado recientemente, lo mas probable es que sea otra vez la fuente.



Cuando apaga el PC, espera 5-10 segundos antes de abrirlo de nuevo ???



De lo contrario, no ha habido tiempo de que se descarguen los condensadores electrolticos y al ser fuente conmutada, puede dañarlos si les aplica tension de nuevo.



Si no ha tenido en cuenta esta regla hasta ahora, cambie la fuente y diganos si asi se ha solucionado el problema, y ya sabe para el futuro ...



saludos



ms, 5-9-2011

[waw]

Gracias por la advertencia la tendre en cuenta para cuando me compren uno nuevo, porque aunque le haya cambiado la fuente hace poco tenia muchisimis años el ordenador, y la placa base no perdona! asique gracias por la ayuda del virus y del ordenador ^^ podeis cerrar el post si quereis :)

[msc hotline sat]

Pues por lo indicado damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 5-9-2011