Spywares que se me habían metido en el ordenador, los había conseguido eliminar, pero este es un virus muy
raro que a continuación os explico como me ataca:
Bueno, para empezar cuando enciendo el ordenador en vez de verse los tipicos iconos del escritorio y la
barra de tareas, ami no me aparece, no sale nada. Tengo que hacer el control+alt+supr para abrir el proceso
de tareas y ejecutar desde ahi todo abriendo nuevas tareas. Lo cachondo es que en prueba de errores
tampoco me salen los iconos ni la barra de tareas. El problema se complica aun mas cuando intento abrir los
antivirus o algunos programas parecidos y no me deja abrirlos, por ejemplo el Spy Sweeper el SpyBot etc sin
embargo programas como el Hijakctis si me deja y he podido comprobar nuevas entradas, pero cuando las
elimino se van pero cuando lo vuelvo a abrir están ahi y obviamente creo que el problema se debe a esas
entradas y no se como eliminarlas. Os dejo dichas entradas y tambiénreseñar que al abrir el arbol de
procesos me aparecen procesos sin descripción, es decir donde pone nombre de imagen no pone nada y a
la derecha en nombre de usuario SYSTEM tendre como 13 entradas asi que deben ser las culpables del
virus. Agradecería que me ayudaseis por favor si alguien sabe y aqui os dejo las nuevas entradas que he visto
desde el hijacktis que no se me van GRACIAS y SALUDOS
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\Service.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\notepad.exe
C:\Alfon\Antivirus\Hijactis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\catssmss.exe
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
C:\ARCHIV~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
C:\ARCHIV~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [Protocol Connection]
O4 - HKCU\..\Run: [Protocol Connection] C
O4 - Startup: ATnotes.lnk.disabled
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:\ARCHIV~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file
missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class)
-
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{637B163E-5B52-4F46-A252-F2D50AE01510}: NameServer =
85.255.114.55 85.255.112.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6AF92C5-E2E1-48FD-953A-F727603D7E22}: NameServer =
85.255.114.55,85.255.112.128
O21 - SSODL: IEFilter - {D4F6740B-F6A3-43A3-B743-D645102E70B7} -
C:\WINDOWS\system32\IEFilter.dll
O21 - SSODL: Protocol WebControl - {FB6DBF3B-E042-48F7-A343-F18D01D91D71} -
C:\WINDOWS\System32\sbliay32.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: DirectX DLL Register Support Service - Unknown - C:\WINDOWS\System32\dxdllsvc.exe (file
missing)
O23 - Service: Servicio del administrador de discos lógicos - Unknown -
C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown -
C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown -
C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: PC Tools Spyware Doctor - Unknown - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine - Webroot Software, Inc. - C:\Archivos de
programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows PnP Driver - Unknown - C:\WINDOWS\System32\winpnp.exe (file missing)
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Las entradas del principio son las que borro pero luego vuelven a aparecer, además el archivo catssmss.exe
creo que es el culpable del virus ya que me aparece en el arbol deprocesos y no me deja terminarlo tampoco
Insisto gracias por vuestra ayuda de antemano.
msc hotline sat Virus Research Engineer