mensaje "lookin at iexplore" multiple (SOLUCIONA

manunavafer · Mensaje por **manunavafer** » 14 Dic 2005, 15:57

Me dirijo al foro porque sospecho que tengo algun malware en mi pc. Cada vez que arranco el ordenador me sale en la pantalla un cuadro de mensaje que pone "lookin at iexplore". Este mensaje se multiplica en la pantalla cada 2 segundos, hasta que se me llena la panatalla de cuadros de mensajes iguales. Al eliminarlos dejan de salir durante un rato, pero enseguida vuelven otra vez a salir. Tambien tengo bloqueada la conexion a internet,por lo que no puedo acceder a la red desde mi pc. Le he pasado el ad-aware, el spybot, y las utilidades recomendadas en otras ocasiones por el foro como son el elistara, elitempo y elitrip,asi como el cwshredder. Todas han encontrado y eliminado bichos, pero aun asi los mensajes multiples persisten y sigo sin tener conexion a internet. El antivirus que utilizo, AVG free edition tambien me ha detectado 2 o 3 virus y los ha eliminado (teoricamente, claro)

Tambien he hecho fix con el Hijackthis y creo que hay agunas entradas sospechosas. Os posteo mi log para que me lo analiceis y confio en que podais ayudarme. Gracias y Saludos

Logfile of HijackThis v1.99.1

Scan saved at 15:38:59, on 14/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\slrundll.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Grisoft\AVG Free\avgcc.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Limpiar\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\webvdaze.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Meeting Messenger] C:\WINDOWS\system32\webvdaze.exe

O4 - HKCU\..\Run: [Meeting Messenger] C:\WINDOWS\system32\webvdaze.exe

O4 - Global Startup: KVG.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127937370562

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: IEFilter - {5BE1722F-1B16-4BA8-8744-A2486F39C214} - C:\WINDOWS\system32\IEFilter.dll

O21 - SSODL: Meeting Component - {6374E681-324D-41F7-AFB1-63F521FE948C} - C:\WINDOWS\system32\msimcdlg.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

Mensaje por **maura63** » 14 Dic 2005, 16:40

Elimina

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

Las conoces ?

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\webvdaze.exe

O4 - HKLM\..\Run: [Meeting Messenger] C:\WINDOWS\system32\webvdaze.exe

O4 - HKCU\..\Run: [Meeting Messenger] C:\WINDOWS\system32\webvdaze.exe

O4 - Global Startup: KVG.exe

Saludos

maura63

Mensaje por **msc hotline sat** » 14 Dic 2005, 16:47

Cuidado con esta !!! su eliminaciom te impediría acceder a windows !!! Debe restaurarse , no eliminarse.

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\webvdaze.exe

_____________________________________

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"Shell"="Explorer.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"Run"=""

________________________________

Selecciona el script entre lineas y copialo al portapapeles con ALT-C y abre el bloc de Notas y lo pegas con ALT-V, luego guardas el fichero como XP.REG y finalmente lo ejecutas con doble click sobre su icono y aceptas los cambios en el registro

Y por otro lado, el KVG probablemente es un virus., Arranca en modo seguro y lanza tu antivirus actualizado

saludos

ms, 14-12-2005

Mensaje por **msc hotline sat** » 14 Dic 2005, 17:10

Sobre el KVG.EXE recordaba haberlo leido, pero no tenia presente la informacion, y he encontrado esto:

[quote="Panda"]
BodyOnLoad es un programa desarrollado para aprovecharse de la vulnerabilidad crítica de Ejecución Remota de Código de ventanas Javascript en Internet Explorer. Su objetivo es descargar cualquier clase de archivo en el ordenador, con el peligro que ello conlleva si los ficheros corresponden a ejemplares de malware, que se alojarían en páginas web de contenido para adultos. En la práctica, el proceso de infección se iniciaría con la visita del usuario a dichas páginas, que redirigen a una segunda en la que se encuentra alojado BodyOnLoad.

BodyOnLoad ya ha sido empleado para descargar y ejecutar una copia de un troyano que Panda Software detecta como Downloader.DLE. Aprovechándose del mencionado problema de seguridad, el citado exploit instala en los equipos un archivo -KVG.exe-, que pertenece al citado troyano y descarga y ejecuta dos archivos más -all.exe y XPsys.exe-. Los dos últimos también son componentes de Downloader.DLE y tienen como finalidad bajar los niveles de seguridad del navegador, ser punto de entrada de otro malware e instalar en el equipo varios ficheros que pertenecen a PicsPlace, programa que continuamente abre páginas de contenido para adultos.

La segunda amenaza a la que nos referimos hoy es AVKiller.V que, como todos los troyanos, no posee medios propios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios). En el equipo al que afecta, este troyano lleva a cabo varias acciones, entre las que destacan las siguientes:

- Intenta descargar -de una página web- el archivo SERVER.EXE, que corresponde a un troyano que Panda Software detecta como Banker.BHD.

- Elimina entradas del Registro de Windows que pertenecen a programas de seguridad, para impedir que se ejecuten cada vez que se inicia Windows.

- Borra, del directorio "Archivos de programa", todos los ficheros de la subcarpeta MICROSOFT ANTISPYWARE (que corresponden al antispyware de Microsoft).

- Crea dos archivos: STRT.EXE, que es una copia suya; y VM2.DLL, componente de AVKiller.V que se instala en el equipo para ejecutarse a la vez que Internet Explorer.

- Genera una entrada en el Registro de Windows, para ejecutarse siempre que se enciende el equipo.

Samony.B, por su parte, es un gusano con características de backdoor que se propaga a través de correo electrónico, en un mensaje escrito en inglés que tiene en el campo del asunto el texto: "Account # 394875948JNO Wed, 28", e incluye un archivo denominado "MAIN_23_C.EXE".

Tras instalarse en un ordenador Samony.B realiza, entre otras, las acciones que se mencionan a continuación:

- Permanece a la escucha del puerto 321 para recibir órdenes de control remoto (descargar, ejecutar, copiar y borrar archivos, listar directorios, etc.), que permiten que el ordenador afectado pueda ser administrado de forma remota.

- Obtiene las contraseñas almacenadas en el ordenador como, por ejemplo, en Protected Storage, donde se encuentran las claves de Outlook, Internet Explorer, etc.

- Registra las pulsaciones de teclado.

- Descarga una determinada página web, en la que aparece un número. Si la cifra es igual o mayor que 0013, Samony.B intentará actualizarse a sí mismo descargando el archivo DOWNLOAD.EXE de la referida página.

- Envía una copia suya a todos los contactos que encuentra en la Libreta de Direcciones de Windows y a las direcciones que encuentre en archivos con extensión HTML.
[/quote]

Interesa que nos envie una muestra de este fichero KVG.EXE a zonavirus@satinfo.es anexado a un mail en cuyo texto indique como referencia "REF KVG" para poder analizarlo e implementar su control y eliminacion en nuestras utilidades, de lo que le informartiamos como respyesta de este Tema

saludos

ms, 14-12-2005

manunavafer · Mensaje por **manunavafer** » 15 Dic 2005, 00:45

he eliminado las entradas que me habeis dicho de mi log excepto la que me habeis dicho que tengo que reparar, el caso es que no entiendo bien como se repara. Ruego me expliqueis paso a paso como debo de hacerlo. El problema persiste y se me sigue llenado la pantalla de mensajes y sigo sin tener acceso a internet. Tambien comentaros que el antivirus, y los antipywares, asi como el zonealarm, no me funcionan con normalidad, pues el antivirus no se ejecuta al inicio de windows(ni se actualiza), el zonealarm tampoco, y los antispywares y el antivirus no me funcionan en modo seguro. Tambien he intentado mandaros el archivo sospechoso KVG.exe, pero parece que ya lo he eliminado al hacer fix, pues en mi sistema solo se hace referencia a ese archivo en el backup del hijackthis.

Os posteo mi nuevo log y confio en que podais ayudarme.

Gracias y un saludo.

Logfile of HijackThis v1.99.1

Scan saved at 0:23:47, on 15/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\slrundll.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Limpiar\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\webvdaze.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127937370562

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: IEFilter - {5BE1722F-1B16-4BA8-8744-A2486F39C214} - C:\WINDOWS\system32\IEFilter.dll

O21 - SSODL: Meeting Component - {6374E681-324D-41F7-AFB1-63F521FE948C} - C:\WINDOWS\system32\msimcdlg.dll (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

Mensaje por **msc hotline sat** » 15 Dic 2005, 06:36

La O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

que te indico Maura63 eliminaras,m sigues teniendola y es importante que la elimines.

Para ello arranca en modo seguro y procede...

Aparte sigues sin haber restaurado:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\webvdaze.exe

y ello es tan facil como crear el fichero que te indiqué y ejecutarlo, y aceptar los cambios.:

Selecciona el script entre lineas y copialo al portapapeles con ALT-C y abre el bloc de Notas y lo pegas con ALT-V, luego guardas el fichero como XP.REG y finalmente lo ejecutas con doble click sobre su icono y aceptas los cambios en el registro

_____________________________________

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"Shell"="Explorer.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"Run"=""

________________________________

Vuelvelo a intentar que está muy claro !

saludos

ms, 15-12-2005

manunava · Mensaje por **manunava** » 15 Dic 2005, 17:48

la entrada La O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

no la consigo eliminar, ni en modo normal ni en modo a prueba de fallos. ¿como la elimino? Lo del registro ya lo he hecho (en mod normal) y creo que ya se ha incluido las entradas en el registro. las pantallas multiples me siguen apareciendo.

mi log actuas es este, gracias y saludos

Logfile of HijackThis v1.99.1

Scan saved at 17:41:29, on 15/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\slrundll.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Limpiar\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127937370562

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: IEFilter - {5BE1722F-1B16-4BA8-8744-A2486F39C214} - C:\WINDOWS\system32\IEFilter.dll

O21 - SSODL: Meeting Component - {6374E681-324D-41F7-AFB1-63F521FE948C} - C:\WINDOWS\system32\msimcdlg.dll (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

Mensaje por **msc hotline sat** » 15 Dic 2005, 18:34

Ha conseguido restaurar la clave de marras gracias al REG, pero la otra 023 que carga un SERVICE.EXE desde el directorio de sistema tiene toda la pinta de un virus que puede ser cualquiera de los que usa como gusano un fichero con el nombre de SERVICE.EXE, que no es el del sistema operativo que se llama SERVICES.EXE

http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=service%2Eexe&alt=1

Por tanto, envienos este fichero SERVICE.EXE a zonavirus@satinfo.es anexado a un mail en cuyo texto nos indique como referencia REF SERVICE y lo analuzaremos para desarrollar, si procede, herramienta de eliminacion.

No se confunda entre SERVICE y SERVICES que es muy diferente en este caso!!!

saludos

ms, 15-12-2005

manunavafer · Mensaje por **manunavafer** » 18 Dic 2005, 04:07

creo que ya se lo que tengo, es un virus que carga dos procesos csrss.exe y smss.exe, pero no se como eliminarlos. Le he pasado el panda active scan, pero aun siguen ahi. Espero que podais ayudarme, un saludo

Mensaje por **msc hotline sat** » 18 Dic 2005, 07:03

Y donde ha visto que tenga cargados estos dos procesos ???

[quote="manunavafer"]creo que ya se lo que tengo, es un virus que carga dos procesos csrss.exe y smss.exe[/quote]

Ni rastro de ellos en procesos activos ni en claves de carga del HJT.

Informenos al respecto como respuesta de este Tema, gracias

saludos

ms, 18-12-2005

manunavafer · Mensaje por **manunavafer** » 18 Dic 2005, 13:52

Los tengo activados como procesos activos, os voy a mandar mi nuevo log para ver si los encontrais por ahi, pero os aseguro que estan en los procesos activos. Lo que no se es si son esos procesos los que hacen que se me llene la panta lla del mensaje lookin at iexplore. Comentaros tambien que este mensaje multiple que me sale, cuando lo quito me suele dar un error de iexplore y me pregunta que si quiero enviar informe de errores, si le doy que si, el mensaje suele desaparecer, pero cuando vuelvo a encender el pc me vuelve a salir de continuo.

El service.exe no lo consigo eliminar de ningumanera, y como archivo, esta vacio, ocupa 0 bytes. Os posteo el log. Saludos y gracias.

Logfile of HijackThis v1.99.1

Scan saved at 13:40:28, on 18/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Limpiar\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127937370562

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: IEFilter - {5BE1722F-1B16-4BA8-8744-A2486F39C214} - C:\WINDOWS\system32\IEFilter.dll

O21 - SSODL: Meeting Component - {6374E681-324D-41F7-AFB1-63F521FE948C} - C:\WINDOWS\system32\msimcdlg.dll (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

manunavafer · Mensaje por **manunavafer** » 19 Dic 2005, 00:18

El log del mensaje anterior es el log en modo a prueba de fallos. Aqui os mando el log en modo normal para que le hecheis un vistazo. un saludo

Logfile of HijackThis v1.99.1

Scan saved at 0:11:18, on 19/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\slrundll.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Limpiar\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127937370562

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: IEFilter - {5BE1722F-1B16-4BA8-8744-A2486F39C214} - C:\WINDOWS\system32\IEFilter.dll

O21 - SSODL: Meeting Component - {6374E681-324D-41F7-AFB1-63F521FE948C} - C:\WINDOWS\system32\msimcdlg.dll (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

Mensaje por **msc hotline sat** » 19 Dic 2005, 10:30

Pues el CSRSS.EXE no figura en el HJT, a diferencia del SMSS.EXE, pero que es ejecutado desde el directorio de sistema, y ello es normal por ser ficheros del sistema operativo.

operativo, (como el CSRSS.EXE si lo hubiera y fuera ejecutado desde alli)

Estos nombres de fichero pueden ser utilizados c

como nombre de gusanos, pero normalmente no sobreescriben los del sistema de igual nombre, que residen en la carpeta de sistema, c:\windows\system32 para el XP, sino que los copian en la carpeta anterior a esta, o sea en C:\windows o en una posterior que crean a tal fin.

Ver lo indicado en alguno de los virus descritos a continuacion:

http://search.freefind.com/find.html?query=csrss.exe&t=s&lang=es&mode=all&pid=r&id=8696148

Lo unico al respecto que figura en su HJT es :

C:\WINDOWS\System32\smss.exe

lo cual es un procesi del sistema operativo por lo antes indicado

Sobre el fichero SERVICE.EXE si tiene 0 bytes no hay nada dentro, y pudiera ser que un antivirus ya lo hubiera eliminado. Arranque en modo seguro y elimine dicho fichero y luego la clave de carga del mismo:

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

Si hay algun problema al respecto, informanos como respuesta de este Tema, gracias

saludos

ms, 19-12-2005

manunavafer · Mensaje por **manunavafer** » 20 Dic 2005, 01:01

He eliminado el fichero en modo seguro y despues he eliminado la clave.Cuando lo he reiniciado tanto el archivo como la clave siguen ahí. Tambien he intentado matar el archivo con el killbox, pero tras su eliminacion vuelve a aparecer. Los mensajes me siguen apareciendo por la panatalla, windows update no me permite actualizar nada, ni siquiera ver si tengo actualizaciones disponibles. ¿que puedo hacer? ¿debo resetear mi ordenador? Tambien le he pasado un antispyware online ( el de trendmicro) y ahora mi sistema esta limpio. Espero podais ayudarme porque yo ya me empiezo a desesperar. Gracias y un saludo. Os adjunto mi nuevo log (por si sirve de algo)

Logfile of HijackThis v1.99.1

Scan saved at 1:00:54, on 20/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\slrundll.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Limpiar\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127937370562

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{22F94163-3D31-4B00-B086-FE26DC08C37B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: IEFilter - {5BE1722F-1B16-4BA8-8744-A2486F39C214} - C:\WINDOWS\system32\IEFilter.dll

O21 - SSODL: Meeting Component - {6374E681-324D-41F7-AFB1-63F521FE948C} - C:\WINDOWS\system32\msimcdlg.dll (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

Mensaje por **msc hotline sat** » 20 Dic 2005, 07:19

Bueno, esto de que estña limpio es un decir, verdad ? Tras pasar el antispuware de Trend sigue estando tan "·sucio" como antes, en lo que respecta al SERVICE.EXE y su clave de carga, que es lo que nos preocupa.

Prueba de arrancar en modo seguro con solo simbolo de sistema, y desde MSDOS ur a la carpèta de sistema y borrar el dichoso SERVICE.EXE entrando

DEL C:\windows\system32\service.exe <ENTER>

y en dicho modo lanza el HJT. selecciona la clave en cuestion y la eliminas con FIX:

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

Tras ello reinicias normal y ves si se ha eliminado o no.

Si persiste, entonces es que hay procesos lanzados desde claves no bisibles con el HJT, en cuyo caso puedes probar nuestra utilidad en desarrolo SPROCES.EXE y postearnos su log (C:\SPROCLOG.TXT) como respuesta dee ste Tema, para ver mas alla del HJT

La puedes probar descargamdola de :

SPROCES (en desarrollo)

http://www.zonavirus.com/descargas/sproces.asp

saludos

ms, 20-12-2005

manunavafer · Mensaje por **manunavafer** » 20 Dic 2005, 07:55

la opcion de eliminar el archivo no ha tenido exito por lo que ejecuatdel nuevo programa. Aqui os mando el log para que le hecheis un vistazo. Saludos.

Tue Dec 20 07:53:27 2005

SProces v1.8 (c)2005 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Administrador de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de inicio de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de servicios y controlador, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Explorador de Windows, Microsoft Corporation

C:\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE -> Atiptaxx.exe, 6.14.10.5019, ATI Desktop Control Panel, ATI Technologies, Inc.

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE -> iTunesHelper.exe, 6.0.1.3, iTunesHelper Module, Apple Computer, Inc.

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE -> AvgCC.EXE, 7,1,0,355, AVG Control Center, GRISOFT, s.r.o.

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE -> avgemc.exe, 7,1,0,371, AVG E-Mail Scanner, GRISOFT, s.r.o.

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE -> zlclient.exe, 6.1.737.000, Zone Labs Client, Zone Labs, LLC

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE -> IEXPLORE.EXE, 6.00.2600.0000, Internet Explorer, Microsoft Corporation

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE -> avgamsvr.EXE, 7,1,0,365, AVG Alert Manager, GRISOFT, s.r.o.

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGUPSVC.EXE -> avgupdsvc.EXE, 7,1,0,349, AVG Update Service, GRISOFT, s.r.o.

C:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE -> CDANTSRV.EXE, 4.20.020, Macrovision RTS Service, Macrovision

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE -> CTsvcCDA.EXE, 1.0.1.0, Creative Service for CDROM Access, Creative Technology Ltd

C:\WINDOWS\SYSTEM32\SLSERV.EXE -> slserv.exe, 3.80.01MC15, , Smart Link

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\VIRTUAL CD V4 SDK\SYSTEM\VCSSECS.EXE -> VCSSecS.exe, 4, 3, 0, 1, Virtual CD v4.3 SDK - Security Service, H+H Software GmbH

C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE -> vsmon.exe, 6.1.737.000, TrueVector Service, Zone Labs, LLC

C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WROS.EXE -> WrOS.exe, 1, 1, 2, 0, WrOS, iVasion, a Routerware Company

C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE -> MSPMSPSV.EXE, 7.00.00.1954, WMDM PMSP Service, Microsoft Corporation

C:\WINDOWS\SYSTEM32\FXSSVC.EXE -> FXSSVC.EXE, 5.2.2600.2180 (xpsp_sp2_rtm.040803-2158), Servicio de fax, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SLRUNDLL.EXE -> SLRunDll.dll, 3.80.01MC15, SLRunDll, Smart Link

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE -> iPodService.exe, 6.0.1.3, iPodService Module, Apple Computer, Inc.

C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE -> MSIMN.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Outlook Express, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE -> msmsgs.exe, 4.7.3001, Windows Messenger, Microsoft Corporation

C:\DOCUMENTS AND SETTINGS\MANUEL\MIS DOCUMENTOS\PROGRAMAS BAJADOS DE LA RED\PROGRAMAS DE OPTIMIZACION DE RENDIMIENTO\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.

Llamadas en el Registro de Sistema:

-----------------------------------

[HKCU\...\Windows] "Run"=""

[HKLM\...\Winlogon] "Shell"="Explorer.exe"

[HKLM\...\Winlogon] "UserInit"="C:\WINDOWS\system32\userinit.exe,"

[HKLM\...\Windows] "AppInit_DLLs"=""

[HKCR\exefile] ""%1" %*"

[HKCR\comfile] ""%1" %*"

[HKCR\cmdfile] ""%1" %*"

[HKCR\batfile] ""%1" %*"

[HKCR\piffile] ""%1" %*"

[HKCR\scrfile] ""%1" /S"

[HKLM\...\Run] "ATIModeChange"="Ati2mdxx.exe"

[HKLM\...\Run] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"

[HKLM\...\Run] "iTunesHelper"=""C:\Archivos de programa\iTunes\iTunesHelper.exe""

[HKLM\...\Run] "AVG7_CC"="C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP"

[HKLM\...\Run] "AVG7_EMC"="C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe"

[HKLM\...\Run] "Zone Labs Client"="C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

[ShellServiceObjectDelayLoad] "PostBootReminder" {7849596a-48ea-486e-8937-a2a3009f31a9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "CDBurn" {fbeb8a05-beee-4442-804e-409d6c4515e9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "WebCheck" {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> %SystemRoot%\System32\webcheck.dll

[ShellServiceObjectDelayLoad] "SysTray" {35CEC8A3-2BE6-11D2-8773-92E220524153} -> C:\WINDOWS\System32\stobject.dll

[ShellServiceObjectDelayLoad] "IEFilter" {5BE1722F-1B16-4BA8-8744-A2486F39C214} -> C:\WINDOWS\system32\IEFilter.dll

[ShellServiceObjectDelayLoad] "Meeting Component" {6374E681-324D-41F7-AFB1-63F521FE948C} -> C:\WINDOWS\system32\msimcdlg.dll

Internet Explorer:

------------------

[HKCU] "Start Page"="http://www.google.com/"

[HKLM] "Start Page"="about:blank"

[HKCU] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

[HKLM] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

BHO: "" {53707962-6F74-2D53-2644-206D7942484F} -> C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

BHO: "Google Toolbar Helper" {AA58ED58-01DD-4d91-8333-CF10577473F7} -> c:\windows\googletoolbar2.dll

BHO: "EpsonToolBandKicker Class" {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} -> C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

URLSearchHooks (HKCU): "Hook de búsqueda de direcciones URL de Microsoft" {CFBFAE00-17A6-11D0-99CB-00C04FD64497} -> %SystemRoot%\System32\shdocvw.dll

ToolBar: "&Google" {2318C2B1-4965-11d4-9B18-009027A5CD4F} -> c:\windows\googletoolbar2.dll

ToolBar: "EPSON Web-To-Page" {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -> C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

Servidores DNS: 80.58.61.250,80.58.61.254

Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------

Contenido del CONFIG.SYS:

-------------------------

Contenido del AUTOEXEC.BAT:

---------------------------

Contenido del WINSTART.BAT:

---------------------------

Contenido del HOSTS:

--------------------

manunavafer · Mensaje por **manunavafer** » 20 Dic 2005, 07:56

la opcion de eliminar el archivo no ha tenido exito por lo que ejecutado el nuevo programa. Aqui os mando el log para que le echeis un vistazo. Saludos.

Tue Dec 20 07:53:27 2005

SProces v1.8 (c)2005 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Administrador de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de inicio de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de servicios y controlador, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Explorador de Windows, Microsoft Corporation

C:\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE -> Atiptaxx.exe, 6.14.10.5019, ATI Desktop Control Panel, ATI Technologies, Inc.

C:\ARCHIVOS DE PROGRAMA\ITUNES\ITUNESHELPER.EXE -> iTunesHelper.exe, 6.0.1.3, iTunesHelper Module, Apple Computer, Inc.

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE -> AvgCC.EXE, 7,1,0,355, AVG Control Center, GRISOFT, s.r.o.

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE -> avgemc.exe, 7,1,0,371, AVG E-Mail Scanner, GRISOFT, s.r.o.

C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE -> zlclient.exe, 6.1.737.000, Zone Labs Client, Zone Labs, LLC

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE -> IEXPLORE.EXE, 6.00.2600.0000, Internet Explorer, Microsoft Corporation

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE -> avgamsvr.EXE, 7,1,0,365, AVG Alert Manager, GRISOFT, s.r.o.

C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGUPSVC.EXE -> avgupdsvc.EXE, 7,1,0,349, AVG Update Service, GRISOFT, s.r.o.

C:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE -> CDANTSRV.EXE, 4.20.020, Macrovision RTS Service, Macrovision

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE -> CTsvcCDA.EXE, 1.0.1.0, Creative Service for CDROM Access, Creative Technology Ltd

C:\WINDOWS\SYSTEM32\SLSERV.EXE -> slserv.exe, 3.80.01MC15, , Smart Link

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\VIRTUAL CD V4 SDK\SYSTEM\VCSSECS.EXE -> VCSSecS.exe, 4, 3, 0, 1, Virtual CD v4.3 SDK - Security Service, H+H Software GmbH

C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE -> vsmon.exe, 6.1.737.000, TrueVector Service, Zone Labs, LLC

C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WROS.EXE -> WrOS.exe, 1, 1, 2, 0, WrOS, iVasion, a Routerware Company

C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE -> MSPMSPSV.EXE, 7.00.00.1954, WMDM PMSP Service, Microsoft Corporation

C:\WINDOWS\SYSTEM32\FXSSVC.EXE -> FXSSVC.EXE, 5.2.2600.2180 (xpsp_sp2_rtm.040803-2158), Servicio de fax, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SLRUNDLL.EXE -> SLRunDll.dll, 3.80.01MC15, SLRunDll, Smart Link

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE -> iPodService.exe, 6.0.1.3, iPodService Module, Apple Computer, Inc.

C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE -> MSIMN.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Outlook Express, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE -> msmsgs.exe, 4.7.3001, Windows Messenger, Microsoft Corporation

C:\DOCUMENTS AND SETTINGS\MANUEL\MIS DOCUMENTOS\PROGRAMAS BAJADOS DE LA RED\PROGRAMAS DE OPTIMIZACION DE RENDIMIENTO\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.

Llamadas en el Registro de Sistema:

-----------------------------------

[HKCU\...\Windows] "Run"=""

[HKLM\...\Winlogon] "Shell"="Explorer.exe"

[HKLM\...\Winlogon] "UserInit"="C:\WINDOWS\system32\userinit.exe,"

[HKLM\...\Windows] "AppInit_DLLs"=""

[HKCR\exefile] ""%1" %*"

[HKCR\comfile] ""%1" %*"

[HKCR\cmdfile] ""%1" %*"

[HKCR\batfile] ""%1" %*"

[HKCR\piffile] ""%1" %*"

[HKCR\scrfile] ""%1" /S"

[HKLM\...\Run] "ATIModeChange"="Ati2mdxx.exe"

[HKLM\...\Run] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"

[HKLM\...\Run] "iTunesHelper"=""C:\Archivos de programa\iTunes\iTunesHelper.exe""

[HKLM\...\Run] "AVG7_CC"="C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP"

[HKLM\...\Run] "AVG7_EMC"="C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe"

[HKLM\...\Run] "Zone Labs Client"="C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

[ShellServiceObjectDelayLoad] "PostBootReminder" {7849596a-48ea-486e-8937-a2a3009f31a9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "CDBurn" {fbeb8a05-beee-4442-804e-409d6c4515e9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "WebCheck" {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> %SystemRoot%\System32\webcheck.dll

[ShellServiceObjectDelayLoad] "SysTray" {35CEC8A3-2BE6-11D2-8773-92E220524153} -> C:\WINDOWS\System32\stobject.dll

[ShellServiceObjectDelayLoad] "IEFilter" {5BE1722F-1B16-4BA8-8744-A2486F39C214} -> C:\WINDOWS\system32\IEFilter.dll

[ShellServiceObjectDelayLoad] "Meeting Component" {6374E681-324D-41F7-AFB1-63F521FE948C} -> C:\WINDOWS\system32\msimcdlg.dll

Internet Explorer:

------------------

[HKCU] "Start Page"="http://www.google.com/"

[HKLM] "Start Page"="about:blank"

[HKCU] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

[HKLM] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

BHO: "" {53707962-6F74-2D53-2644-206D7942484F} -> C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

BHO: "Google Toolbar Helper" {AA58ED58-01DD-4d91-8333-CF10577473F7} -> c:\windows\googletoolbar2.dll

BHO: "EpsonToolBandKicker Class" {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} -> C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

URLSearchHooks (HKCU): "Hook de búsqueda de direcciones URL de Microsoft" {CFBFAE00-17A6-11D0-99CB-00C04FD64497} -> %SystemRoot%\System32\shdocvw.dll

ToolBar: "&Google" {2318C2B1-4965-11d4-9B18-009027A5CD4F} -> c:\windows\googletoolbar2.dll

ToolBar: "EPSON Web-To-Page" {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -> C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

Servidores DNS: 80.58.61.250,80.58.61.254

Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------

Contenido del CONFIG.SYS:

-------------------------

Contenido del AUTOEXEC.BAT:

---------------------------

Contenido del WINSTART.BAT:

---------------------------

Contenido del HOSTS:

--------------------

Mensaje por **msc hotline sat** » 20 Dic 2005, 08:26

No veo ninguna clave al respecto

En cuanto llegue a la empresa lo analizaremos con herramientas al respecto que no tengo en casa

saludos

ms, 20-12-2005

Mensaje por **msc hotline sat** » 20 Dic 2005, 20:00

Al parecer se trata de un proceso de nombre aleatorio, por lo que se hace dificil el identificarlo sin conocer cadenas de control.

Vea otro Tema en el que han conseguido saber el proceso, y con el que si nos envian el fichero, podremoa controlarlo y eliminarlo con una proxima version del ELISTARA:

https://foros.zonavirus.com/viewtopic.php?t=9714&highlight=lookin

Si viera o detectara un proceso similar, diganoslo para obrar en consecuencia

saludos

ms, 20-12-2005

manunavafer · Mensaje por **manunavafer** » 20 Dic 2005, 23:45

le he pasado el antivirus online ie-trust antivirus web scanner y me ha detectado un archivo que se llama "TFTP672" cuyo tipo de infeccion es "win32 Rbot AKX"., pero el antirus online no puede desinfectarlo y tampoco eliminarlo. ¿sera este el causante de mi problema? ¿como puedo eliminarlo? como procesos sospechosos tengo 2,(csrss.exe, vcssecs.exe) que como ya os comente en un mensaje anterior, parecen viricos, y aunque no figuren en el log, os aseguro que estan ahí. En el caso que hay igual que el mio, no se indica como acabar con el problema. Espero que con esta nueva informacionpodais ayudarme. Gracias y saludos.

Mensaje por **maura63** » 21 Dic 2005, 12:43

Aunque tengas el SP2, comprueba conectando con windows update que no te falte algun parche.

Parece que ese gusano aprovecha algunas vulnerabilidades del sistema operativo ya parcheadas.

Compruebalo.

Saludos

maura63

Mensaje por **msc hotline sat** » 21 Dic 2005, 13:40

Lo que dices del ONLINE es logico que no lo elimine si no has arramcado en modo seguro, y puedes hacerlo si tienes ADSL con router arrancando en mdoo segiro con finciones de red, y lanzando dicho antivirus

Por otro lado, envianos este fichero de marras, desactivando el antivirus y anexandolo a un mail doirogido a zonavirus@satinfo.es en cuyo texto indiques como referencia "REF TFTP672" y tras analizarlo le informariamos como respuesta de este Tema

saludos

ms, 21-12-2005

manunavafer · Mensaje por **manunavafer** » 21 Dic 2005, 14:56

el antivirus online si lo he ejecutado en modo seguro con funciones de red, pero no me lo ha eliminado. Ya he mandado el archivo para ser analizado. Por otra parte, comentaros que ayer al apagar mi equipo me dio un fallo de "imposible terminar....." en cuyo encabezamiento ponia "Connections Tray". Que yo sepa no tengo nada en el pc con ese nombre, por eso me llamo la atencion. Tambien preguntaros como puedo hacer para que mi equipo se pueda actualizar con windows update. pues como os comente en mensajes anteriores, no me permite descargar, (ni siquiera buscar), actualizaciones. Gracias y saludos.

Mensaje por **msc hotline sat** » 21 Dic 2005, 15:23

Ante todo compruebe que el sistema operativo esté registrado con Microsoft, esto es, si es licencia de un solo usuario, lo haya instalado y registrado conel número de registro de su licencia de uso, y si es corporativo, que no sea una version pirata, pues Microsoft desde Marzo de este año controla las actualizaciones de los sistemas operativos, y pronto lo hará además con todas las aplicaciones. Y si no es legal no podemos ayudarle.

En cuanto a la muestra que nos ha enviado, la analizaremos e informaremos al respecto

saludos

ms, 21-12-2005

Mensaje por **msc hotline sat** » 21 Dic 2005, 15:45

Al interesarme sobre su envio, me informan que no ha llegado ningun mail a la direccion indicada con dicha referencia, por lo que sugiero revise el envio o lo haga de nuevo.

Tan pronto como se reciba, lo procesaremos e informaremos

saludos

ms, 21-12-2005

manunavafer · Mensaje por **manunavafer** » 21 Dic 2005, 17:04

Ha ocurrido un error enl envio del archivo, pero lo he vuelto a mandar y creo que el envio ha sido correcto. En cuanto al windows, el que yo tengo es original, pues vino con el pc cuando lo compre y tengo la clave de producto, y que yo sepa, esta registrado (creo). De todas maneras indicarme como puedo comprobar el registro de windows para verificarlo. Por otra parte, las actualizaciones siempre me funcionarn bien hasta este problema que tengo con el pc. (aunque el firewall de windows nunca me funciono). Espero que podais ayudarme. gracias y saludos.

Mensaje por **msc hotline sat** » 21 Dic 2005, 17:58

No me han dicho que lo hayan recibido, me interesaré por él si no me lo dicen antes de las 18 h 15'

Sobre la informacion solicitada, aqui tienes link a microsoft al respecto:

https://support.microsoft.com/es-es/help/15087/windows-genuine

saludos

ms, 21-12-2005

Mensaje por **msc hotline sat** » 21 Dic 2005, 18:13

Recibido el fichero de marras.

Resulta ya ser detectado por McAfee como SDBOT.gen.AS

Debería ser controlado en consecuencia por tu antivirus ...

Hoy terminaremos el ELISTARA 10.80 con novedades significativas sobre instalacion de DLL en el WinLogon Notify y control de SVCHOSTS.dll y MSCORNET.EXE y a continuacion está en cola un nuevo ELIBAGLA y meteremos una cuña con este nuevo SDBOT en una nueva version del ELITRIIP, que esperamos realizar mañana 22, aunque si nos toca el gordo... :lol: :lol: :lol:

saludos

ms, 21-12-2005

NOTA: MIentras muevelo a cuarentena y reinicia.

manunavafer · Mensaje por **manunavafer** » 22 Dic 2005, 01:06

le he pasado el eliestara 10.79, que es la ultima version que tengo disponible y me ha encontrado dos archivos.exe, pero mi problema persiste. Al intentar actualizar con windows update el codigo que me da de error es el "0x80070424" ¿podeis ayudarme con esto? Ya he comprobado mi version de windows, y es valida. En cuanto tengais listo el programa con el que eliminar el virus hacermelo saber. Gracias y saludos.

Mensaje por **maura63** » 22 Dic 2005, 10:27

Prueba lo siguiente para ver si puedes actualizar

menu de inicio de su sistema, pulsa sobre la opcion ejecutar, y escribe en el recuadro lo siguiente

[color=red]Regsvr32 wuaueng.dll[/color] , aceptar.

Saludos

maura63