MIRAR MI PROBLEMA * (SOLUCIONADO)

pit23 · Mensaje por **pit23** » 14 Mar 2006, 17:53

HOLA A TODOS lo primero, desde hace un tiempo mi ordenador al encenderlo se conecta el solo a internet, se que tengo espias

le paso el spay boot y el ad ware pero al pasar este ultimo me lo apaga y me lo reinicia al analizar windows system32, tengo 2 buenos antivirus y un cortafuegos

esto me paso a raiz de desconectar mi cortafuegos maldita mi idea, no consigo dar con el problema, si alguien puede echarme una mano aqui dejo mi log:

Logfile of HijackThis v1.99.1

Scan saved at 16:35:52, on 14/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\System32\khooker.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\pit\Escritorio\HijackThis.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\ssqpq.dll

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\efecc.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [KEWelcomeReBoot] E:\welcome.exe

O4 - HKLM\..\Run: [Registry Checkup System327 Monitor] Winregs327.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start

O4 - HKLM\..\RunServices: [Registry Checkup System327 Monitor] Winregs327.exe

O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Registry Checkup System327 Monitor] Winregs327.exe

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA6802F-57CD-4CF7-88F7-314155D0FF39}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{925A3E04-FA71-423B-9639-BB47480C1991}: NameServer = 95.26.15.24

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: efecc - C:\WINDOWS\SYSTEM32\efecc.dll

O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: MsHS64 - Unknown owner - C:\WINDOWS\MsHS64.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

muchas gracias

karlmcfar · Mensaje por **karlmcfar** » 14 Mar 2006, 19:12

Primero de todo actualiza tu windows, sino, poca cosa podras hacer contra los virus q aprovechan las vulnerabilidades no parcheadas.

Segundo, no debes tener dos antivirus en tu PC instalados.

En tu log se observan claves muy sospechosas, pero ya te lo confirmara el administrador de este foro.

Prueba a pasar este antivirus online:[url]https://www.eset.es/analisis-online/[/url] si es q aun no lo has hecho (ya sea con este u otro) siguiendo estos pasos previos (arrancar a en modo seguro y deshabilitar restaura sistema) [url]http://foros.zonavirus.com/viewtopic.php?t=5266[/url]

Mensaje por **msc hotline sat** » 14 Mar 2006, 19:17

Empezar por instalar todos los parches de microsoft. No hay ningunp instalado

Lanzar un windowsupdate !!!

Luego eliminar:

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\ssqpq.dll

02 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\efecc.dll

O4 - HKLM\..\Run: [KEWelcomeReBoot] E:\welcome.exe

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\Run: [Registry Checkup System327 Monitor] Winregs327.exe

O4 - HKLM\..\RunServices: [Registry Checkup System327 Monitor] Winregs327.exe

O4 - HKCU\..\Run: [Registry Checkup System327 Monitor] Winregs327.exe

O20 - Winlogon Notify: efecc - C:\WINDOWS\SYSTEM32\efecc.dll

O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll

O23 - Service: MsHS64 - Unknown owner - C:\WINDOWS\MsHS64.exe (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

TIENE INSTALADOS NOD Y KASPERSKY AL MISMO TIEMPO. DESINSTALE UNO DE LOS DOS !!!

Y está utilizando un servidor de DNS sospechoso, :

[quote]
OrgName: Internet Assigned Numbers Authority

OrgID: IANA

Address: 4676 Admiralty Way, Suite 330

City: Marina del Rey

StateProv: CA

PostalCode: 90292-6695

Country: US

NetRange: 92.0.0.0 - 95.255.255.255
[/quote]

ya que es de Californiam bastante atipico, Consulte a su ISP el que le aconseja y para cambiarlo puede probar el CONFGDNS.EXE

aparte, envienos muestras de: E:\welcome.exe y Winregs327.exe anexados a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiques referencia "REF WELCONE" pues se trata sin duda de malwares no conocidos y los implementaremos en nuestras utilidades, de lo cual le informaremos

UTILIDADES QUE SE ACONSEJA DESCARGAR Y PROBAR:

elitriip, elistara, elinotif, CONFGDNS

https://foros.zonavirus.com/viewtopic.php?t=6139

especialmente para el VUNDO que tiene instalado, tras tener todas las utilidades indicadas descargadas en una misma carpeta, arranque en modo seguro y lance el ELISTARA

y nos comenta el resultado, gracias

saludos

ms, 14-3-2006

pit23 · Mensaje por **pit23** » 15 Mar 2006, 12:18

muchas gracias pero sigo teniendo algun problema, no me deja bajar esos programas y no puedo eliminar alguna de las entradas ni en modo a prueva de fayos ni nada

no se que mas hacer creo que debere formatear

karlmcfar · Mensaje por **karlmcfar** » 15 Mar 2006, 12:26

bajatelas desde otro pc, las copias en un disket (ocupan poco) o en otro medio i las ejecutas luego en tu pc.

Mensaje por **msc hotline sat** » 15 Mar 2006, 13:04

Y asegurate estar registrado en el apartado de descargas, sino no podrás bajar ninguna utilidad desde ninguna parte !!!

A formatear siempre estas a tiempo, y como que se le propone hacer varias, sería un buen ejercicio de practicas el seguir nuestras indicaciones. para aprender a actualizar parches, a borrar clves, a descrgar utilidades, a enviar muestras...

por cierto, haga ñp quie quiera, pero envienos las muestras que le pediamos !!!:

[quote="msc"]aparte, envienos muestras de: E:\welcome.exe y Winregs327.exe anexados a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiques referencia "REF WELCONE" pues se trata sin duda de malwares no conocidos y los implementaremos en nuestras utilidades, de lo cual le informaremos
[/quote]

saludos

ms, 15-3-2006

pit23 · Mensaje por **pit23** » 15 Mar 2006, 17:09

no se como puedo hacer eso mis antivirus no me muestran esos que me pides

Mensaje por **msc hotline sat** » 15 Mar 2006, 17:14

Lee el post al que te lleva el link que posteé :

https://foros.zonavirus.com/viewtopic.php?t=6139

alli tienes los links de acceso a la descarga para probar dichas utilidades.

Tras descargarlas, utilizalas arrancanmdo en modo seguro, y nos informas del resultado

Si persiste algun problema, dinos cual y añade el log del HJT de entonces

saludos

ms, 15-3-2006

pit23 · Mensaje por **pit23** » 15 Mar 2006, 18:49

aqui dejo mi log, ya he pasado esos programas que me dijiesteis pero sigue conectandose a internet solo, no he eliminado ningun antivirus porque me funcionan de miedo mi problema surgio a raiz de desconectar el cotafuegos bueno ai va

Logfile of HijackThis v1.99.1

Scan saved at 18:31:33, on 15/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\System32\khooker.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Documents and Settings\pit\Escritorio\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\ssqpq.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142364447762

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{925A3E04-FA71-423B-9639-BB47480C1991}: NameServer = 80.58.61.250

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

Mensaje por **msc hotline sat** » 15 Mar 2006, 19:25

Siguen faltando todos los parches !!! DEBE ACTUALIZAR LANZAMDO UN WINDOWSUPDATE.

esta aplicacion es sosèchosa:

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

conforme que sea voluntariamente instalada

Esta clave es de un VUNDO descarado !!!:

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\ssqpq.dll

si el ELISTARA.EXE en combinacion con el ELINOTIF.DLL no se lo soluciona, envienos muestra del fichero en cuestion

Esta clave promete cargar un spyware:

O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start

envuienos tambien muestra de este fichero C:\WINDOWS\System32\steam.dll para que incluyamos su control en el ELISTARA

Esta clave es del VUNDO qie le indicaba al principio, si persiste tras lo indicado,. envienos el fichero C:\WINDOWS\System32\ssqpq.dll

Esta clave esconde un backdoor:

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

Si persiste, mire de enviarnos el fichero C:\WINDOWS\shost.exe, que puede teber atributo H, S, R para ocultarse, configure windows para poder ver ocultos y que no oculte los de sistemma , para que pueda verla y enviarnosla con las otras

Y esta ultima tambien debe eliminarse, pues este fichero puede ser falso y ocultar un troyano, dadp que está cargadp como servicio

Por supuesto que todo ello debe hacerlo arrancandpo en modo seguro y deshabilitando la restauracion de sistema, y copiando los ficheros indicados a un disquete por ejemplo, sacandolas del disco duro, y luego reinciando normalmente, enviarnoslas a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique referencia REF WELCOME Y tras examinarlas, implementaremos su control en una nueva version del ELISTARA

Y si tiene algun problema en ello, nos lo comenta, como respuesta de este Temna, gracias

saludos

ms, 15-3-2006

pit23 · Mensaje por **pit23** » 15 Mar 2006, 21:25

he hecho todo lo posible pero no doy con lo que me pides

Mensaje por **msc hotline sat** » 16 Mar 2006, 06:10

Pues empieza por el primero y actualiza los parches, abre el I.E., ve a Herramientas y pulsa en windowsupdate, e instala los parches pendientes

Tras ello seguiremos paso a paso

Informanos del resultado, gracias

saludos

ms, 16-3-2006

Y envianos las muestras pedidas para ir implementando su control en las utilidades...

pit23 · Mensaje por **pit23** » 16 Mar 2006, 20:20

ya he instalado todas la actualizaciones, he pasado todos los programas y no consigo dar con los *.exe que me pides ni las dll

aqui dejo mi log de nuevo, no puedo borrar las entradas que me pediste,

Logfile of HijackThis v1.99.1

Scan saved at 20:17:03, on 16/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\msiexec.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\System32\khooker.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\ssqpq.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142364447762

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA6802F-57CD-4CF7-88F7-314155D0FF39}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{925A3E04-FA71-423B-9639-BB47480C1991}: NameServer = 80.58.61.250

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

gracias

Mensaje por **msc hotline sat** » 16 Mar 2006, 21:17

Pues ahora busque estos ficheros y envienoslos

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\WINDOWS\System32\ssqpq.dll

C:\WINDOWS\System32\steam.dll

C:\WINDOWS\shost.exe

envienoslos a zonavirus@satinfo.es anexados a un mail en cuyo texto indique referencia REF WELCOME Y tras examinarlas, implementaremos su control en una nueva version del ELISTARA

ES POSIBLE QUE SIN ELIMINAR OTRAS CLAVES NO VISIBLES CON EL HJT, CREADAS POR DICHOS FICHEROS, NO SE PUEDAN ELIMINAR LAS INDICADAS, POR ESO NECESITAMOS LAS MUESTRAS, PARA IMPLEMENTAR LA ELIMINACION DE TODO LO QUE CREAN EN EL ELISTARA.

saludos

ms. 16-3-2006

pit23 · Mensaje por **pit23** » 16 Mar 2006, 22:41

no he encontrado ni el steam ni el shot solo el ssqpq.dll ya se lo he mandado por correo pero no consigo ver dicho archivo

solo me deja abrirlo poniendo la ruta en la barra de direcciones no lo encuentra ni poniendolo en el buscador me dice que no existe pero lo abri con la barra de direcciones y lo guarde en mi escritorio os mando esa muestra que guarde a ver si os sirbe de los otros ni rastro, bueno ya me direis[/img]

carolxsiempre · Mensaje por **carolxsiempre** » 16 Mar 2006, 23:23

Lanza de nuevo el hijackthis y peganos el log!!!!!!

Saludos

Carolxsiempre

la desaparecida!!

Mensaje por **msc hotline sat** » 17 Mar 2006, 05:55

Gracias Carolina, pero me basta con el ultimo log.

Pues de estar, la libreria steam.dll, seguro que está, ya que sino la ejecucion de la clave

rundll32.exe C:\WINDOWS\System32\steam.dll,start

daría un mensaje de error... Puede estar oculta,. o con atributo de sistema o simplemente usando un rootkit que la oculte cuando está en uso, mira si la ves arrancando en modo seguro con solo simbolo de sistema y entrando :

DIR C:\WINDOWS\System32\steam.dll /a

informanos del resultado, gracias. Y si está, mira de copiarla a un disquete en este modo, para luego enviarnosla. Lo raro es que el ELISTARA no te haya pedido muestra por ser sospechosa???

El otro fichero, C:\WINDOWS\shost.exe, es diferente. Este puede que no esté. ya que reza "file missing", y el que no puedas eliminar la clave sea por el anterior troyano, posiblemente un VUNDO, compuesto por los dos ficheros anteriores, y que una vez lo eliminemos, este servicio caiga por su propio peso...

Hoy analizaremos la que nos has enviado e informaremos

saludos

ms, 17-3-2006

Mensaje por **msc hotline sat** » 17 Mar 2006, 11:57

La muestra recibida está dañada, ademas de haberla enviado en UNICODE, pero una vez transformada es inoperativaa, aunque hemos podido ver en su interior las mismas funciones del VUNDO, lo cual confirma nuestras sospechas.

Baje estas dos utilidades a una misma carpeta:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

y tras ello, arranque en modo seguro y ejecute el ELISTARA.EXE

Tras reiniciar vea el informe del C:\infosat.txt y si le pide enviar muestras, hagalo, que le sera mas facil al haber hecho en tal caso en la carpeta WINLOGON. Anexela a un nail a zonavirus@satinfo.es con referencia REF WELCOME

Aparte posteenos el contenido del >C:\infosat.txt para saber lo que ha encontrado, gracias

saludos

ms, 17-3-2006

pit23 · Mensaje por **pit23** » 19 Mar 2006, 22:41

el eliestara no me encuentra nada y el steam.dll no lo necuentro por ningun sitio es mas al arrancarlo me da un mensaje de error de falta el archivo steam.dll no se por donde buscar en cambio bucasa los registros del steam y shot y aparecen todos juntos usando regedit pero no doy con ellos

Mensaje por **msc hotline sat** » 20 Mar 2006, 04:41

Si al arrancar le da un mensaje de error de no encontrar el steam.dll, entonces kabnxce el HJT y elimine esta clave y dejara de dar dicho mensaje:

O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start

Con el otro cuidado que siempre le llama shot y en realidad es shost.exe y la s de menos puede impedir que lo encuentre

Busque shost.* por todo el disco duro y si encuentra alguno, envienoslo

Si no lo encuentra y arrancando en modo seguro y lanzando el HJT vea de eliminar esta clave:

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

Si no puede, lance de nuevo el HJT y escoja de entrada "Open the MISC tool section", y de alli vea en la última posición (Delete an NT service) la posibilidad de eliminar claves de servicios (023), pruebe de esta manera y nos cuenta el resultado, gracias

saludos

ms, 20-3-2006

pit23 · Mensaje por **pit23** » 20 Mar 2006, 14:59

no me encuentra nada de shost por ningun lado y lanzo hij como me indicasteis y escribo esto, O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) y me indica que no encuentra el registro o algo asi, no me deja eliminar esa entrada

Mensaje por **msc hotline sat** » 20 Mar 2006, 15:28

A ver, para eliminar claves con el HJT se ha de arrancar en modo seguro, lanzar el HJT, marcar las claves a eliminar (pulsando a la izquierda de las mismas) y pulsar en FIX, como ya se indica en:

https://foros.zonavirus.com/viewtopic.php?t=11007

Pero en esta ocasion, al tratarse de un servicio, se le decia especialmente, en el ultimo post:

[quote="msc"]Si no puede, lance de nuevo el HJT y escoja de entrada "Open the MISC tool section", y de alli vea en la última posición (Delete an NT service) la posibilidad de eliminar claves de servicios (023), pruebe de esta manera y nos cuenta el resultado, gracias
[/quote]

Es la antepenultima clave, pero ya puestos, puede eliminar de esta manera tambien la ultima, pues puede ser mas de lo mismo, ya que tambien reza "file missing" estando el servico en uso...

[quote="al final del log, el HJT"]O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing) [/quote]

saludos

ms, 20-3-2006

pit23 · Mensaje por **pit23** » 20 Mar 2006, 17:55

si eso lo hago en modo seguro

pincho en delete nt service y me sale una consola con dos botones uno ok y otro cancel con una linea en la parte inferior para escribir yo en esa linea escribo la entrada tal y como aparece en el post O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing) no se si lo estoy haciendo bien pero despues de eso le doy a ok y me dice que no encuentra el registro

no se como se hace

Mensaje por **msc hotline sat** » 20 Mar 2006, 18:11

Pruebe de hacer lo mismo pero escribiendo solo:

C:\WINDOWS\System32\cfmon.exe

Si asi no puede es que hay algo oculto que se lo impide, y ha lanzado este servicio, lo cual se tiene que eliminar para poder quitarlo, y en esro estamos ...

saludos

ms, 20-3-2006

^Buscando procesos similares, hemos visto que un Randex los utiliza, Descargue el ELITRIIP y arrancando en modo seguro, lo lanza:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

y nos informa del resultado, gracias. ms.

pit23 · Mensaje por **pit23** » 20 Mar 2006, 18:48

nada sigue diciendome lo mismo y el program que me dijiste ya lo tenia lo pase y no me encuentra nada lo he pasado ahora y tampoco no se espero vuestras respuestas gracias por ayudarme disculpar las molestias, es algo que esta oculto pero no se donde soy estudiante de informatica

Mensaje por **msc hotline sat** » 21 Mar 2006, 07:18

Posteenos ahora un nuevo log de HJT actual a ver que es lo que le queda, y lo analizaremos

saludos

ms, 21-3-2006

pit23 · Mensaje por **pit23** » 21 Mar 2006, 15:55

aqui esta las actualizaciones las he puesto todas o casi todas pero no creo que eso lo resuelva hay entradas que no las puedo eliminar bueno ai lo teneis

Logfile of HijackThis v1.99.1

Scan saved at 15:53:18, on 21/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\System32\khooker.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\ssqpq.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142364447762

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA6802F-57CD-4CF7-88F7-314155D0FF39}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{925A3E04-FA71-423B-9639-BB47480C1991}: NameServer = 80.58.61.250

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

Mensaje por **msc hotline sat** » 21 Mar 2006, 16:47

Sigues teniendo estas dos que prometen ser un VUNDO (Virtual Mundo):

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\ssqpq.dll

O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll

y los servicios que no puedes eliminar, pero que pueden ser imagenes de servicios para ocultar al VUNDO anterior

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

y tienes instalado kaspersky y NOD:

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

Solo debes tener instalado uno de los dos !!! desinstala el otro.

_____________

Consideraciones:

Aparte del incordio de tener dos antivirus o mal eliminado uno de ellos, el meoolo está en el SSqpq.dll de las dos primeras claves indicadas.

El que se cargue como BHO y en el WinLogon es propio de los VUNDO, que pueden ocultar ficheros si estan en uso, por lo cual puedes no verlos.

Centremonos en la busca y captura de este ssqpq.dll, y cuiando nos hayas podido enviart la muestra, posiblemente podremos eliminar todo lo demás.

Fijate que ha de estar en la carpeta de sistema...

Demuestranos lo bueno que eres en informatica y sigue estas indicaciones:

Arranca con el CD de instalacion y pulsa R para entrar en consola de recuperacion

Entra:

DIR C:\windows\sstem32\ssqpq.dll /a <ENTER>

Si encuentras el fichero, muevelo a un disquete, sacandolo de esta carpeta y tras ello reinicias y nos lo envias.

Si tiene atributo de oculto o cualquier otro, sacaselo si ello te impide copiarlo (con ATTRIB)

Cuando lo tengas, envianoslo a zonavirus@satinfo.es anexado a un mail indicando en el texto REF WELCOME y tras examinarlo, implementaremos su control y eliminacion en nuestras utilidades ELISTARA / ELINOTIF

Y una vez pases la nueva version, espero que podras borrar los servicios que estan ocultando procesos troyanos

saludos

ms, 21-3-2006

pit23 · Mensaje por **pit23** » 21 Mar 2006, 21:40

ai os va el ssqpq.dll ya he dado con el gracias a lo que me dijiste le puse atributo de lectura y aparecio bueno ai os lo mando si esque con la desaparicin del msdos esto no es lo que era bueno ya me direis

Mensaje por **msc hotline sat** » 22 Mar 2006, 11:42

Recibida muestra, entrará en proceso a continuacion y quedarña controlado en la version de hoy del ELISTARA, la proxima 11.38, si bien a primera vista se vé que es un VUNDO de los que necesitará que implementemos una nueva librería en el ELINOTIF.DLL y que se descargue esta DLL en la misma carpeta del ELISTARA, y al ejecutar este la instalará en el regiustro de modo que en el siguiente reinicio pueda eliminar el bicho, bastante peludo de eliminar, pero ya tenemos unos cuantos como él...

Por la tarde podrás probar la nueva version y comentarnos el resultado.

saludos

ms, 22-3-2006

MIRAR MI PROBLEMA * (SOLUCIONADO)

MIRAR MI PROBLEMA * (SOLUCIONADO)

no puedo madar esa informacion

log

no encuentro esos archivos

sigo

ssqpq