Alguien Que Me Diga Por Que Me Pasa Esto. (SOLUCIONADO)

Oswaldo · Mensaje por **Oswaldo** » 08 Sep 2006, 18:04

Hice un Scaneo con hijack y observé que tengo en running processes, varios archivos iguales como por ejemplo.
C:\WINDOWS\system32\svchost.exe

Porfa necesito alguien que pueda revisar enteramente este resultado que me arrojó hijackthis para ver si hay algo malo en ello. Mil gracias a todos los que me pueden ayudar de buena fé.

Logfile of HijackThis v1.99.1
Scan saved at 11:48:16 a.m., on 08/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\ARCHIV~1\ARCHIV~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\NetLimiter\NetLimiter.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
C:\Archivos de programa\PeerGuardian2\pg2.exe
C:\Archivos de programa\FAST Defrag\FAST2.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Archivos de programa\ABC\abc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
C:\Documents and Settings\OSWALDO\Escritorio\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O8 - Extra context menu item: Set as My Display Picture - C:\Documents and Settings\OSWALDO\Escritorio\MessengerMixLive_1.1\MessengerMixLive_1.1\MixDP.htm
O8 - Extra context menu item: Translate Page with Worldlingo.com - http://www.worldlingo.com/scripts/translate
O8 - Extra context menu item: Translate Selection with Worldlingo.com - http://www.worldlingo.com/scripts/translate
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: gbf - C:\WINDOWS\gbf32.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\ARCHIV~1\ARCHIV~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Bueno Ese es todo el resultado. Espero no tener tantos problemas.

Mensaje por **msc hotline sat** » 08 Sep 2006, 19:07

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

O20 - Winlogon Notify: gbf - C:\WINDOWS\gbf32.dll (file missing)

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

y al respecto del SVCHOST.EXE es el lanzador de tareas de windows y es normal que haya varios, pero mientras lo sea desde la carpeta de sistema, es correcto, no así si lo fuera desde otra carpeta

saludos

ms, 8-9-2006

Oswaldo · Mensaje por **Oswaldo** » 08 Sep 2006, 19:13

[quote="msc hotline sat"]Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

O20 - Winlogon Notify: gbf - C:\WINDOWS\gbf32.dll (file missing)

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

y al respecto del SVCHOST.EXE es el lanzador de tareas de windows y es normal que haya varios, pero mientras lo sea desde la carpeta de sistema, es correcto, no así si lo fuera desde otra carpeta

saludos

ms, 8-9-2006[/quote]

Muchisimas gracias amigo msc hotline sat, por dedicarle tiempo a leer mi resultado y por tu respuesta.

Voy a seguir los pasos que me indicastes.

Mensaje por **msc hotline sat** » 08 Sep 2006, 19:23

Pues espero que nos digas como te ha ido y que ya no hay problemas al respecto para proceder a cerrar el Tema

saludos

ms, 8.9.2006

Oswaldo · Mensaje por **Oswaldo** » 08 Sep 2006, 23:28

[quote="msc hotline sat"]Pues espero que nos digas como te ha ido y que ya no hay problemas al respecto para proceder a cerrar el Tema

saludos

ms, 8.9.2006[/quote]

Hola amigo msc hotline sat, le comento que estoy aombrado con la rapidez de respuesta que obtuve en esta pagina gracias a ud. Es algo realmente increible. Felicitaciones y esta pagina no la cambio x nada.

Acá le dejo el resultado del ultimo scaneo. Lo que hice fue: reinicié en modo seguro, ejecuté el hjt y le di a fix a los que me indicó ud. y luego reinicie nuevamente en modo seguro y corrí el hjt nuevamente y acá le dejo lo que me arrojó el mismo.

Logfile of HijackThis v1.99.1

Scan saved at 05:18:03 p.m., on 08/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\ARCHIV~1\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\OSWALDO\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html

O8 - Extra context menu item: Set as My Display Picture - C:\Documents and Settings\OSWALDO\Escritorio\MessengerMixLive_1.1\MessengerMixLive_1.1\MixDP.htm

O8 - Extra context menu item: Translate Page with Worldlingo.com - http://www.worldlingo.com/scripts/translate

O8 - Extra context menu item: Translate Selection with Worldlingo.com - http://www.worldlingo.com/scripts/translate

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: MCPClient - C:\ARCHIV~1\ARCHIV~1\Stardock\mcpstub.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Por lo que puedo observar existen 2 archivos que dicen (file missing). a esos 2 archivos o le habia dado a fix pero aun se encuentran presente.

Y ahora que? Virus?

Mensaje por **msc hotline sat** » 09 Sep 2006, 08:55

Pues hay algo mas que nos incordia...

y este fichero tiene muchos numeros, aunque pretenda disimular :

C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

Envianos muestra del mismo y saldremos de dudas

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 9-9-2006

Oswaldo · Mensaje por **Oswaldo** » 14 Sep 2006, 04:34

[quote="msc hotline sat"]Pues hay algo mas que nos incordia...

y este fichero tiene muchos numeros, aunque pretenda disimular :

C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

Envianos muestra del mismo y saldremos de dudas

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 9-9-2006[/quote]

Queria saber que habia pasado. hace varios dias les envié el archivo via mail y aun no recibo respuestas suyas.

Mensaje por **msc hotline sat** » 14 Sep 2006, 08:01

Ya se indicó en el foro que con la version 12.32 del ELISTARA quedaba solucionado.

Descargue la actual versión de dicha utilidad, que ya es la 12.33 y pruebela

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso , gracias

saludos
ms, 14-9-2006

Oswaldo · Mensaje por **Oswaldo** » 18 Sep 2006, 23:48

Muchas Gracias amigo, pero desde hace varios dias que intento descargarlo y no me deja. sale error.

Mensaje por **msc hotline sat** » 19 Sep 2006, 09:37

Comprobado que ahora no hay problemas. Pruebalo de nuevo.

Y son 152759 veces que ya la han descargado, así que... "Descargar EliStarA 12.36

Tamaño Descargados Licencia Web
227,52 Kb. 152759 Copyright SATINFO "

saludos
ms, 19-9-2006

Oswaldo · Mensaje por **Oswaldo** » 22 Sep 2006, 02:30

Hola amigo, al fin hoy acabo de conectarme y logré bajar el elistara 12.38. jejejeje debe ser mejor que el 12.36 que me decia que bajara.

Pues le posteo los resultados del mismo.

Thu Sep 21 19:52:56 2006
EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Favoritos%\cracks"
Eliminados Ficheros Temporales del IE

Thu Sep 21 19:59:10 2006
EliStartPage v12.38 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):

Código: Seleccionar todo

C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\BOONTY.EXE --> Eliminado, Boonty Games
C:\Archivos de programa\CM Data Software\CM DiskCleaner\SYSTEM_MONITOR.EXE --> Eliminado, QLowZones-12
C:\Archivos de programa\CM Data Software\CM DiskCleaner\UPDATE COMPONENTS.EXE --> Eliminado, QLowZones-12
C:\Archivos de programa\CM Data Software\CM DiskCleaner\System\CMDRIVE32.DLL --> Eliminado, QLowZones-12
C:\Archivos de programa\CM Data Software\CM DiskCleaner\System\CMERASING32.DLL --> Eliminado, QLowZones-12
C:\Archivos de programa\CM Data Software\CM DiskCleaner\System\CMSYSTEM32.DLL --> Eliminado, QLowZones-12
C:\Archivos de programa\eMule\AutoIncoming\Wildlife Park 2  crack [NoCD] - Multilanguage - (http://www.emule-paradise.com)\Crack\CRACK.EXE --> Eliminado, Bifrose (dropper)
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\SpeedFan\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Spyware Doctor\tools\EG.DAT --> Eliminado, DownLoader
C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT --> Eliminado, DownLoader
C:\Archivos de programa\Windows Messenger Remover\WMR.EXE --> Eliminado, QHosts-16
C:\Documents and Settings\User_OSWALDO\Escritorio\DIVX_TOTAL_PACK2.3.EXE --> Eliminado, Guiños(msn)
C:\Documents and Settings\User_OSWALDO\Escritorio\c55_repair\KAIOsol\KAIOSOL.EXE --> Eliminado, StartPage-IN
C:\WINDOWS\SST5_SETUP.EXE --> AutoExtraible.

Eso es todo lo que arrojó el mismo. Ahora bien, luego de reiniciar ejecuté el Hjt y esto fue lo que me arrojó.

Logfile of HijackThis v1.99.1
Scan saved at 08:28:15 p.m., on 21/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\ARCHIV~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\NetLimiter\NetLimiter.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Archivos de programa\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\ARCHIV~1\ARCHIV~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - Unknown owner - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Mensaje por **msc hotline sat** » 22 Sep 2006, 03:51

Pues el ELISTARA hizo buena faena !

Solo cabe eliminar estos restos para termimar la limpieza:

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Boonty Games - Unknown owner - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

Tras ello reinicie normalmente y listos !

saludps

ms. 22-9-2006

Oswaldo · Mensaje por **Oswaldo** » 24 Sep 2006, 20:45

[quote="msc hotline sat"]Pues el ELISTARA hizo buena faena !

Solo cabe eliminar estos restos para termimar la limpieza:

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Boonty Games - Unknown owner - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

Tras ello reinicie normalmente y listos !

saludps

ms. 22-9-2006[/quote]

Hola buen amigo, acabo de seguir sus pasos para finalizar con todo, pero despues de hacer todo y reiniciar en modo normal y ejecutar el hjt he notado que los archivos que dicen file missing aun permanecen, no se quitan con nada. jejejeje. Bueno he de suponer que no son peligrosos, ya que lo que eso quiere decir es que esos archivos no se encuentra en mi disco duro. Por favor revise nuevamente el resultado del ultimo hjt y si no ve nada peligroso podemos dar por cerrado el post. Si eso es asi, le doy mil gracias por toda su colaboracion de una manera desinteresada. Lo Felicito!

Logfile of HijackThis v1.99.1

Scan saved at 02:39:55 p.m., on 24/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\alg.exe

C:\ARCHIV~1\ARCHIV~1\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\Archivos de programa\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: MCPClient - C:\ARCHIV~1\ARCHIV~1\Stardock\mcpstub.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Bueno entraré luego a ver que me dice. Saludos!

Mensaje por **msc hotline sat** » 27 Sep 2006, 07:58

Arranque en modo seguro y elimine esta:

ç

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

Y compruebe luego que no está...

ms,

Oswaldo · Mensaje por **Oswaldo** » 27 Sep 2006, 13:17

[quote="msc hotline sat"]Arranque en modo seguro y elimine esta:

ç

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

Y compruebe luego que no está...

ms,[/quote]

Hola amigo, le comento que eso fue lo que hice anteriormente, tal cual, pero no resultó. Lo volveré a hacer nuevamente a ver, pero lo dudo mucho que se vaya. :(

Mensaje por **msc hotline sat** » 27 Sep 2006, 13:45

PERO ARRANCANDO EN MODO SEGURO...

Y sino, baja el ELITRIIP.EXE actual y pruebalo:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 27-9-2006

Mensaje por **msc hotline sat** » 27 Sep 2006, 13:50

[quote]

ELITRIIP:

---v2.52---(25 de Septiembre del 2006) (Muestras de (5)BackDoor.CMQ "SMSS.EXE y NVSVCD.EXE", RBot.BJE "WINPHX.EXE", Sdbot.worm.gen.Y "SYSHOST.EXE", Sdbot.worm.gen "SETUPXP.EXE" y "DIRECTX.EXE")

[/quote]

justamente controla el SDBOT contenido en el Directx.exe

esperamos sus comentarios

ms.

Oswaldo · Mensaje por **Oswaldo** » 29 Sep 2006, 04:49

[quote="msc hotline sat"]Arranque en modo seguro y elimine esta:

ç

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

Y compruebe luego que no está...

ms,[/quote]

Hola amigo msc hotline sat, efectivamente salió todo como yo me temia. Acá se lo dejo para que lo vea.

Logfile of HijackThis v1.99.1

Scan saved at 10:46:51 p.m., on 28/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ARCHIV~1\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\NetLimiter\NetLimiter.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\TrojanHunter 4.6\THGuard.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\ABC\abc.exe

C:\Archivos de programa\PeerGuardian2\pg2.exe

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\FAST Defrag\FAST2.EXE

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.6\THGuard.exe"

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\ARCHIV~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: MCPClient - C:\ARCHIV~1\ARCHIV~1\Stardock\mcpstub.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Quedan esos tres archivos file missing. Deberian ser 2, pero yo recien instalé el winpcap y ahora lo toma como perdido tambien. bueno ni modo! Gracias por todo amigo!

Mensaje por **msc hotline sat** » 29 Sep 2006, 11:12

La unica grave es esta

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

y aqui esta la informacion:

http://www.bleepingcomputer.com/startups/DirectX.exe-1307.html

Debe eliminarla para quedar limpio

saluidos

ms, 29-9-2006

Mensaje por **msc hotline sat** » 29 Sep 2006, 11:17

Si no puedes, baja la ultima version del ELITRIIP y puebala:

ELITRIIP:

---v2.52---(25 de Septiembre del 2006) (Muestras de (5)BackDoor.CMQ "SMSS.EXE y NVSVCD.EXE", RBot.BJE "WINPHX.EXE", Sdbot.worm.gen.Y "SYSHOST.EXE", Sdbot.worm.gen "SETUPXP.EXE" y "DIRECTX.EXE")

pues controla este DIRECTX-EXE y consecuentemente eliminarla la clave, aunque ya no haya el fichero:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 29-9-2006

Oswaldo · Mensaje por **Oswaldo** » 29 Sep 2006, 21:34

[quote="msc hotline sat"]Si no puedes, baja la ultima version del ELITRIIP y puebala:

ELITRIIP:

---v2.52---(25 de Septiembre del 2006) (Muestras de (5)BackDoor.CMQ "SMSS.EXE y NVSVCD.EXE", RBot.BJE "WINPHX.EXE", Sdbot.worm.gen.Y "SYSHOST.EXE", Sdbot.worm.gen "SETUPXP.EXE" y "DIRECTX.EXE")

pues controla este DIRECTX-EXE y consecuentemente eliminarla la clave, aunque ya no haya el fichero:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 29-9-2006[/quote]

Como está mi buen amigo! acabo de seguir sus indicaciones, bajé el elitriip 2.54 y lo ejecute en modo seguro luego ejecuté el elistara y por ultimo ejecuté el htj y el resultado sigue siendo el mismo que coloqué anteriormente. Ahora que ud. me dijo que ese archivo es problematico, es cuando me pongo mal, porque no hay manera de eliminarlo. ni con uno ni con el otro programa que ud. me indicó. ah queria decirle como nota que cuando yo corro estos dos programas siempre hay una parte que no le es permitida escanear, es por ello que le estoy adjuntando una foto donde se aprecia el mismo..

Amigo estoy sinceramente agradecido por toda su ayuda y tiempo dedicado.

Mensaje por **msc hotline sat** » 30 Sep 2006, 11:16

Pues arranque en modo seguro, desactive la restauiracion de sistema y ejecute de nuevo el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms. 30-9-2006

Oswaldo · Mensaje por **Oswaldo** » 01 Oct 2006, 04:17

[quote="msc hotline sat"]Pues arranque en modo seguro, desactive la restauiracion de sistema y ejecute de nuevo el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms. 30-9-2006[/quote]

Hola amigo, la verdad veo que nos estamos quedando sin respuestas, le comento que yo no uso la opcion de restaurar sistema porque cuando caen virus, troyanos todas esas pestes se quedan almacenadas cuando se crea un punto de restauracion, es por ello que siempre lo tengo desactivado y asi evito mayores inconvenientes. Debe haber algun programa del sistema windows que esté ejecutando ese archivo directx o quizas la misma memoria. Que tal si apago retiro las memorias por un rato e incluso la bateria de la tarjeta madre y luego veo que tal va. ¿Que opina ud?

Mensaje por **msc hotline sat** » 01 Oct 2006, 10:27

Lo que necesitamos es que haga lo que le decimos:

"Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso"

Lo que indica de que "Debe haber algun programa del sistema windows que esté ejecutando ese archivo directx o quizas la misma memoria. Que tal si apago retiro las memorias por un rato e incluso la bateria de la tarjeta madre y luego veo que tal va. ¿Que opina ud?"

La RAM se resetea cada vez que cierra el ordenador, la informacion alli guardada es volatil y se pierde, asi que no necesita sacarka y demas...

Sobre la bateria del CMOS, lo que conseguira si la saca es perder la configuracion del SETUP , que es lo unico que hacen los virus al respecto, asi que puede ahorrarselo

Posteenos el contenido del c:\infosat.txt y dejenos los inventos a nosotros... :lol:

saludos

ms, 1-10-2006

Oswaldo · Mensaje por **Oswaldo** » 02 Oct 2006, 00:53

[quote="msc hotline sat"]Lo que necesitamos es que haga lo que le decimos:

"Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso"

Lo que indica de que "Debe haber algun programa del sistema windows que esté ejecutando ese archivo directx o quizas la misma memoria. Que tal si apago retiro las memorias por un rato e incluso la bateria de la tarjeta madre y luego veo que tal va. ¿Que opina ud?"

La RAM se resetea cada vez que cierra el ordenador, la informacion alli guardada es volatil y se pierde, asi que no necesita sacarka y demas...

Sobre la bateria del CMOS, lo que conseguira si la saca es perder la configuracion del SETUP , que es lo unico que hacen los virus al respecto, asi que puede ahorrarselo

Posteenos el contenido del c:\infosat.txt y dejenos los inventos a nosotros... :lol:

saludos

ms, 1-10-2006[/quote]

Jejejejejeje. Por eso digo. jejejejejeje. Uds son los que saben, pues aqui está el ultimo resultado del infosat

Fri Sep 29 15:16:49 2006

EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible

C:\Archivos de programa\SpeedFan\UNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\SST5_SETUP.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 02 Oct 2006, 05:35

Pues si lanzo el ELITRIIP y no hay nada referente a él en el Infosat es que lo considera normal.

Reinicie y diganos si persiste alguna anomalia, y en su caso cual .

saludos

ms, 2-10-2006

Oswaldo · Mensaje por **Oswaldo** » 02 Oct 2006, 18:11

[quote="msc hotline sat"]Pues si lanzo el ELITRIIP y no hay nada referente a él en el Infosat es que lo considera normal.

Reinicie y diganos si persiste alguna anomalia, y en su caso cual .

saludos

ms, 2-10-2006[/quote]

Hola amigo, pues le comento que el infosat siempre me dice eso mismo, ya hice un nuevo scaneo con el hjt y me sigue arrojando 3 archivos (file missing), de los cuales ud. me mencionó que podria ser peligroso uno de ellos, especificamente el directx. acá lo coloco para que vea que aun se encuentra presente. es en la "023"

Logfile of HijackThis v1.99.1

Scan saved at 12:04:55 p.m., on 02/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\alg.exe

C:\ARCHIV~1\ARCHIV~1\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\Archivos de programa\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: MCPClient - C:\ARCHIV~1\ARCHIV~1\Stardock\mcpstub.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Mensaje por **msc hotline sat** » 02 Oct 2006, 19:39

Por si hubiera un ROOTKIT que le impidiera acceder al examen de dicho fichero, arranque en modo seguro y lance el ELITRIIP, a ver si en el infosat.txt aparece el dichos DIRECTX.EXE

y nos postea su contenido., gracias

saludos

ms, 2-10-2006

Oswaldo · Mensaje por **Oswaldo** » 03 Oct 2006, 17:02

[quote="msc hotline sat"]Por si hubiera un ROOTKIT que le impidiera acceder al examen de dicho fichero, arranque en modo seguro y lance el ELITRIIP, a ver si en el infosat.txt aparece el dichos DIRECTX.EXE

y nos postea su contenido., gracias

saludos

ms, 2-10-2006[/quote]

Hola amigo, acabo de reiniciar y ejecuté el ELITRIIP en modo seguro y cuando terminó ejecuté el htj, y reinicié pero no conseguí el archivo infosat.txt Yo se que el ELISTARA si me crea ese archivo, pero el el ELITRIIP no lo hace. :? vaya ud. a saber porque no lo hace. :( lo unico que hice fue tomarle una imagen al ELITRIIP para que ud la vea. Y acá le dejo el resultado que arrojó el HTJ despues del ELITRIIP.

Logfile of HijackThis v1.99.1

Scan saved at 10:44:49 a.m., on 03/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\ARCHIV~1\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\OSWALDO\Escritorio\EliTriIP.exe

C:\Archivos de programa\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.6\THGuard.exe"

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: MCPClient - C:\ARCHIV~1\ARCHIV~1\Stardock\mcpstub.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Mensaje por **msc hotline sat** » 03 Oct 2006, 17:19

Ni el ELISTARA ni el ELITRIIP ni ninguna de nuestras utilidades añaden nada al infosat.txt si no detectan nada, solo es un recordatorio de incidencias, pero si no las hay ...

Vamos a ver el log del HJT...

Solo hay esta clave a eliminar:

O23 - Service: DirectX Service (DirectPavr) - Unknown owner - c:\windows\system32\directx.exe (file missing)

Pero de esto ya habiamos hablado ...

saludos

ms, 3-10-2006