BraveSentry y rpcc.dll (Segunda parte) (SOLUCIONADO)

Pelus · Mensaje por **Pelus** » 10 Dic 2006, 19:50

Deciros que como mi Windows es original, sólo que no tenía activadas las actualizaciones, ya he conseguido actualizar. Os pongo una imagen para que veáis que es cierto, ayer me actualizó todo:

Puede parecer que está arreglado pero no. El problema es que cuando apago WIN, en el icono de apagar me aparece el sombrerito de actualizaciones automáticas, es decir, están ahí pendientes de que apague y reinicie para instalarse. Pero al apagar, cuando lleva un rato "pensando" me sale la pantallita azul de error de Windows y reinicia sólo, con el posterior mensaje de que "Windows se ha recuperado de un error grave".

Es decir, que hay algo que le está impidendo ejecutar las actualizaciones, ó es el hijopu-a del Spy, ó el NOD32 ó el Spybot S&D.

Si hubiese alguna manera de "cargarme" ese rpcc.dll que creo que es el que lo j**e todo...

¿Se os ocurre algo? Gracias[/img]

Mensaje por **msc hotline sat** » 10 Dic 2006, 20:50

Efectivamente vemos que el windowsupdate ha funcionado, pero esta anomalia la puede causar alguna DLL borrada o alguna clave no restaurada de las que hubiera modificado el malware

Prueba de REPARAR el sistema, tras lo cual nos cuentas el resultado:

Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la partición existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos

ms, 10-12-2006

Pelus · Mensaje por **Pelus** » 10 Dic 2006, 20:59

Gracias, había conseguido entrar en la consola de recuperación, pero llego a un sitio que me hace una pregunta que no sé exactamente lo que es, le dí a ENTER y se reseteó.

¿Cuando llego a esa parte, le escribo system32 ó algo así? ¿Funciona como MSdos?

Mensaje por **msc hotline sat** » 10 Dic 2006, 21:26

Lee bien: "primero seleccionar instalar, y tras detectar la particion existente..."

No yienes que entrar en consola de resuperacion, sino pimero seleccionar instalar...

saludos

ms, 10-12-2006

Pelus · Mensaje por **Pelus** » 10 Dic 2006, 22:39

Vale, está hecho. A priori está todo igual, sólo que me ha instado dos cosas en actualizaciones:

Herramienta de validación de ventajas del programa de Windows original y Microsoft windows installer 3.1

Y además me sale contínuamente este mensaje del Spybot, en el que no me da opción a "no permitir", por lo tanto lo cierro y vuelve a salir:

Pelus · Mensaje por **Pelus** » 10 Dic 2006, 22:58

Y creo que solucionar ese mensaje es lo único que me falta para que esto funcione bien de nuevo...

Mensaje por **msc hotline sat** » 10 Dic 2006, 23:07

Pues lanza el ELISTARA actual y tras reiniciar posteanos el infosat:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

,ms. 10-12-2006

Pelus · Mensaje por **Pelus** » 11 Dic 2006, 11:28

Mon Dec 11 04:21:00 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL.VIR --> Eliminado, FakeAlert

Mon Dec 11 05:34:19 2006

EliStartPage v12.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Hay otro que creo que no ha sido capaz de eliminar. Además el Spybot me detecta el Smitfraud.c pero tampoco lo elimina del todo.

En cuanto a las actualizaciones hay dos que no baja, no sé porqué.

Mensaje por **msc hotline sat** » 11 Dic 2006, 21:41

Hemos pulido el control y eliminacion del purityscan del RPCC.DLL:

http://www.zonavirus.com/descargas/elistara.asp

Prueba la nueva version del ELISTARA 12.87 y ELINOTIF 12.11

Para ello descarga tambien la nueva ELINOTIF.DLL y la copias en la misma carpeta que el ELISTARA. Luego ejecutas este y reinicias. Y tras ello nos posteas el contenido del C:\infosat.txt, gracias

saludos

ms, 11-12-2006

Pelus · Mensaje por **Pelus** » 12 Dic 2006, 07:50

Tue Dec 12 03:09:27 2006

EliStartPage v12.87 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Dec 12 03:28:45 2006

EliStartPage v12.87 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Dec 12 03:31:15 2006

EliStartPage v12.87 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL.VIR --> Eliminado, FakeAlert

Mensaje por **msc hotline sat** » 12 Dic 2006, 08:18

Pues bien que le ha ido !

"C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL.VIR --> Eliminado, FakeAlert "

Tras reiniciar, diganos si le persiste algun problema o no, para saber si podemos dar por solucionado el Tema, gracias

saludos

ms, 12-12-2006

Pelus · Mensaje por **Pelus** » 13 Dic 2006, 00:46

msc hotline sat escribió:Pues bien que le ha ido !

"C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL.VIR --> Eliminado, FakeAlert "

Tras reunbucuarm duiganos si le persiste algun problema o no, para saber si podemos dar por solucionado el Tema, gracias

saludos

ms, 12-12-2006

Sí, sigo con el Smithfraud, al menos el Spybot me lo detecta y no me elimina un registro, que he eliminado con el Hijackthis, pero nada.

¿No hay una sóla utilidad que le pueda pasar y me "limpie" todo de una vez?

Nuker · Mensaje por **Nuker** » 13 Dic 2006, 00:48

Ya probo el SPYBOT (actulizado) en modo seguro ?

Pelus · Mensaje por **Pelus** » 13 Dic 2006, 02:05

Nuker escribió:Ya probo el SPYBOT (actulizado) en modo seguro ?

Claro, claro, lo tengo actualizado, inmunizado, en modo avanzado, bien configurado y como residente.

El Spybot lleva ya algunos años conmigo y lo controlo bien....aunque sin resultados, por lo que veo...

Mensaje por **msc hotline sat** » 13 Dic 2006, 07:00

En el ELISTARA vamos implementando día a día lo que va apareciendo y vamos conociendo, sobre los 200 nuevos malwares que aparecen de promedio a diario...

Indiquenos la clave y lo que le indica el SPYBOT con el maximo de detalle y trataremos de controlarlo en la siguiente version

saludos

nsm 13-12-2006

Pelus · Mensaje por **Pelus** » 13 Dic 2006, 16:31

Impresión de pantalla una vez pasado el Spybot:

(No sé porqué, ahora me aparecen archivos en verde y no sé quitarlo, antes sólo me aparecían los rojos que son los que expandí para que los veáis)

Pelus · Mensaje por **Pelus** » 13 Dic 2006, 16:32

Y cuando le doy a solucionar problemas, me aparecen estos dos avisos.

En el de arriba no puedo darle al botón izquierdo pues no aparece, y el derecho (que es el de aceptar), no se lee.

Mensaje por **msc hotline sat** » 13 Dic 2006, 16:37

Mejor selecciona, copia y pega la informacion, que de una imagen no podemos copiar y pegar

saludos

ms, 13-12-2006

Pelus · Mensaje por **Pelus** » 13 Dic 2006, 16:49

Smitfraud-C.: Configuración (Clave del registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc

Smitfraud-C.: Configuración (Clave del registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg

Smitfraud-C.: Biblioteca (Archivo, fixing failed)

C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

DoubleClick: Cookie de seguimiento (Firefox: default) (Cookie, nothing done)

Tradedoubler: Cookie de seguimiento (Firefox: default) (Cookie, nothing done)

Common Dialogs: History (10 files) (Clave del registro, fixed)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Archivo de repuesto, fixing failed)

C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Archivo de repuesto, fixed)

C:\WINDOWS\imsins.log

Log: Install: comsetup.log (Archivo de repuesto, fixed)

C:\WINDOWS\comsetup.log

Log: Install: ocgen.log (Archivo de repuesto, fixed)

C:\WINDOWS\ocgen.log

Log: Install: setupapi.log (Archivo de repuesto, fixed)

C:\WINDOWS\setupapi.log

Log: Shutdown: System32\wbem\logs\mofcomp.log (Archivo de repuesto, fixed)

C:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\wbemess.log (Archivo de repuesto, fixed)

C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Archivo de repuesto, fixed)

C:\WINDOWS\System32\wbem\logs\wmiprov.log

Internet Explorer: Typed URL list (2 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Internet Explorer\TypedURLs

Internet Explorer: User agent (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

MS Media Player: Anonymous ID (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Direct3D: Most recent application (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

MS DirectDraw: Most recent application (Cambio en el registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS DirectInput: Most recent application (Cambio en el registro, fixing failed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\DirectInput\MostRecentApplication\Name!=

MS DirectInput: Most recent application ID (Cambio en el registro, fixing failed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\DirectInput\MostRecentApplication\Id!=

MS Office 10.0 (Word): Recently used documents list (Valor del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Office\10.0\Word\Data\Settings

MS Paint: Recent file list (2 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List

Windows Explorer: Stream history (3 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Windows Explorer: User Assistant history IE (6 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files (39 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history (4 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Valor del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

WinZip: Recent extracted file list (1 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Nico Mak Computing\WinZip\extract

WinZip: Recent created file list (1 archivos) (Clave del registro, fixed)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Nico Mak Computing\WinZip\filemenu

Cookie: Cookie (19) (Cookie, fixed)

Cache: Caché (1523) (Caché, fixed)

Cookie: Cookie (932) (Cookie, fixed)

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)

2005-05-31 SpybotSD.exe (1.4.0.3)

2005-05-31 TeaTimer.exe (1.4.0.2)

2006-07-14 unins000.exe (51.41.0.0)

2005-05-31 Update.exe (1.4.0.0)

2006-02-06 advcheck.dll (1.0.2.0)

2005-05-31 aports.dll (2.1.0.0)

2005-05-31 borlndmm.dll (7.0.4.453)

2005-05-31 delphimm.dll (7.0.4.453)

2005-05-31 SDHelper.dll (1.4.0.0)

2006-02-20 Tools.dll (2.0.0.2)

2005-05-31 UnzDll.dll (1.73.1.1)

2005-05-31 ZipDll.dll (1.73.2.0)

2006-12-08 Includes\Cookies.sbi (*)

2006-10-06 Includes\Dialer.sbi (*)

2006-12-08 Includes\DialerC.sbi (*)

2006-10-06 Includes\Hijackers.sbi (*)

2006-12-08 Includes\HijackersC.sbi (*)

2006-10-06 Includes\Keyloggers.sbi (*)

2006-12-08 Includes\KeyloggersC.sbi (*)

2004-11-29 Includes\LSP.sbi (*)

2006-10-06 Includes\Malware.sbi (*)

2006-12-08 Includes\MalwareC.sbi (*)

2006-10-06 Includes\PUPS.sbi (*)

2006-12-08 Includes\PUPSC.sbi (*)

2006-12-08 Includes\Revision.sbi (*)

2006-10-06 Includes\Security.sbi (*)

2006-12-08 Includes\SecurityC.sbi (*)

2006-10-06 Includes\Spybots.sbi (*)

2006-12-08 Includes\SpybotsC.sbi (*)

2005-02-17 Includes\Tracks.uti (*)

2006-10-06 Includes\Trojans.sbi (*)

2006-12-08 Includes\TrojansC.sbi (*)

Mensaje por **flacoroo** » 13 Dic 2006, 19:03

Para que no te salgan los registros en verde debes deshabilitar esta opcion en el menu de configuracion que esta de lado izquierdo y de ahi entras a submenu configuracion y en la parte de abajo en opciones avanzadas debes deshabilitar mostrar los botones del modo experto en la lista de resultados ...asi solo saldra lo rojo......

Pelus · Mensaje por **Pelus** » 14 Dic 2006, 21:21

[quote="flacoroo"]Para que no te salgan los registros en verde debes deshabilitar esta opcion en el menu de configuracion que esta de lado izquierdo y de ahi entras a submenu configuracion y en la parte de abajo en opciones avanzadas debes deshabilitar mostrar los botones del modo experto en la lista de resultados ...asi solo saldra lo rojo......[/quote]

Lo he hecho pero sigue saliendo....

En cuanto a los avisos de arriba...¿algún consejo?

Mensaje por **msc hotline sat** » 17 Dic 2006, 11:49

Baja el ELISTARA actual, arranca en modo seguro, y pruebalo aceptando en eliminar temporales

y tras reiniciar, nos posteas el contenido de C:\infosat.txt

saludos

,ms.

Pelus · Mensaje por **Pelus** » 18 Dic 2006, 20:11

Mon Dec 18 18:08:12 2006

EliStartPage v12.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 18 18:14:10 2006

EliStartPage v12.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 18 18:15:49 2006

EliStartPage v12.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL --> Eliminado, FakeAlert

Pelus · Mensaje por **Pelus** » 18 Dic 2006, 20:14

Entre los muchos reinicios que me hace sólo el ordenador, con la pantallita azul de Windows, en los últimos mientras trasfiere la memoria virtual ó algo así me dice esto:

Driver_IRQL_not_less_or_equal

Lo de las actualizaciones de WIN incompletas es simplemente que borré la última porque no me dejaba conectarme a internet, creo que es porque el controlador del router no está firmado digitalmente y me lo bloqueaba.

Nuker · Mensaje por **Nuker** » 18 Dic 2006, 22:40

A ver si con este link se te pudiera solucionar tu problema, saludos.

Driver_IRQL_not_less_or_equal:

http://support.microsoft.com/kb/293077/es

Mensaje por **msc hotline sat** » 19 Dic 2006, 07:29

Y pom remedio a esta alerta:

ALERTA. WindowsUpdate Incompleto.

lanzando un windowsupdate !!!

saludos

ms,. 19-12-2006

Pelus · Mensaje por **Pelus** » 19 Dic 2006, 13:00

[quote="msc hotline sat"]Y pom remedio a esta alerta:

ALERTA. WindowsUpdate Incompleto.

lanzando un windowsupdate !!!

saludos

ms,. 19-12-2006[/quote]

Si es que no puedo... las dos actualizaciones que me faltan al instalarlas se me cuelga Windows con el error que os he comentado antes en uno, y con una pantalla igual pero si ese error en el otro.

No hay nada que hacer con mi caso...¿verdad?

Pelus · Mensaje por **Pelus** » 19 Dic 2006, 14:46

Bueno, ahora se ha actualizado sólo. No sé ni como pero ya no me aparece nada pendiente de actualizar y aparecen las actualizaciones instaladas.

¿Le vuelvo a pasar Elistara, Hjthis ó Spybot?

Mensaje por **msc hotline sat** » 19 Dic 2006, 15:01

Hagalo como comprobacion final y si ya no hay problemas, darenmos el Rema por solucionado

saludos

ms, 19-12-2006

Pelus · Mensaje por **Pelus** » 20 Dic 2006, 00:43

Los hay, los hay...

~~[b]~~El Elistara creo que no me ha encontrado nada:[/b]

Tue Dec 19 16:10:44 2006

EliStartPage v12.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Dec 19 16:12:59 2006

EliStartPage v12.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Microsoft ActiveSync\RAPIPROXYSTUB.DLL.VIR --> Eliminado, FakeAlert

Tue Dec 19 19:40:47 2006

EliStartPage v12.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Smitfraud-C.: Configuración (Clave del registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg

Smitfraud-C.: Biblioteca (Archivo, fixing failed)

C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

Common Dialogs: History (21 files) (Clave del registro, nothing done)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Archivo de repuesto, nothing done)

C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Archivo de repuesto, nothing done)

C:\WINDOWS\imsins.log

Log: Activity: ntbtlog.txt (Archivo de repuesto, nothing done)

C:\WINDOWS\ntbtlog.txt

Log: Install: comsetup.log (Archivo de repuesto, nothing done)

C:\WINDOWS\comsetup.log

Log: Install: ocgen.log (Archivo de repuesto, nothing done)

C:\WINDOWS\ocgen.log

Log: Install: setupapi.log (Archivo de repuesto, nothing done)

C:\WINDOWS\setupapi.log

Log: Install: wmsetup.log (Archivo de repuesto, nothing done)

C:\WINDOWS\wmsetup.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Archivo de repuesto, nothing done)

C:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Archivo de repuesto, nothing done)

C:\WINDOWS\System32\wbem\logs\wbemess.lo_

Log: Shutdown: System32\wbem\logs\wbemess.log (Archivo de repuesto, nothing done)

C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Archivo de repuesto, nothing done)

C:\WINDOWS\System32\wbem\logs\wmiprov.log

Ahead Nero Burning Rom: Browser directory (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Ahead\Nero - Burning Rom\Settings\BrowserDir!=

Ahead Nero Burning Rom: Working directory (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Ahead\Nero - Burning Rom\Settings\WorkingDir!=

Internet Explorer: Typed URL list (10 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Internet Explorer\TypedURLs

Internet Explorer: User agent (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

MS Media Player: Anonymous ID (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Direct3D: Most recent application (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

MS DirectDraw: Most recent application (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS DirectInput: Most recent application (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\DirectInput\MostRecentApplication\Name!=

MS DirectInput: Most recent application ID (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\DirectInput\MostRecentApplication\Id!=

MS Office 10.0: Internet history (Valor del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Office\10.0\Common\Internet\UseRWHlinkNavigation

MS Office 10.0 (Word): Recently used documents list (Valor del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Office\10.0\Word\Data\Settings

MS Office 10.0 (Excel): Recent file list (2 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Office\10.0\Excel\Recent Files

MS Paint: Recent file list (4 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List

MS Photo Editor: Recently used file #1 (Valor del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastFile1

MS Photo Editor: Recently used file type #1 (Valor del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastType1

MS Photo Editor: Recently used file #2 (Valor del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastFile2

MS Photo Editor: Recently used file type #2 (Valor del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastType2

RealOne Player 2 (aka RealPlayer 6.0): Last open file directory (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\LastOpenFileDir\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #1 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips1\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #2 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips2\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #3 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips3\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #4 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips4\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #5 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips5\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #6 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips6\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #7 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips7\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent clips #8 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentClips8\!=

RealOne Player 2 (aka RealPlayer 6.0): Most recent skins #1 (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentSkins1\!=

Windows.OpenWith: Open with list - .AVI extension (3 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList

Windows.OpenWith: Open with list - .BMP extension (5 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList

Windows Explorer: Run history (2 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Windows Explorer: User Assistant history IE (5 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files (44 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history (5 archivos) (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Cambio en el registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Valor del registro, nothing done)

HKEY_USERS\S-1-5-21-1343024091-1708537768-1060284298-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Cookie: Cookie (3) (Cookie, nothing done)

Cache: Caché (150) (Caché, nothing done)

Cookie: Cookie (624) (Cookie, nothing done)

~~[b]~~

Pero el Spybot me sigue encontrando el Smithfraud, me pone que reiniciando lo soluciona, pero no, tras el reinicio y posterior escaneo no ha podido con él...

[/b]

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)

2005-05-31 SpybotSD.exe (1.4.0.3)

2005-05-31 TeaTimer.exe (1.4.0.2)

2006-07-14 unins000.exe (51.41.0.0)

2005-05-31 Update.exe (1.4.0.0)

2006-02-06 advcheck.dll (1.0.2.0)

2005-05-31 aports.dll (2.1.0.0)

2005-05-31 borlndmm.dll (7.0.4.453)

2005-05-31 delphimm.dll (7.0.4.453)

2005-05-31 SDHelper.dll (1.4.0.0)

2006-02-20 Tools.dll (2.0.0.2)

2005-05-31 UnzDll.dll (1.73.1.1)

2005-05-31 ZipDll.dll (1.73.2.0)

2006-12-15 Includes\Cookies.sbi (*)

2006-10-06 Includes\Dialer.sbi (*)

2006-12-15 Includes\DialerC.sbi (*)

2006-10-06 Includes\Hijackers.sbi (*)

2006-12-15 Includes\HijackersC.sbi (*)

2006-10-06 Includes\Keyloggers.sbi (*)

2006-12-15 Includes\KeyloggersC.sbi (*)

2004-11-29 Includes\LSP.sbi (*)

2006-12-15 Includes\Malware.sbi (*)

2006-12-15 Includes\MalwareC.sbi (*)

2006-10-06 Includes\PUPS.sbi (*)

2006-12-15 Includes\PUPSC.sbi (*)

2006-12-15 Includes\Revision.sbi (*)

2006-10-06 Includes\Security.sbi (*)

2006-12-15 Includes\SecurityC.sbi (*)

2006-10-06 Includes\Spybots.sbi (*)

2006-12-15 Includes\SpybotsC.sbi (*)

2005-02-17 Includes\Tracks.uti (*)

2006-10-06 Includes\Trojans.sbi (*)

2006-12-15 Includes\TrojansC.sbi (*)

~~[b]~~Tampoco sé como hacer que no me salga lo verde en los resultados, he probado lo que me habéis dicho pero nada....

En cuanto al Highjackthis:[/b]

Logfile of HijackThis v1.99.1

Scan saved at 23:47:05, on 19/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\WINDOWS\iDialer\Wanadoo Turbo\pbhelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Documents and Settings\DMF\Escritorio\Instaladores\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Documents and Settings\DMF\Escritorio\Instaladores\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165694955951

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165700539509

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: rpcc - C:\WINDOWS\

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe