Problemas con troyanos y posiblemente virus. (SOLUCIONADO)

[papabusi]

Hola a todos. Necesito un cable. Se ha metido un bicho en el PC de casa que me lleva negro. El Mcafee se vuelve loco abriendo ventanas de troyanos y archivos infectados. Dice que los limpia, pero al reiniciar, repiten. Ahora mismo, el antivirus está bloquedo, es decir, no responde a ninguna orden de actualizar, analizar... abre la ventana y la cierra al cabo de pocos segundos. Intento navegar por internet para descargar algún antispyware, y al acceder a la página, cierra el explorador automaticamente (páginas tipo softone.com o de descargas gratuitas de spyware), con lo que no os puedo adjuntar log alguno. Si puedo transcribir, por ejemplo, la lista de procesos activos del sistema. Yo ya me he peleado un buen rato con ellos y con el registro, pero dependiendo de cual quiero terminar, aparece una ventana que se cerrará el equipo en 60 segundos... No tengo demasiada experiencia, pues en 12 años de usuario es la primera vez que me sucede un desacato. Necesito ayuda urgente. A ver quien puede lanzarme un cable. Muchas gracias.

[msc hotline sat]

De entrada arranca en modo seguro y no tendras estos problemas, al no estar el bicho en memoria



Luego prieba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 4-01-2007

[papabusi]

Gracias por la rápida respuesta.

Os detallo los pasos que he seguido porque tengo dudas sobre si lo he realizado correctamente.



Me he conectado al link y he descargado Elistara en el escritorio.

He apagado y iniciado el PC en modo seguro. Seguidamente, he ejecutado elistara (en modo seguro). He reiniciado y he copiado el infosat.txt en una memoria flash y ahora os lo envio desde un portátil.



A ver, al reiniciar de nuevo el PC, tras ejecutar elistara, se ha abierto una ventana de error al inicio que indica (transcribo textual):



Runner error.

Runner File Name (logitechDestopMessenger.exe) lacks a '-' (the app id separator)

Aceptar



A continuación se ha abierto la ventana inferior de avisos de McAfee con el siguiente aviso:

"El archivo C:\Archivos de Programa\Adobe\Acrobat5.0\Reader\Plugs_ins\WE_ estaba infectado por el troyano W32/RAHack!htm pero ViruScan lo ha limpiado automáticamente.



Al cerrar esta ventana, se ha repetido la del Runner Error que he citado antes.



Al cerrar de nuevo la del Runner, se ha abierto automáticamente la ventana de McAfee que ha intentado analizar el equipo pero se ha cerrado al cabo de 3 ó 4 segundos.



A continuación, el DD se a puesto a pedalear a toda leche. He mirado los procesos activos del sistema y veo urdvxc.exe con un uso del 32% y McShield.exe con un uso del 40%. Han estado varios minutos y se han detenido.



A ver que podeis decirme después de todo esto y de analizar el infoSat.



Muchísimas gracias.

[msc hotline sat]

Pues envianos esta muestra: URDVXC.EXE



http://spywarefiles.prevx.com/RRFCIG30491409/URDVXC.EXE.html



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y los informes deben oistearse ciub yb cioyar yt ioefarm pues ahtehamndolo se pierde su estructura :


[quote]
Thu Jan 04 21:41:36 2007 EliStartPage v13.02 (c)2007 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\WEB\RELATED.HTM --> Eliminado C:\WINDOWS\SYSTEM32\ATMTD.DLL --> Eliminado (Fichero Complementario). Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1 Eliminada Carpeta "\Program Files\AltNet" No detectado Parche MS04-012 de Microsoft instalado. (RPC) No detectado Parche MS06-001 de Microsoft instalado. (WMF) No detectado Parche MS06-070 de Microsoft instalado. (SServidor) ALERTA. WindowsUpdate Incompleto. Eliminadas las Paginas de Inicio y de Busqueda del IE Eliminados Ficheros Temporales del IE Thu Jan 04 21:48:17 2007 EliStartPage v13.02 (c)2007 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Exploración): C:\WINDOWS\system32\BORLNDMM.DLL --> Eliminado, DownLoader.SXS
[/quote]

Se aprecia eliminacion de malwares y falta de parches, lanza un windowsupdate y tras reiniciar nos cuentas el resultado, gracias



saludos



ms, 5-01-2007

[papabusi]

Logfile of HijackThis v1.99.1

Scan saved at 1:16:20, on 07/01/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\NETGEAR\WG311v3\WinDomainlogon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\NETGEAR\WG311v3\WinDomainlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\Dit.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\Archivos de programa\Prevx1\PXConsole.exe

C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\NETGEAR\WG311v3\wlancfg5.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Prevx1\PXAgent.exe

C:\Flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe

C:\WINDOWS\System32\svchost.exe

C:\Flexlm\SolidWorks SolidNetWork License Manager\SW_D.EXE

C:\Archivos de programa\Logitech\iTouch\kbdtray.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\JOAN\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Datos de programa\Prevx\pxbho.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\McAfee.com\Agent\McUpdate.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"

O4 - HKCU\..\Run: [LDM] \Program\

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Descargar usando Download &Express - C:\Archivos de programa\Download Express\Add_Url.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,90/mcinsctl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,25/mcgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CD2886B-A17E-4D64-9B72-99D187A564DD}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: bw+0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: offline-8876480 - {41E98082-E24C-40E4-8638-49F5DF6273AD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Archivos de programa\Prevx1\PXAgent.exe" -f (file missing)

O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\Flexlm\SolidWorks SolidNetWork License Manager\lmgrd.exe

O23 - Service: Print Spooler Service (vib8a4n66a) - Unknown owner - C:\c3.exe (file missing)

[papabusi]

A los que me estais ayudando, un monton de gracias !!!



De momento hemos mejorado una pasada:



Aquí me habeis facilitado un link para descargar el Prevx1.



He de decir que desde la máquina infectada me era imposible conectarme a vuestra página porque se cerraba el explorador automáticamente. Lo ha descargado desde el portátil y con un chupete lo he pasado al PC. Ha sido un éxito. Ha metido en la "cárcel" a 489 archivos. No he sabido como sacar un listado o como haceroslo llegar. I'm sorry !!! He reiniciado, y a partir de ese momento McAfee (que estaba bloqueado) se ha actualizado y escaneado el equipo. Ha detectado, limpiado y eliminado 1377 archivos infectados. Había los siguientes virus: W32/RAHack - W32/Sdbot.worm.gen.h - W32/Sdbot.worm.gen.q. Había los siguientes troyanos: W32/RAHack!htm - DollarRevenue - Spam-Mailbot. También ha eliminado tres PUP de Adware-Adtomi.dr



Después de esta limpieza, he reiniciado, he pasado de nuevo Prevx1 y a continución McAfee i no han detectado nada más. Puedo conectarme a vuestra i otras páginas sin problemas.



Quedo a la espera de vuestra respuesta en relación al log del HJT que os he enviado y en función a lo que me digais, podremos dar por cancelado (espero) el tema.



Gracias, gracias, gracias...

[papabusi]

Esta mañana he conectado el PC de marras. Funciona correctamente. He actualizado McAfee y he analizado el equipo. Cero archivos detectados. Sólo un "pero". El prevx1 se ha iniciado solo y ha metido en la cárcel a 25 archivos peligrosos. ¿Como puedo imprimirlos o sacar un informe para postearlos y alguien me diga si son peligrosos o no o que hacer con ellos?

[papabusi]

Sigue apareciéndome una ventana de error:



Apagar el sistema.



"... el apagado ha sido iniciado por NT Authority\system."



"El proceso de sistema C:\windows\system32\services.exe ha finalizado inesperadamente y muestra..."



En la misma ventana aparece un reloj iniciando una cuenta atrás de 60 segundos. Si hago doble clic sobre el reloj a la derecha de todo de la barra de inicio y atraso el reloj por ejemplo una hora, el reloj de cuenta atrás se incrementa también en una hora y tengo tiempo de sobras a cerrarlo todo correctamente. Pero ¿Qué es este proceso? ¿Un virus?

[Nuker]

Para lo del conteo pruebe con esto y diganos si se soluciona.



Inicio/Ejecutar/SHUTDOWN -a



Y pase en modo seguro el ELITRIIP posteenos el log generado copiandolo y pegandolo aqui.





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Acepta el bloqueo de intrusion.

[papabusi]

Adjunto informe ElitriIP



Lo copy/paste aqui porque no me deja adjuntarlo.



Tue Jan 09 20:17:54 2007

EliTriIP v2.99 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

[msc hotline sat]

eL VIRUS SE HA ELIMINADO, PERO EVIDENTEMENTE GA DE ACTUALIZAR LOS PARCHES !!!:



Logfile of HijackThis v1.99.1

Scan saved at 1:16:20, on 07/01/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Proceda en consecuencia sino sera victima de intrusiones a pesar de los antivirus.



FALTA DE PARCHES SP1



INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)



______________________________________



FALTA DE PARCHES SP2



Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.





Y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 13-01-2007