No se encontró Services.dll

ramonpertusa · Mensaje por **ramonpertusa** » 15 Ene 2007, 18:31

Hola de nuevo:

Hace unos dias que me aparece el mensaje:

Update.exe No se puede encontar el componente

Error al iniciar la aplicación porque no se encontró Services.dll . La reinstalación de la aplicación puede solucionar el problema.

He leido en el foro un hilo sobre este tema y me ha parecido entender que era un problema se spyware, en consecuencia he hecho lo siguiente:

a) He pasado el NOD32 (está residente) . No ha detectado nada

b) He instalado Windows Defender y Spybot Search&Destroy:

han encontrado algunas cosas y las han eliminado

c) He pasado el ELISTARA 24012007 y ha detectado un par de archivos infectados (los ha eliminado)

El informe generado es:

Mon Jan 15 16:23:53 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 15 16:25:09 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Cyanide\GameCenter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Cyanide\Pro Cycling Manager\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\PowerISO\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Rational\Rational Test\SQA7XML.DLL --> Eliminado, ISTBar (dldr)

C:\Archivos de programa\Spamihilator\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Spamihilator\updates\LANGUAGEPACK_1023.EXE --> AutoExtraible

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Ciclismo\INSTALL.EXE --> AutoExtraible

C:\Ciclismo\Crack CaxoperrosTeam\INSTALL_PCM_PATCH_11R.EXE --> AutoExtraible

C:\Ciclismo\Crack CaxoperrosTeam\INSTALL_PCM_PATCH_12R.EXE --> AutoExtraible

C:\Ciclismo\Crack CaxoperrosTeam\INSTALL_PCM_PATCH_13R.EXE --> AutoExtraible

C:\Ciclismo\Crack CaxoperrosTeam\INSTALL_PCM_PATCH_14B.EXE --> AutoExtraible

C:\Ciclismo\GameCenter\GAMECENTERSETUP.EXE --> AutoExtraible

C:\Documents and Settings\Ramón\Escritorio\Instaladores en C Sobremesa\DSKINV.EXE --> AutoExtraible

C:\Documents and Settings\Ramón\Escritorio\Instaladores en C Sobremesa\SPAMIHILATOR_0_9_9_9.EXE --> AutoExtraible

C:\Documents and Settings\Ramón\Escritorio\Instaladores en C Sobremesa\UNLOCKER1.7.9.EXE --> AutoExtraible

C:\Documents and Settings\Ramón\Escritorio\Instaladores en C Sobremesa\URICRYPT.EXE --> AutoExtraible

Mon Jan 15 16:34:47 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

E:\Gran Ceque\Materiales del curso de Aula virtual\Programas\7Z423.EXE --> AutoExtraible

E:\Incoming de Emule\VIRTUAL-MAGNIFYING-GLASS.EXE --> AutoExtraible

E:\Incoming de Emule\power iso\power iso\POWERISO26.EXE --> AutoExtraible

E:\Incoming de Emule\Symantec Norton Ghost 2006 v10\Symantec Norton Ghost 2006 v10\NG061000EN.EXE --> AutoExtraible

E:\Instaladores en G\FILELISTER211.EXE --> AutoExtraible

E:\Instaladores en G\Firewalls, P2P\EMULE0.46A_INSTALLER.EXE --> AutoExtraible

E:\Instaladores en G\Utilidades del Sistema\Utilidades de Disco\XOFTSPY409.EXE --> AutoExtraible

E:\Ramón\Ramón\Ramón\pertuarrikitaun\Mis archivos recibidos\PRACTICA 3(2).EXE --> Eliminado, Puper-Is

E:\Ramón\Ramón\Ramón\Universidad\Metodologia y tecnologia de la programacion\Practicas de Programación\PRUEVA2.EXE --> Eliminado, Puper-Is

~~[b]~~[color=red]El problema persiste[/color][/b]. Aquí envío el informe de Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 17:06, on 07-01-15

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\altera\quartus42sp1\bin\JTAGServer.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\PaperCut Print Logger\pcpl.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nutsrv4.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\InkSaver\InkSaver.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\PowerISO\SCDEmuApp.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Spamihilator\spamihilator.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\DOCUME~1\RAMN~1\CONFIG~1\Temp\98exmodul32g.3.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Documents and Settings\Ramón\Escritorio\Aplicaciones\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [.nvsvc] "C:\WINDOWS\system\smss.exe" /w

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [InkSaver] C:\Archivos de programa\InkSaver\InkSaver.exe hide

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NuTCSetupEnviron] "C:\Archivos de programa\Rational\Rational Test\nutcroot\bin\ncoeenv.exe"

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg

O4 - HKLM\..\Run: [PMCRemote] "C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SCDEmuApp.exe] "C:\Archivos de programa\PowerISO\SCDEmuApp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: HDDlife.lnk.disabled

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Capture all picture by Capture Studio - C:\Archivos de programa\FLISoft\Capture Studio\CapAll.htm

O8 - Extra context menu item: Capture picture by Capture Studio - C:\Archivos de programa\FLISoft\Capture Studio\CapOne.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139326894679

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D41F2196-4045-47AD-917B-E052DEE6223E}: NameServer = 212.145.159.141,212.145.4.98

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - C:\altera\quartus42sp1\bin\JTAGServer.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PaperCut Print Logger (PCPrintLogger) - Unknown owner - C:\Archivos de programa\PaperCut Print Logger\pcpl.exe" PCPrintLogger (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Gracias, anticipadas, por vuestra ayuda

Mensaje por **msc hotline sat** » 15 Ene 2007, 19:19

eNVIANOS ESTOS FICHEROS PARA ANALIZAR:

C:\DOCUME~1\RAMN~1\CONFIG~1\Temp\98exmodul32g.3.exe

C:\WINDOWS\system\smss.exe

Y ELIMINA ESTAS CLAVES:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [.nvsvc] "C:\WINDOWS\system\smss.exe" /w

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

recuerda: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 15-01-2007

ramonpertusa · Mensaje por **ramonpertusa** » 15 Ene 2007, 20:10

Muchas gracias por la celeridad.

Os he enviado los dos ficheros que me solicitábais y el nuevo log de Hijackthis.

El mensaje sigue apareciend

Hasta la próxima

Mensaje por **lucl** » 15 Ene 2007, 22:20

Hola ramon, copiales el log de hijackthis aqui tal cual viene porque por correo no se ve bien y te lo van a pedir otra vez asi vas ganandole tiempo . saludos.

ramonpertusa · Mensaje por **ramonpertusa** » 15 Ene 2007, 23:59

Aquí está el log de hijackthis posterior a la eliminación de las entradas:

Logfile of HijackThis v1.99.1

Scan saved at 19:04, on 07-01-15

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\altera\quartus42sp1\bin\JTAGServer.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\PaperCut Print Logger\pcpl.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nutsrv4.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe

C:\Archivos de programa\InkSaver\InkSaver.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\PowerISO\SCDEmuApp.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Spamihilator\spamihilator.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Documents and Settings\Ramón\Escritorio\Aplicaciones\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [InkSaver] C:\Archivos de programa\InkSaver\InkSaver.exe hide

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NuTCSetupEnviron] "C:\Archivos de programa\Rational\Rational Test\nutcroot\bin\ncoeenv.exe"

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg

O4 - HKLM\..\Run: [PMCRemote] "C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SCDEmuApp.exe] "C:\Archivos de programa\PowerISO\SCDEmuApp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Archivos de programa\Acronis\TrueImage\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: HDDlife.lnk.disabled

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Capture all picture by Capture Studio - C:\Archivos de programa\FLISoft\Capture Studio\CapAll.htm

O8 - Extra context menu item: Capture picture by Capture Studio - C:\Archivos de programa\FLISoft\Capture Studio\CapOne.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139326894679

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D41F2196-4045-47AD-917B-E052DEE6223E}: NameServer = 212.145.159.141,212.145.4.98

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - C:\altera\quartus42sp1\bin\JTAGServer.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PaperCut Print Logger (PCPrintLogger) - Unknown owner - C:\Archivos de programa\PaperCut Print Logger\pcpl.exe" PCPrintLogger (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Gracias por la advertencia

Mensaje por **msc hotline sat** » 16 Ene 2007, 11:37

Recibidas muestras.

Con la version de hoy del ELITRIIP 3.06 se implementará control Y ELIMINACION DE ESTA VARIANTE DE BACKDOOR CMQ

Descarguela a parttir de las 20 h y comentenos el resultado, gracias

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 16-01-2007

ramonpertusa · Mensaje por **ramonpertusa** » 16 Ene 2007, 20:58

Me descargo , sin dificultad, la versión 3.06 de Elitrip, pero al ejecutarla me dice que no es una version de win32 válida

Nuker · Mensaje por **Nuker** » 17 Ene 2007, 00:48

Pruebala si te deja en modo seguro, si no es asi comentalo y espera al moderador.

ramonpertusa · Mensaje por **ramonpertusa** » 17 Ene 2007, 08:54

Hola de nuevo:

1º He vuelto a descargar e intentar ejecutar el Elitriip 3.06, pero sigue dando el mensaje de que no es una aplicación válida para win32

2º El proceso anterior no lo puedo hacer en modo seguro porque me desactiva todos los programas de Inicio y no me da acceso a internet

3º He descargado el Elitriip 3.06 en otro ordenador y observo que el icono que lo describe tiene los caracteres Elitriip, mientras que en el ordenador que tiene el problema que tratamos lo descarga con un icono estandard (rectángulo con

franja azul superior)

4º He lanzado el Elitriip 3.06 para probarlo y trabaja, pero dice ser la versión 3.05 ( no la 3.06 que anunciaba el enlace)

5º He probado a bajar el Elitirip 3.06 desde un tercer ordenador pero en este caso me dice que no puede encontrar la página web

Mensaje por **msc hotline sat** » 17 Ene 2007, 10:46

Verificada correcta descarga y funcionamiento del ELITRIIP

Arranca en modo seguro CON FUNCIONES DE RED, lo descargas y lo guardas en una carpeta, y desde esta lo pruebas, sin reiniciar ni nada.

Y nos cuentas el resultado, gracias

saludos

ms, 17-01-2007

Mensaje por **msc hotline sat** » 17 Ene 2007, 13:20

Paralelamente a esta incidencia hemos visto que el mensaje indicado aparece en utilizades mal limpiadas de virus que hoy estamos recibiendo, los cuales infectan ficheros ejecutables que quedan maltrechos, dando este mensaje de error al ejecutarlos de nuevo.

Ello lo hemos observado ante muestras recibidas a las que hemos pasado el antivrus ONLINE de E-Trust , que lo ha detectado como Sality pero que aun detectandolo y limpiuandolo, no deja operativos los ficheros procesados.

Vamos a probar con otro e informaremos

saludos

ms, 17-01-2007

moraleja: examina tu ordenadocon un anyivirus actualizado, pues posiblemente esta infectado con un virus y si ya lo has hecho y limpiado, el antivirus usado no los limpia bien. Pero si bajando de nuevo utilidades de este foro, persiste con las nuevas, quiere decir que tiene el virus galopando e infectando todo lo que tocas... ! ms.

Mensaje por **msc hotline sat** » 17 Ene 2007, 18:22

Ya podemos informar al respecto:

Han sido varias las incidencias de hoy con ficheros infectados en ordenadores que propagaban mails masivos...

El virus infector es el SALITY.Y , detectado y eliminado correctamente por McAfee con con Daily Dats de hoy, y dicho virus infector de EXE, genera una variante del gusano STRATION que se propaga por e-mail masivamente

Ya hemos subido a esta web la version 3.2 del ELISTRAT que controla dicha variante del gusano, pero que no debe ejecutarse desde el disco duro infectado porque se infectaría y alteraría el checksum de la utilidad, indicando estar infectada por un virus (el SALITY residente) y no se ejecutaría.

Por ello recomendamos bajar dicha utilidad desde otro ordenador no infectado, copiarla a disquete y protegerlo contra escritura o granarla en un CDROM, y colocar dichos soportes en la máquina infectada y ejecutar la utilidad de dicha forma. sin que el virus pueda infectar a la utilidad al estar protegido el disquete y ser inaccesible por escritura en el CDROM

Esta utilidad, ademas de eliminar el gusano STRATION, eliminará la clave que nos impide arrancar en modo seguro, por lo que tras ello podremos arrancar en dicho modo y lanzar el antivirus actualizado, que limpiará todos los ficheros infectados del SALITY.Y

McAfee ya lo hace correctamente con los Daily Dats de hoy, y se supone que con los DAT de esta noche ya vendrá implementado

Aun así, al no poderse arrancar normalmente en modo seguro, por estar inabilitado por el virus, con el antivirus solo no se podrá eliminar dicho conjunto, pues disppone de un Rootkit que desactiva el antivirus e impide su lanzamiento.

Otros antivirus limpian mal por ahora dicho virus, posiblemente por utilizar métodos de versiones anteriores, pero se supone que en un futuro lo mejorarán. Nosotros, usando McAfee, no tenemos problema al respecto

Si las utilidades indicaran que el checksum ha sido cambiado, una vez limpiado el virus infector, es porque se ha alterado el checksum, pero sobreecribiendo con una nueva version descargada de esta web ya no deben decirlo, y si lo siguen diciendo es que el virus está pululando todavía

saludos

ms, 17-01-2007

ramonpertusa · Mensaje por **ramonpertusa** » 17 Ene 2007, 19:12

En la zona de descargas sólo aparece la versión 3.1 de ELISTRAT

¿Dónde he de buscar la 3.2 ?

Gracias

ramonpertusa · Mensaje por **ramonpertusa** » 17 Ene 2007, 19:32

Lo siento, ya aparece en la zona de descargas la versión 3.2 , no se porqué no la veía, quizás no actualizaba la página.

Ya diré como ha ido el análisis

Mensaje por **msc hotline sat** » 17 Ene 2007, 19:37

No era raro que no la vieras, porque las hemos ido subiendo a medida que se iban probando y con la 3.1 no ha sido suficiente y ya hemos cambiado el numero antes de tener hecha la 3.2, trabajando no en paralelo sino en tripleto, si vale la palabra

El hecho es que la que hemos subido responde a las necesidades de la moda de hoy, que posiblemente sea lo que le ha afectadao o mas de lo mismo.

Ya nos contará el resultado, pero siga las indicaciones al pie de la letra. Por cierto, acabamos de descargar mientras escribo, la version de DATS de McAfee de hoy, la 4941, comprobando lo esperado, que ya han implementado la deteccion y eliminacion de dicho Sality.Y

saludos

ms, 17-01-2007

ramonpertusa · Mensaje por **ramonpertusa** » 17 Ene 2007, 20:06

He descargado el ELISTRAT 3.2 en un ordenador "presuntamente" limpio directamente a un disquette, y lo he protegido contra escritura.

He lanzado el ELISTRAT en el ordenador del mensajito de marras y el programa ha corrido con "aparente" normalidad, he recorrido todos los HD que había en él y el programa no ha detectado ninguna infección ni ha dado ningún mensaje especial (salvo un anuncio de que había una cierta carpeta a la que no podía acceder)

Todo el apartado anterior ha tenido lugar con el ordenador encendido en modo normal.

Lo he reiniciado en modo seguro (con funciones de red) y he vuelto a repetir todo el proceso con idéntico resultado.

Reitero mi agradecimiento por vuestra atención y seguimos...

Mensaje por **msc hotline sat** » 17 Ene 2007, 20:44

No, esto segundo no es lo que has de hacer:

"Lo he reiniciado en modo seguro (con funciones de red) y he vuelto a repetir todo el proceso con idéntico resultado. "

Con ello ya puedes arrancar en modo seguro, pues hazlo y con el antivirus actualizado, lanzalo y desinfecta los ficheros infectados

Lo que hemos hecho con el ELISTRAT es poder arrancar en modo seguro, que de otra forma no dejaba.

Ahora bien, el antivirus que uses es cosa tuya. Nosotros con el McAfee 4941 controlamos y limpiamos dicho virus. Cada cual con su antivirus...

saludos

ms, 17-11-2007

ramonpertusa · Mensaje por **ramonpertusa** » 17 Ene 2007, 21:46

Varias cosas:

1ª He arrancado en modo seguro, he hecho correr el ELISTRAT y no ha detectado nada

2ª Cuando bajo el ELITRIIP 26012007 me lo sigue descargado inoperante ( creo que es lo que me comentábais del fallo en el checksum) con el consiguiente mensaje de: No es una aplicación win32 válida.

3ª El mensaje que dió lugar a este hilo parece ser que procedía de una entrada en los programas de Inicio. Como el otro día instalé el Windows Defender he curioseado un poco y he visto que me ofrecía la posibilidad de deshabilitar las diferentes entradas y , aunque me lo habéis desaconsejado en otro hilo de estos foros, como sólo era deshabilitar la entrada, y no borrarla, lo he hecho y ha funcionado, cuando está habilitada sale el mensaje y cuando la deshabilito ya no sale, aunque también es cierto que hace unos días hice la misma jugada con el Spybot&Destroy y no me funcionó.

Resumiendo, el problema original parece resuelto, pero lo del checksum del ELITRIIP no.

Si decides cerrar este hilo me gustaría saber como seguir al tanto del último problema.

Muchas gracias

ramonpertusa · Mensaje por **ramonpertusa** » 17 Ene 2007, 22:50

Aclaración:

En el primer punto del mensaje anterior he puesto : he hecho correr el ELISTRAT ... , me he equivocado, de bería haber puesto: he pasado mi antivirus , pero no ha detectado nada. En los próximos días volveré a pasarlo.

Mensaje por **msc hotline sat** » 19 Ene 2007, 11:09

Al haberse mezclado dos problemas, el del SALITY/STRATION que los antivirus limpiaban mal, con el de un update que ´se había degradado, cabe que por cualquiera de las dos causas saltara el ERROR, si bien ha habido casos de todo.

Hemos subido nueva version del ELITRIIP, descargala y tras probarla nos informas si sigue dando problemas o ya no, y en funcion de la respuesta sabremos donde estamos ...

saludos

ms, 19-01-2007

ramonpertusa · Mensaje por **ramonpertusa** » 19 Ene 2007, 16:07

Hola de nuevo:

He bajado la nueva versión de ELITRIIP y no da ningun problema, la he hecho correr y ha detectado un par de ficheros infectados. Los ha borrado y listo.

De todos lo ordenadores que manejo, tan sólo hay uno que todavía no es capaz de arrancar en modo seguro, haré nuevas pruebas y ya os diré.

Hasta la próxima

Mensaje por **msc hotline sat** » 19 Ene 2007, 17:25

En dicho ordenador prueba el ELISTRAT 3.2, que aunque no tenga virus, restaurará las claves del SAFEBOOT, y es de esperar que tras ello arranque en modo seguro

saludos

ms, 19-01-2007

ramonpertusa · Mensaje por **ramonpertusa** » 22 Ene 2007, 09:08

Hola de nuevo:

He descargado la versión actual de ELISTRAT , la he ejecutado y no ha encontrado nada (no ha dado ningún mensaje) .

Pero el ordenador sigue sin poder arrancar en modo seguro.

Mensaje por **msc hotline sat** » 22 Ene 2007, 11:10

Pues REPARE windows, que ya no es solo las claves que modifican estos virus !:

[quote]

Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

[/quote]

y nos cuenta el resultado, gracias

saludos

m,s, 22-01-2007