Solo inicia en Modo Seguro

ezechaco · Mensaje por **ezechaco** » 27 Feb 2007, 03:05

El problema que tengo es que cuando inicio el XP se queda trabado en la pantalla "Windows se esta iniciando..." Solo puedo entrar en Modo seguro. Ya probé restaurar, ya pase antivirus (AVG-Ewido), el ad-aware, y nada.. aparecen un par de bichos, los borro, pero sigo sin poder entrar.

El SpyBot no puede borrar lo sig:

Command Service

Windows.RedirectedHosts

Smitfraud-C

Ya probé limpiar los contactos de las placas y memorias.

El HijackThis me dice lo sig:

Logfile of HijackThis v1.99.1

Scan saved at 10:08:42 p.m., on 26/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Programas\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B99843E2-A233-416F-A3B6-B4F2E2D61560}: NameServer = 85.255.115.30,85.255.112.226

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O20 - AppInit_DLLs: dxclib303562752.dll

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Jcghji32.dll (file missing)

O21 - SSODL: XnZaHsU - {ACCDC92A-0667-6380-34FD-58749FFCE767} - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXplcXVpZWwgU3XhcmV6\command.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Por favor ayuda!

Desde ya muchas gracias!

Nuker · Mensaje por **Nuker** » 27 Feb 2007, 03:32

Tienes mucho malware y DNS Maliciosos...

Para el Malware haz lo siguiente:

1-Entra en Modo Seguro

2-Abre HJT (Hijack This)

3-Marca estas claves y dales fix checked:

R3 - URLSearchHook: (no name) - _{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O20 - AppInit_DLLs: dxclib303562752.dll

O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Jcghji32.dll (file missing)

O21 - SSODL: XnZaHsU - {ACCDC92A-0667-6380-34FD-58749FFCE767} - (no file)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXplcXVpZWwgU3XhcmV6\command.exe (file missing)

-------------------------------

4- Reincie y si puede acceder a Modo Normal envienos muestras de estos ficheros:

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\~~[b]~~a3dxq.dll [/b]

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\~~[b]~~winsys2f.dll [/b]

Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Al enviar los ficheros renombre los ficheros (a3dxq.dll y winsys2f.dll) a .vir como se ve enla muestra:

a3dxq.dll ----> a3dxq.vir (Asi no daran problema)

winsys2f.dll ----> winsys2f.vir

Y para los DNS, una vez dentro de modo normal ejecuta CONFGDNS:

Utilidad para cambiar los servidores DNS cuando el ELISTARA detecta que han sido cambiados los originales por otros no deseados.

Antes de ejecutar esta utilidad debe haberse contactado con el ISP (Proveedor de Servicios de Internet) para saber los que ellos sugieren utilizar, o conocer otros que se deseen implantar en su lugar.

http://www.zonavirus.com/descargas/confgdns.asp

ezechaco · Mensaje por **ezechaco** » 27 Feb 2007, 05:03

Vuelve a pasar lo mismo.

La linea [i]O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXplcXVpZWwgU3XhcmV6\command.exe (file missing)[/i] no la puedo borrar... vuelve a aparecer.

Te copio nuevamente el resultado luego de borrar las lineas que me indicaste. Muchas gracias!

Logfile of HijackThis v1.99.1

Scan saved at 12:06:03 a.m., on 27/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Programas\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B99843E2-A233-416F-A3B6-B4F2E2D61560}: NameServer = 85.255.115.30,85.255.112.226

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXplcXVpZWwgU3XhcmV6\command.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 27 Feb 2007, 05:48

Bueno, el command.exe puede ser instalado por el virus FEEBS.

Pruebe el ELIFEEBA:

Y tras ello nos postea el contenido de c:\infosat.txt , y veremos si ha sido suficiente

saludos

ms, 27-02-2007

nota: y tras recibir las muestras solicitadas, las analizaremos y veremos si tambien son malwares y debemos eliminar las claves, lo cual ya informariamos, aparte de implementarlo en su caso en la proxima version del ELISTARA. ms.

ezechaco · Mensaje por **ezechaco** » 27 Feb 2007, 19:57

Ok. Ni bien llegue a casa haré lo que me dices con el ELIFEEBA.

Pero tengo un par de dudas ya que eso que me indicas es solo para sacar el command.exe y yo sigo teniendo el ~~[b]~~Windows.RedirectedHosts[/b] y el ~~[b]~~Smitfraud-C[/b].

O también removerá esos dos?

~~[b]~~Otra duda: [/b]como hago para pasarte los archivos a3dxq.dll y winsys2f.dll? Traté de copiar y pegar y no pude, traté de comprimir y tampoco.

Desde ya muchas gracias por su tiempo!

Mensaje por **msc hotline sat** » 27 Feb 2007, 19:59

Tras eliminar lo del command.exe, lanza un ELISTARA a ver que nos dice:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 27-02-2007

ezechaco · Mensaje por **ezechaco** » 28 Feb 2007, 02:50

Creo que no lo eliminó el EliFeebA.exe al COMMAND.EXE, me decia que no encontró nada.

Luego le pasé el ELISTARA.07032007.EXE y me tira un error.

Te paso el Infosat:

Tue Feb 27 21:50:48 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\A3DXQ]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\A3DXQ.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

Nuker · Mensaje por **Nuker** » 28 Feb 2007, 07:02

Y esto que es ?

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\~~[b]~~A3DXQ.DLL[/b]

Envialo para su neutralizacion...Agarralo como te indica:

[quote]Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación[/quote]

Una vez teniendo el archivo (A3DXQ.DLL) envielo:

COMO ENVIAR ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 28 Feb 2007, 07:35

Pues de la misma forma que indica Nuker para la DLL, envienos el COMMAND.EXE ya que quizas es una variante no conocida del FEEBS, y tras recibirla, la analizaremos y pasaremos a controlar, de lo cual informaremos.

saludos

ms, 28-02-2007

ezechaco · Mensaje por **ezechaco** » 02 Mar 2007, 03:56

Por suerte pude reiniciar en MODO NORMAL.

Borré con el ~~[b]~~FileASSASSIN[/b] los archivos A3DXQ.DLL y el winsys2freg, luego pasé el RegSeeker como 4 veces y arrancó.

Lo único que no me quedó bien es lo del DNS. Sigo sin poder entrar a los sitios oficiales de antivirus (ej. http://www.pandasoftware.es). Le pasé el Elistara (ver txt) y me salta el error, quise solucionarlo con el CONFGDNS pero nose como averiguar el DNS correcto. Llamé a Fibertel (mi proverdor de internet) y me dice que no tienen DNS fijos, que son aleatorios (?). Nose que me quiso decir pero no me dio ningun número. Hay otra forma de averiguarlo?

Les copio el Infosat del Elistara.

Tue Feb 27 21:45:30 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\A3DXQ]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\A3DXQ.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\Documents and Settings\Ezequiel\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Tue Feb 27 21:50:48 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\A3DXQ]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\A3DXQ.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

Thu Mar 01 21:44:35 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.30,85.255.112.226

Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 housecall.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 v4.windowsupdate.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 v5.windowsupdate.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 v5windowsupdate.microsoft.nsatc.net

Linea Eliminada del HOSTS --> 127.0.0.1 windowsupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 windowsupdate.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.bitdefender.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ravantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windowsupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 www3.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads-us1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads-eu1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.symantec.com

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Mar 01 21:45:10 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\BitLord\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\ratDVD\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage

C:\Programas\BITLORD_1.01.EXE --> AutoExtraible

C:\Programas\Rat DVD\RATDVDSETUP-0.75.1333.EXE --> AutoExtraible

También les dejo el del HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 11:00:38 p.m., on 01/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\Notepad.exe

C:\Programas\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B99843E2-A233-416F-A3B6-B4F2E2D61560}: NameServer = 85.255.115.30,85.255.112.226

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 07 Mar 2007, 20:43

Sigues teniendo mal el servidor de DNS !!!

Mira el informe del ELISTARA: "Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.30,85.255.112.226 "

y efectivamente

O17 - HKLM\System\CCS\Services\Tcpip\..\{B99843E2-A233-416F-A3B6-B4F2E2D61560}: NameServer = 85.255.115.30,85.255.112.226

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.226

Pues solucionalo !!!:

Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran otras claves con la indicacion del los de Ukraina, vea que el primer O17 será el nuevo que ha puesto, elimine las claves O17 restantes

saludos

ms, 7-03-2007

Solo inicia en Modo Seguro

Solo inicia en Modo Seguro

No inicio en modo normal

Consultas relacionadas

Me parece que no lo elimino

DNS