Code Injection Winlogon.exe (SOLUCIONADO)

[babaali]

Hola a tod@s,



Antes que nada decir que soy nuevo en este foro y agradeceros la posibilidad de permitir exponer mi problema.



Utilizo el Kerio 4 como fiewall, desde hace algun tiempo en el apartado de Alertas (HIPS), y con una frecuencia de 6 segundos, aparece el siguiente aviso:



Hips" type = 'Code injection', action = 'denied', descr = 'Process <unknown> injected dangerous code into \??\C:\WINDOWS\SYSTEM32\winlogon.exe (code address: 0x7C801D77)



¿Alguien sabe cual es la causa y la posible solución?.



Gracias por vuestra ayuda.



Saludos,

Jesús

[Nuker]

Al parecer esta bloqueando al Winlogon, pero primero hay que ver si no esta infectado con algun virus el fichero. Pasate Elistara en Modo Seguro, al terminar te creara un log en UNidad C, con el nombre de infoSat.txt copias contenido y pegas aqui.



Elistara:

http://www.zonavirus.com/descargas/elistara.asp



Modo SEGURO:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Saludos.

[msc hotline sat]

Parece un intento de intrusion sobre el WINLOGON.EXE que en esta carpeta (%SYSTEM%) es el del sistema operativo (si estuviera en %WINDIR% sería probablemente el NetSky)



Aparte de lo indicado por nuker, puede ver si hay algo vírico residente en el disco duro con los siguiente escaneos ONLINE, si bien ademas puede venir remotamente desde otros ordenadores en Red o desde Internet .



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]









y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:



testeo ONLINE de virus en memoria



Código:



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]



y tras ello nos comenta el resultado, gracias



saludos



ms, 23-03-2007

[babaali]

Hola. Gracias por vuestra ayuda.



He ejecutado en 'Modo Seguro' el programa 'ELISTARA.3042007' y a continuación copio el contenido del fichero de log.



Fri Mar 23 20:45:21 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKHHE]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKHHE.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JKHHE.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHHE.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\EHHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\system32\ssqolml.dll

Eliminada Class, "{1963F39B-17CD-4349-A3B4-8E808322C51A}" -> C:\WINDOWS\system32\jkhhe.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 23 20:47:05 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\DESCARGAS\SMS\EZUPDATE.EXE --> Eliminado, EasyUpdate

C:\WINDOWS\system32\SSQOLML.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri Mar 23 21:27:39 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKHHE]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKHHE.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JKHHE.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHHE.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\EHHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\SYSTEM32\ssqolml.dll

Eliminada Class, "{86F91985-88EF-4BA4-BF88-515073FFE0F7}" -> C:\WINDOWS\system32\jkhhe.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



**********

Comentar que al reiniciar el sistema, se volvio a ejecutar el programa y el Ad-Aware detectó varios intentos de alterar registros bloqueados. ¿Es normal?.



Muchas gracias.



Saludos,

Jesús

[Nuker]

Pero todavia no termina el escaneo con Elistara ya que le pide Elinotif.dll (utilidad complementaria al Elistara).



Descargue de nuevo Elistara y Elinotif.dll, las guarda en su escritorio, (el chiste es que esten juntos). Ejecutas Elistara en Modo Seguro y ya te detectara Elinorif.dll y con eso eliminara lo que falta.



Elistara:

http://www.zonavirus.com/descargas/elistara.asp



Elinotif.dll:

http://www.zonavirus.com/descargas/elinotif.asp



Y nos pega de nuevo el log.

[babaali]

Hola NUKER,



Ahora, cuando reinicio el sistema se ejecuta el programa ELISTARA, solicitandome una serie de acciones. ¿Es normal?



Hice lo que aconsejaste y este es el resultado del Log:





Fri Mar 23 22:04:31 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKHHE]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKHHE.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\SSQOLML] -> C:\WINDOWS\SYSTEM32\SSQOLML.DLL

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JKHHE.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHHE.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\EHHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\SYSTEM32\ssqolml.dll

Eliminada Class, "{BEEAF08E-AD6B-463C-8AF6-45FFA7B0DC38}" -> C:\WINDOWS\system32\jkhhe.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 23 22:05:08 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSQOLML.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.03.13 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\jkhhe"

Elininado BHO: "{B5A282C6-89AB-4D28-83E0-7E723CFB76F3}"

Elininada Class: "{B5A282C6-89AB-4D28-83E0-7E723CFB76F3}"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\ssqolml.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\ssqolml"

Desinstalado EliNotif.dll



Fri Mar 23 22:31:48 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\SYSTEM32\ssqolml.dll

ALERTA. WindowsUpdate Incompleto.





Saludos,

Jesús

[Nuker]

Si, es para a eliminacion del troyano, tenias un Vundo Y fue eliminado, realiza un Windows Update, reinicia y nos comentas resultados.



Windows Update:

https://support.microsoft.com/es-es/help/12373/windows-update-faq



Y si encuentras este fichero envielo para su analisis:



C:\WinLogon\[b]JKHHE.DLL[/b]



Como Enviar ?:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[babaali]

NUKER,



Visité Windows Update pero no había ninguna actualización disponible.



Reinicié y de momento no hay señales del 'code injection', pero te agradecería me dieras un día, antes de dar por solucionado el tema, para comprobar que no vuelve a reproducirse el aviso. Mañana informo del resultado final.



Una pregunta, ¿es aconsejable ejecutar periodicamente el ELISTARA?.



Muchas gracias.



Saludos,

Jesús

[babaali]

Acaba de producirse un 'pantallazo azul' provocado por un error irrecuperable de Windows. He vuelto a reiniciar el ordenador y voy a esperar a ver que ocurre.



Saludos,

Jesús

[babaali]

Esto funciona cojonudamente y límpio como una patena.



Muchas gracias amigos por vuestra ayuda.



Saludos,

Jesús

[msc hotline sat]

De todas formas mira si en la carpeta C:\muestras hay ficheros, y si es asi envianoslos para su analisis



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



No he visto que los ficheros movidos a muestras haya sido posteriomente detectados, asi que aun hay faena que hacer.



Tras el analisis implementaremos su control y eliminacion, si procede , en la proxima version del ELISTARA, que convendrá pruebes para terminar la limpieza



saludos



ms, 24-02-2007

[babaali]

El envío del fichero 'JKHHE.DLL.Muestra EliStartPage v13.60' ya lo hice ayer noche.



Si, cómo dices, aun queda faena por hacer, quedo atento a vuestros consejos.



Saludos

Jesús

[msc hotline sat]

Pues cuando regresemos al trabajo en SATINFO la analizaremos, de momento al estar en la carpeta de muestras ya esta en cuarentena, y si no hay mas incidencias. con la version del lunes del ELISTARA ya estará controlado.



saludos



ms, 24-03-2007

[babaali]

Hola de nuevo,



He descargado y ejecutado la versión ELISTARA.7042007 y copio el contenido del fichero InfoSat.txt.



Espero vuestra información para saber si he conseguido eliminar los problemas que afectaban a mi ordenador.





Fri Mar 23 20:45:21 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKHHE]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKHHE.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JKHHE.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHHE.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\EHHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\system32\ssqolml.dll

Eliminada Class, "{1963F39B-17CD-4349-A3B4-8E808322C51A}" -> C:\WINDOWS\system32\jkhhe.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 23 20:47:05 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\DESCARGAS\SMS\EZUPDATE.EXE --> Eliminado, EasyUpdate

C:\WINDOWS\system32\SSQOLML.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri Mar 23 21:27:39 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKHHE]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKHHE.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JKHHE.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHHE.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\EHHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\SYSTEM32\ssqolml.dll

Eliminada Class, "{86F91985-88EF-4BA4-BF88-515073FFE0F7}" -> C:\WINDOWS\system32\jkhhe.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri Mar 23 22:04:31 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKHHE]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKHHE.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\SSQOLML] -> C:\WINDOWS\SYSTEM32\SSQOLML.DLL

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JKHHE.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHHE.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\SSQOLML.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\EHHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\SYSTEM32\ssqolml.dll

Eliminada Class, "{BEEAF08E-AD6B-463C-8AF6-45FFA7B0DC38}" -> C:\WINDOWS\system32\jkhhe.dll

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Mar 23 22:05:08 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SSQOLML.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.03.13 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\jkhhe"

Elininado BHO: "{B5A282C6-89AB-4D28-83E0-7E723CFB76F3}"

Elininada Class: "{B5A282C6-89AB-4D28-83E0-7E723CFB76F3}"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\ssqolml.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\ssqolml"

Desinstalado EliNotif.dll



Fri Mar 23 22:31:48 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{C3178C97-FE42-4A9F-8574-C9BF97524A17}" -> C:\WINDOWS\SYSTEM32\ssqolml.dll

ALERTA. WindowsUpdate Incompleto.



Tue Mar 27 23:44:25 2007

EliStartPage v13.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Tue Mar 27 23:44:40 2007

EliStartPage v13.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\JKHHE.DLL.MUESTRA ELISTARTPAGE V13.60 --> Eliminado, Vundo (notify)

C:\WINDOWS\system32\JKHHE.DLL --> Eliminado, Vundo (notify)

C:\WinLogon\JKHHE.DLL --> Eliminado, Vundo (notify)





Saludos y muchas gracias,

Jesús

[babaali]

Tambien ejecute el programa HijackThis por si sirve de algo:



Logfile of HijackThis v1.99.1

Scan saved at 0:01:36, on 28/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\DESCARGAS\SOFTWARE\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SURFEANDO

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [myWIFIzone] C:\Archivos de programa\myWIFIzone\myWIFIZone.exe

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Ad-Aware] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\ad-aware.exe" +c

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2007\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Launch K9.lnk = C:\Archivos de programa\KeirNet\K9\K9.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15009/CTSUEng.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laurakny1902.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148682493578

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {74B75D58-DAD1-447F-B7DB-D80EAA6325B6} (SNAE_MSA.MSA) - https://notificaciones.administracion.es/APE/CABS/PaqueteSin/SNAE_MSA.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://apuc.cert.fnmt.es/cabs/capicom.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4645/mcfscan.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15010/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{92857317-2BA4-4A84-9CC5-326FAAACE063}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

[msc hotline sat]

Pues elimina esta clave, que es un resto de Norton que ya no usas:



O20 - Winlogon Notify: NavLogon - C:\WINDOWS\



y aparte de esto , el log está limpio



Y con ello y eliminado el VUNDO segun se observa en el infosat, damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 28-03-2007