PROBLEMAS CON LA MEMORIA OPERATIVA (SOLUCIONADO)

[Nelson Ayala]

Muy buenas señores de Foro virus y antivirus, soy un miembro nuevo de este foro, y quisiera que ustedes me puedan ayudar, ya que he intentado de todo, y mis problemas aún no los puedo solucionar.
Para comenzar les cuento que tengo las siguientes herramientas:mwav, AVG anti-spyware 7.5, Spywareblaster, Spybot-Search & Destroy, FileASSASSIN,RegSeeker, Hijackthis, Spyware Doctor y NOD32 como antivirus de cabecera. Mi problema es que siguiendo algunos consejos de otros foros, la verdad no he podido solucionar mi problema; con lo poco o nada que se, tengo la certeza de tener Troyanos, que por lo que he leido, alguien los introduce para conocer todo lo que hago con mi ordenador, la verdad, si el problema fuese solo ese, quizas no me preocuparía tanto, pero lo cierto es que mi computador está muy lento, y cada vez que inicio Windows NOD32 me acusa la presencia de virus, pero me dice que no los puedo eliminar ni desinfectar porque están en la memoria operativa en uso. Les entrego antecedentes detallados de mi computador para que sepn todo y me puedan ayudar:

1. tengo un PC Olidata Pentium IV 3.01, 160 GB Disco Duro,1024 RAM, SO Windows XP Profesional.
2. Inicialmente venia con Windows XP Home, pero después de aparecer numerosas pantallas azules, me pasaron el Pro, pero la verdad era falsificado(clave de licencia VLK por volumen), y cuando actualize Windows, me arrojó que estaba ante la presencia de Software pirata, y no tengo el dinero como para adquirir uno original.
3. Los virus que me arroja NOD32 son: Win32/Adware.ToolBar.SearchColours aplicación, Win32/Adware.Virtumonde.FT aplicación, Win32/BHO.NAH Troyano. Variante Modificada de Win32/BHO:G Troyano
4. Otros problemas: cuando prendo el computador, se demora cerca de 1 minuto y medio en llegar al inicio de sesión (lentísimo), cuando ingreso al escritorio los iconos aparecen como aplicaciones desconocidas y de a poco se van restaurando, en el MSN ya no puedo revisar mi correo desde ahí como antes, tengo que hacerlo desde la página Hotmail, al navegar por Mozilla FireFox, me aparecen pantallas de Internet Explorer sin Encontrar o el sitio Broadcaster.
Bueno no quiero hablar tanto, pero era necesario que conozcan algunos de mis problemas para que tengan una buena visión, ahora les adjunto mi actual log:
Logfile of HijackThis v1.99.1
Scan saved at 4:43:30, on 17-03-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\lphant\eLePhantClient.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.imesh.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Espero no haberlos molestado pero era necesario contarles todo de una vez, también les pido por favor que me ayuden con ésto y de antemano les doy mil gracias y estaré esperando su respuesta. hasta pronto.

[lucl]

Hola, para empezar te aconsejamos desde el foro no tengas tantos programas "anti" te ralentizan el pc un montón y al final uno por el otro la casa por barrer como se suele decir, cuando te decidas por lo que quiers mantener, despues de haberlos desinstalado del todo , pásate elistara en modo seguro y peganos el log que te dejara en C llamado infosat.txt
saludos

http://www.zonavirus.com/articulos/como ... fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

[Nuker]

Tienes una nueva variante del ya conocido VUNDO, vease en esta clave:
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm
Envie muestra de este fichero para su analisis lo puede encontrar llendose a:
C:\WINDOWS\system32\ygswbndu.dll" ,setvm
Una vez localizado el archivo envielo como le indican aqui.

Envio de Muestras:
viewtopic.php?f=2&t=45334
Y una vez enviada la muestra elimine la clave de HJT, en Modo Seguro.

Clave A Eliminar:
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm
Y renombre el fichero a .vir debe quedar asi (ygswbndu.vir) reinicie y ya no tiene que darle problemas.
--------------------------------

Se ve que tiene 3 Anti-Spywares activos entre ellos el mas relentizador de maquinas (SpyDoctor) elimine 2 y quedese con 1, le recomendamos SPYBOT.

Saludos.

[Nelson Ayala]

Muy buenas Sr. lucl, creo tener una duda, el hecho de tener varias herramientas, implica que todas estén en funcionamiento? la verdad yo utilizo de una por una para no confrontarlas ni para que me ocupe mucho recurso.Esa es mi duda, es necesario que las elimine??.

Otra cosa, tengo problemas para iniciar en modo seguro, ya que cuando llego al panel de sesiones e ingreso mi clave, no aparece el escritorio y la pantalla me queda negra con dos indicaciones en los extremos inferiores izquierdo y derecho, y en la cabecera, que dicen modo a prueba de fallo, pero no puedo entrar al escritorio; entonces como puedo seguir sus intrucciones si no puedo ingresar al escritorio??. necesito si me puede aconsejar sobre este problema para así poder seguir sus consejos al pie de la letra. Le recuerdo que tengo un Windows XP Profesional con clave de licencia VLK por volumen, no se si en algo influye al problema. le pido ayuda antes de coninuar, muchas gracias, y esperaré su respuesta.

Muy buenas Sr. Nuker sólo tengo una duda, me puede explicar los pasos a seguir para renombrar el fichero?? no tengo la menor idea de como se hace, y lo mismo que escribí antes, no puedo entrar en modo seguro. Le pido que me ayude con esto, para poder seguir sus consejos, muchas gracias, y esperaré también su respuesta.

[Nuker]

Para renombrar solo falta con hacer click derecho sobre el fichero y escoja "renombrar", borre la terminacion dll y la cambia por vir. Reinicie e intente meterse a Modo Seguro para hacer los siguientes pasos.

[Nelson Ayala]

Buenas Sr. Nuker, la verdd para poder ver todos los archivos, activé la opción ver carpetas y archivos ocultos, y cuando ingrese a la carpet WINDOWS y luego a system32, busqué detenidamente la aplicación ygswbndu.dll y no la pude encontrar, revisé una por una y nada, será porque cuando entro al escritorio después de un inicio me aparece la ventana de ERROR AL CARGAR C:\WINDOWS\system32\ygswbndu.dll No se puede encontrar el módulo especificado. habrá alguna otra técnica para encontrar el archivo? o será que lo perdí para siempre y lo peor de todo es que no se ni en qué momento lo habré perdido si automática o intencionalmente por mi, no lo sé y me preocupa. Habrá otra solución? es muy importnte ese archivo?. La verdad me encantaría si me pudiese ayudar, tengo temor. Nuevamente muchas gracias Nuker, esperaré su respuesta.

[Nelson Ayala]

Señores del Foro virus y antivirus, estoy un poco preocupado porque les mande mi último mensaje el día Domingo 18 y hoy Jueves 22 aún no me llega respuesta, porfavor les pido si me pueden poner al tanto de lo que sucede, diganme si cometí algún error del cual pueda repararlo para no perder el contacto con ustedes. De antemano millón de gracias y disculpas por todo.

[msc hotline sat]

Hace bien de insistir, debió pasar por desapercibido...

Hizo lo que nuker le decía ???

Clave A Eliminar:
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

sino hagalo, y para ello siga las indicaciones:

viewtopic.php?f=5&t=45334

Y tras ello reinicia y ya no aparecerá el mensaje en cuestion. Era un VUNDO mal eliminado...

saludos

ms, 22-03-2007

[Nelson Ayala]

Ufffffff. me siento frustrado. no puedo ni encontrar el archivo especificado, aún cuando desactive la opción ver archivos ocultos y revisar uno a uno, ni mandar un archivo malicioso que tenia también (vtstq.dll),la razón es que hotmail no me reconoce el correo destinatario y no envia el mensaje :? y para mayor desgracia, cuando aplico fix checked a la entrda mencionada, Spybot residente me deniega el cambio de resgistro automáticamente y vuelve a aparecer en el log. En base a los hechos, Srs. de Foro virus, qué puedo hacer para seguir sus consejos si tengo estos problems???' necesito su ayuda, diganme como solucionar este problema porfvor, muchas gracias a todos.

[msc hotline sat]

Pruebelo todo arrancando en modo seguro con funciones de red:

http://www.zonavirus.com/articulos/como ... fallos.asp

saludos

ms, 23-03-2007

[Nelson Ayala]

Señores: No puedo apagar y después prender el pc en modo seguro como me indicaron, pero si pude reiniciar en modo seguro con opciones de red como también me recomendaron. A continuación pasé mwv, luego inmunizé frente a ActiveX malignos en IE con el Spybot S&D, luego hice un análisis con el mismo,luego utilicé el SpywareBlaster para habilitar la protección de ítems en IE, Mozilla Firefox, y sitios restringidos,luego pasé el RegSeeker y cambié la configuración de las starup Entries y desactivé Adobe Photo Downloader y HP Digital Imaging Monitor, luego pasé el Clean the Registry y después de tres pasadas nunca pude eliminar las siguientes entradas:

_HKEY_CLASSES_ROOT .vob extension not used

_HKEY_CLASSES_ROOT applications\bsplayer.exe "Open With"entry unused

_HKEY_CLASSES_ROOT applications\mplayer.exe "Open With"entry unused

_HKEY_CLASSES_ROOT applications\wmplayer.exe "Open With"entry unused

_HKEY_LOCAL_MACHINE Software\Sonix obsolete entry



y por último pasé el Disk Cleaner para borrar todo aquello que esté enmarcado. Luego desactivé la opción en MSCONFIG y volví a modo normal de inicio, reinicie y NOD32 me detecta los mismos virus + dos Troyanos, aparece el ícono de Adobe Fhoto Downloader que había desactivado, el pc sigue lento en su inicio, cuando habro la página de inicio de Mozilla Firefox siempre me aparece una página de Internet desconocida y la de Broadcaster que tengo que cerrarlas, y antes de escribir este mensaje utilicé el ELISTARA 3042007 y me arrojó el siguiente log:



Sun Mar 25 02:15:37 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTSTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTSTQ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminada Class, "{C21E369F-34EA-4191-9DFC-CD01464B623D}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Mar 25 02:21:11 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\GSTDREDIRECTAX.DLL --> Eliminado, BB Bargains

C:\WINDOWS\system32\PMKHG.DLL --> Eliminado, Vundo (notify)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Además les mando el log de HiJackThis:

Logfile of HijackThis v1.99.1

Scan saved at 3:23:34, on 25-03-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\uatiatja.dll",setvm

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



Eliminé la entrada que me señalaron pero nunca pude mandarles el archivo ygswbndu.dll porque el hotmail no me reconoce la direeción zonavirus@satinfo.es.

Por último, después de ésto, qué me aconsejan hacer para solucionar los problemas que persisten??. Esperaré su respuesta atento. Muchas gracias Señores de Foro virus y antivirus.

[msc hotline sat]

Varias cosas:

La direccion de zonavirus@satinfo.es está operativa y de hecho son muchas las muestras que recibimos a diario de este foro a dicha cuenta... Pero vigile no ponerle un punto al final, como ha hecho en su comentario ...???

En su caso el ELISTARA requiere la DLL que menciona en el infosat.txt:

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Descarguela y guardela en la misma carpeta donde tiene el ELISTARA, y luego pruebelo y tras reiniciar para terminar l proceso, posteenos de nuevo el contenido de c:\infosat.txt

ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp


saludos

ms, 25-03-2007

[Nelson Ayala]

Señores for virus y antivirus:seguí sus instrucciones pero antes desactive la opción restaurar sistema y continuación arranque en modo seguro con opciones de red. luego decidi por cuenta mía pasar el NOD32 y me detecto virus que nunca había detectado ya que lo reconfiguré y además le aplique heurística avanzada aunque me ocupe recurso, pero es mas importante desinfectar por ahora. luego pase el ELISTARA y me detecta un VUNDO antes de comenzar el análisis, y después finalizado no me encuentra nada, pero me pide borrar el Host y cambiar la página de inicio del IE, nose que más pero la verdad es que el pc mejoró la rapidez en el inicio, el NOD32 ya no me acusa la presencia de troyanos,pero me sigue apareciendo el mensaje de ERROR de RUNDLL NO SE PUEDE ENCONTRAR EL MÓDULO ESPECIFICADO y justamente cundo lo busco en system32 no lo encuentro por ningún lado.

Mis preguntas son:

1. ¿qué sucede con ese archivo no encontrado, es muy importante para el funcionamiento del PC, en qué me afectaría?

2.¿porqué al inicio del PC el Spybot S&D me pregunta si deseo modificar o denegar una importante entrada en el registro?

3. ¿qué significa vacir el Hosts?

Les mando el log del ELISTARA y a continución el del HijackThis:



Sun Mar 25 02:15:37 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTSTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTSTQ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminada Class, "{C21E369F-34EA-4191-9DFC-CD01464B623D}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Mar 25 02:21:11 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\GSTDREDIRECTAX.DLL --> Eliminado, BB Bargains

C:\WINDOWS\system32\PMKHG.DLL --> Eliminado, Vundo (notify)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Mon Mar 26 00:54:16 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.ini2 --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminada Class, "{B5C386AF-A6BF-4FBE-B56A-928B41A7149E}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Mon Mar 26 01:07:09 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTSTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTSTQ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 26 01:07:57 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CDXCHKRI.DLL --> Eliminado, Vundo4

C:\WINDOWS\system32\PPPVRJPX.DLL --> Eliminado, Juan(BHO)

Instalada Utilidad "ELINOTIF.DLL"



Mon Mar 26 08:16:21 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 26 08:16:39 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.03.13 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtstq"

Elininado BHO: "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}"

Elininada Class: "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}"

Desinstalado EliNotif.dll



Mon Mar 26 08:34:05 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 26 08:34:16 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Logfile of HijackThis v1.99.1

Scan saved at 4:14:34, on 27-03-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\lphant\eLePhantClient.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {08BDCA00-EE9D-42C5-B716-8CC1E5F15A5D} - (no file)

O2 - BHO: (no name) - {2BF6EE4B-7A85-473C-B9DF-A81619F8CDF8} - (no file)

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6827124D-6672-4F8D-8DD0-689B97474EB9} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7AD829E6-5364-4D7C-9F95-DED877435261} - (no file)

O2 - BHO: (no name) - {8BEBB909-D411-4BE5-B786-D73CE0E0D8BF} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: XBTP01621 - {9EDB89EF-E4BC-4c70-B102-8F7A4365EE33} - (no file)

O2 - BHO: (no name) - {A0F0A198-7D03-42EF-BB8D-FF31BC82ED91} - (no file)

O2 - BHO: (no name) - {A2814F4B-FA34-4E7D-B8BE-3D631DD34DC4} - (no file)

O2 - BHO: (no name) - {A516DBB8-BA09-47E8-8342-3DB5570165E9} - (no file)

O2 - BHO: (no name) - {B5C386AF-A6BF-4FBE-B56A-928B41A7149E} - (no file)

O2 - BHO: (no name) - {BC0B14E1-4553-4DF6-B191-16EB107934E9} - (no file)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O2 - BHO: (no name) - {C21E369F-34EA-4191-9DFC-CD01464B623D} - (no file)

O2 - BHO: (no name) - {CC03102E-D640-4286-8503-919B75E48DDF} - (no file)

O2 - BHO: (no name) - {CED09CA6-E27C-4DEF-8D81-6956D8DB7C24} - (no file)

O2 - BHO: (no name) - {DF48CC3B-0F84-4ED2-AF41-1FC8F5598683} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\uatiatja.dll",setvm

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: vtstq - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



Espero me puedan responder las consultas y analizar los log para ver si sigue alguna infección o algo que no esté bién.

De antemano muchas gracias y les agradezco porque ya se han visto cambios buenos, pero aún falta poquito. espero.

[msc hotline sat]

No anexe sus txt, seleccione su contenido y con un copiar y pegar lo pega en su proximo post, sino se pierde la estructira y se hace dificil de leer.

Tal como vemos lo que nos ha enviado

Parece que al final se eliminó el Vundo y se desinstaló el Notify.DLL, lo cual solucionó este troyano, pero copielo y peguelo y lo veremos en su estructura como debe ser, gracias

saludos

ms, 27-03-2007

[msc hotline sat]

Aparte, analizando el log del HJT lanzado tras el ELISTARA,
vemos todas estas claves que debe eliminar:

O2 - BHO: (no name) - {08BDCA00-EE9D-42C5-B716-8CC1E5F15A5D} - (no file)
O2 - BHO: (no name) - {2BF6EE4B-7A85-473C-B9DF-A81619F8CDF8} - (no file)
O2 - BHO: (no name) - {6827124D-6672-4F8D-8DD0-689B97474EB9} - (no file)
O2 - BHO: (no name) - {7AD829E6-5364-4D7C-9F95-DED877435261} - (no file)
O2 - BHO: (no name) - {8BEBB909-D411-4BE5-B786-D73CE0E0D8BF} - (no file)
O2 - BHO: XBTP01621 - {9EDB89EF-E4BC-4c70-B102-8F7A4365EE33} - (no file)
O2 - BHO: (no name) - {A0F0A198-7D03-42EF-BB8D-FF31BC82ED91} - (no file)
O2 - BHO: (no name) - {A2814F4B-FA34-4E7D-B8BE-3D631DD34DC4} - (no file)
O2 - BHO: (no name) - {A516DBB8-BA09-47E8-8342-3DB5570165E9} - (no file)
O2 - BHO: (no name) - {B5C386AF-A6BF-4FBE-B56A-928B41A7149E} - (no file)
O2 - BHO: (no name) - {BC0B14E1-4553-4DF6-B191-16EB107934E9} - (no file)
O2 - BHO: (no name) - {C21E369F-34EA-4191-9DFC-CD01464B623D} - (no file)
O2 - BHO: (no name) - {CC03102E-D640-4286-8503-919B75E48DDF} - (no file)
O2 - BHO: (no name) - {CED09CA6-E27C-4DEF-8D81-6956D8DB7C24} - (no file)
O2 - BHO: (no name) - {DF48CC3B-0F84-4ED2-AF41-1FC8F5598683} - (no file)
O20 - Winlogon Notify: vtstq - C:\WINDOWS\


y envienos estas dos DLL para analizar:

C:\WINDOWS\system32\uatiatja.dll
C:\WINDOWS\system32\ygswbndu.dll


Estas dos claves estan relacionadas, pero ya las eliminaremos, si procede, tras analizar dichas DLL y saber lo que son

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\uatiatja.dll",setvm
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm


saludos

ms, 27-03-1007

[Nelson Ayala]

Muy buenas señores de Foro virus:

He seguido sus instrucciones al pie de la letra y la verdad que en gran parte han solucionado algunos de mis problemas, por ejemplo, el NOD32 ya no me detecta Troyanos ni otros códigos maliciosos al iniciar mi computador, pero lo único que no puedo hacer es encontrar el archivo ygswbndu.dll que me han pedido que lo envíe para su análisis, este archivo no está por ningún lado, de hecho el único error que me sigue mostrando al inicio es que este, ERROR al cargar el archivo ygswbndu.dll no se encuentra el módulo especificado, por lo que mi problema estaría casi resuelto si me dijeran porque ya no encuentro este archivo y que hago para recuperarlo. Por último, les quiero decir que a pesar de eliminar los virus que tenía,mi Internet sigue lento, usando el Mozilla Firefox como navegador. Les envío el último log hecho por Elistara y HijackThis.

Logfile of HijackThis v1.99.1

Scan saved at 3:04:53, on 31-03-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ESRI\License\lmgrd.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARCHIV~1\ESRI\License\ESRI.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\lphant\eLePhantClient.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {08BDCA00-EE9D-42C5-B716-8CC1E5F15A5D} - (no file)

O2 - BHO: (no name) - {2BF6EE4B-7A85-473C-B9DF-A81619F8CDF8} - (no file)

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6827124D-6672-4F8D-8DD0-689B97474EB9} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7AD829E6-5364-4D7C-9F95-DED877435261} - (no file)

O2 - BHO: (no name) - {8BEBB909-D411-4BE5-B786-D73CE0E0D8BF} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: (no name) - {9EDB89EF-E4BC-4c70-B102-8F7A4365EE33} - (no file)

O2 - BHO: (no name) - {A0F0A198-7D03-42EF-BB8D-FF31BC82ED91} - (no file)

O2 - BHO: (no name) - {A2814F4B-FA34-4E7D-B8BE-3D631DD34DC4} - (no file)

O2 - BHO: (no name) - {A516DBB8-BA09-47E8-8342-3DB5570165E9} - (no file)

O2 - BHO: (no name) - {B5C386AF-A6BF-4FBE-B56A-928B41A7149E} - (no file)

O2 - BHO: (no name) - {BC0B14E1-4553-4DF6-B191-16EB107934E9} - (no file)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O2 - BHO: (no name) - {C21E369F-34EA-4191-9DFC-CD01464B623D} - (no file)

O2 - BHO: (no name) - {CC03102E-D640-4286-8503-919B75E48DDF} - (no file)

O2 - BHO: (no name) - {CED09CA6-E27C-4DEF-8D81-6956D8DB7C24} - (no file)

O2 - BHO: (no name) - {DF48CC3B-0F84-4ED2-AF41-1FC8F5598683} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: vtstq - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



Me acabo de dar cuenta que a pesar de haber eliminado todas las entradas que me indicaron anteriormente, vuelven a aparecer las mismas en este log. Qué pasa??





Sun Mar 25 02:15:37 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTSTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTSTQ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminada Class, "{C21E369F-34EA-4191-9DFC-CD01464B623D}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Mar 25 02:21:11 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\GSTDREDIRECTAX.DLL --> Eliminado, BB Bargains

C:\WINDOWS\system32\PMKHG.DLL --> Eliminado, Vundo (notify)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Mon Mar 26 00:54:16 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTSTV.ini2 --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminada Class, "{B5C386AF-A6BF-4FBE-B56A-928B41A7149E}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Mon Mar 26 01:07:09 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTSTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTSTQ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 26 01:07:57 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CDXCHKRI.DLL --> Eliminado, Vundo4

C:\WINDOWS\system32\PPPVRJPX.DLL --> Eliminado, Juan(BHO)

Instalada Utilidad "ELINOTIF.DLL"



Mon Mar 26 08:16:21 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTSTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTSTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTSTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}" -> C:\WINDOWS\system32\vtstq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 26 08:16:39 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.03.13 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtstq"

Elininado BHO: "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}"

Elininada Class: "{75786AF3-F2E9-4522-ADE0-BD3B2890CAF2}"

Desinstalado EliNotif.dll



Mon Mar 26 08:34:05 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 26 08:34:16 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Mar 29 14:44:49 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Mar 29 14:45:32 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass



Thu Mar 29 23:48:45 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Mar 29 23:48:58 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Esto es lo que les mando para su análisis, espero me puedan ayudar, con el archivop ygswbndu.dll

De antemano muchísimas gracias.

[msc hotline sat]

Pues aparte de la clave ya eliminada por el ELISTARA debe haber otra no visible en el log del HJT que lo intenta cargar, razon por la que sale el ERROR indicado:



ERROR al cargar el archivo ygswbndu.dll



Pues muy facil, te descargars el BUSCAREG.EXE, lo pruebas entrando a buscar el nombre en ciestion [b]ygswbndu.dll[/b] y cuando encuentre la clave, pulsas doble click sobre ella y aceptas eliminar


[quote]
[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]
[/quote]

y colorin colorado , nos cuentas el resultado :lol:



saludos



ms, 31.03.2007

[msc hotline sat]

Pasando a analizar el log del HJT, vemos que puedes eliminar:





O2 - BHO: (no name) - {08BDCA00-EE9D-42C5-B716-8CC1E5F15A5D} - (no file)



O2 - BHO: (no name) - {2BF6EE4B-7A85-473C-B9DF-A81619F8CDF8} - (no file)



O2 - BHO: (no name) - {6827124D-6672-4F8D-8DD0-689B97474EB9} - (no file)



O2 - BHO: (no name) - {7AD829E6-5364-4D7C-9F95-DED877435261} - (no file)



O2 - BHO: (no name) - {8BEBB909-D411-4BE5-B786-D73CE0E0D8BF} - (no file)



O2 - BHO: (no name) - {9EDB89EF-E4BC-4c70-B102-8F7A4365EE33} - (no file)



O2 - BHO: (no name) - {A0F0A198-7D03-42EF-BB8D-FF31BC82ED91} - (no file)



O2 - BHO: (no name) - {A2814F4B-FA34-4E7D-B8BE-3D631DD34DC4} - (no file)



O2 - BHO: (no name) - {A516DBB8-BA09-47E8-8342-3DB5570165E9} - (no file)



O2 - BHO: (no name) - {B5C386AF-A6BF-4FBE-B56A-928B41A7149E} - (no file)



O2 - BHO: (no name) - {BC0B14E1-4553-4DF6-B191-16EB107934E9} - (no file)



O2 - BHO: (no name) - {C21E369F-34EA-4191-9DFC-CD01464B623D} - (no file)



O2 - BHO: (no name) - {CC03102E-D640-4286-8503-919B75E48DDF} - (no file)



O2 - BHO: (no name) - {CED09CA6-E27C-4DEF-8D81-6956D8DB7C24} - (no file)



O2 - BHO: (no name) - {DF48CC3B-0F84-4ED2-AF41-1FC8F5598683} - (no file)



O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm



O20 - Winlogon Notify: vtstq - C:\WINDOWS\





Muchas de ellas son restos presuntamente inocuos, pero visto que se te han reproducido como dices algunas entradas, hagamos limpieza a fondo



Y tras ello comprueba que no aparezcan lanzando de nuevo el HJT, y tras reiniciar, compruebalo de nuevo...



y nos comentas el resultado, gracias



ms, 31-03-2007

[Nelson Ayala]

Muy buenas Administrdor: Lo lamento,me estoy dando por vencido,descargué el buscareg e ingrese más de 10 veces la cadena y aparte de esperar un tiempo, no aparece nada, será que en algún momento lo habré eliminado para siempre del sistema??? cuando he aplicado los antivirus y antispyware??? si es así creo que perdí la batalla. Quería consultar si tengo otra opción y si puedo buscar en el registro entrando el regedit y borrar??? sino no se que hacer.

PD: ah, porfavor me envía una cadena de ejemplo para corroborar que ingresaba bien, no vaya ser que no sepa como se escriben las cadenas en el buscareg y por eso no me salgan. muchas gracias msc hotline sat, espero su respuesta.

[msc hotline sat]

Sí, claro, entra la palabra a buscar:



ygswbndu.dll





y si no la encuentra, dudo mucho que al arrancar te dé ahora el ERROR que decias...



saludos



ms, 31-03-2007

[Nelson Ayala]

Muy buenas señores de Foro virus msc hotline sat: ya he hecho todo lo necesario, pero el archivo en cuestión no aparece por ningún lado y cada vez que inicio Windows aparece la ventanita que me dice error al cargar archivo módulo no especificado, pero la verdad es que ya mis otros virus desaparecieron, entonces lo último que les digo es que si tienen la voluntad para seguir aconsejándome porque quiero liberarlos de trabajo conmigo y declararles que el tema lo doy por solucionado, siempre y cuando ustedes tengan la amabilidad de darme el último consejo sobre ese archivo y cómo estar protegido en el futuro de los Troyanos y otros espías que fui invadido, les agradezco su paciencia y ayuda por todo, muchas gracias y espero comunicarme con ustedes nuevamente. Gracias.

[msc hotline sat]

Pues ya que la clave en cuestion:



O4 - [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"



por mas que la eliminamos, reaparece, le vamos a dar lo que quiere, dicho fichero, pero copiuando en la carpeta de sistema al ELINOTIF.DLL con el nombre de YGSWNDU.DLL de manera que cuando lo vaya a buscar lo encuentre, todo será que la opcion setvm no la reconozca, pero sin no se queja , aunque lo haga nada, soslayareemos el problema,



Lo pruebas y nos cuentas el resultado, gracias



saludos



ms, 6-04-2007

[Nelson Ayala]

Hola. es hora de decirles que ya mi gran problema con los virus esta solucionado y que fueron de gran ayuda sus consejos, lo unico que no pude resolver es el problemita con el mensaje aquel de entrada, un archivo que no se encuentra al cargar, pero igual veo que no me causa mayores problemas, espero que no cuando tenga que aplicar otras tareas. lo ultimo que les quiero preguntar es un problema que tengo.

mi computador tiene Windows XP Profesional, pero es un copia pirata, entonces se me ocurrio lA "brillante" idea de actualizar Windows y me detecto el software pirata y cada vez que ingreso me dice que es una copia falsa de Microsoft y que tengo que tener el original. bueno pregunte y la verdad la clave que la compañia vende no esta mi alcance y lo unico que puedo hacer es tratar de adquirir nuevamente este sistema operativo crackeado pero no se como hacerlo y lo peor de todo es que no puedo bajar nada de windows como por ejemplo el Media Player porque me lo rechaza. mi consulta es si ustedes me pueden ayudar con esto y disculpas por hacer esta pregunta en esta sala del foro, pero si no es aca espero que me la envien donde corresponde y me puedan responder por favor, muchas gracias y espero su respuesta a mi problema. hasta pronto.

[lucl]

Hola nelson, dos cosas, la primera en cuanto a tu software no podemos hacer nada :roll: , lo unico recomendarte te compres uno nuevo :lol: , y la segunda si tus problemas se solucionaron con los virus, nos alegramos mucho y vuelve cuando quieras, saludos



admins cerrad :D

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 25-4-2007



nota: y por supuesto, necesariamente ha de utilizar software legal, no contemplamos software pirata, cracks y demas :wink: ms.