Problemas con conexión de área local (SOLUCIONADO)

Nelson Ayala · Mensaje por **Nelson Ayala** » 29 Abr 2007, 01:39

Muy buenas señores de Foro virus y antivirus.

Acabo de cerrar un tema por problemas de troyanos y ustedes lo solucionaron, ahora mi problema es con Internet, mi navegador es el Mozilla Firefox, y el problema es que no puedo conectarme a ninguna página porque me aparece un aviso diciendo que se supero el tiempo de espera para la conexión, osea no abre. El asunto es que me he comunicado con mi distribuidor de servicio y ellos me han hecho desconectar el módem y luego aparece señal pero al cabo de algunos segundos vuelve a perderse y tengo que estar prendiendo y apagando el módem para obtener segundos de señal;ellos me dijeron que tengo IP válida y mi problema no es el módem porque recibo señal, me dijeron que el problema es que tenía algún tipo de escape pero no se de qué, que revisara y que podría ser producto de algún problema con mi computador que pueda tener virus que me afecten la conexión o los controladores de red algo así, mi pregunta es ¿cuáles virus serán esos que no dejan conectarme?, necesito si ustedes me pueden ayudar porfavor porque ya mi problema no es con el distribuidor sino el PC. Les mandaré mi log para ver si detectan algo. muchas gracias de antemano y espero su respuesta.

Logfile of HijackThis v1.99.1

Scan saved at 16:40:14, on 26-04-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {08BDCA00-EE9D-42C5-B716-8CC1E5F15A5D} - (no file)

O2 - BHO: (no name) - {2BF6EE4B-7A85-473C-B9DF-A81619F8CDF8} - (no file)

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6827124D-6672-4F8D-8DD0-689B97474EB9} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7AD829E6-5364-4D7C-9F95-DED877435261} - (no file)

O2 - BHO: (no name) - {8BEBB909-D411-4BE5-B786-D73CE0E0D8BF} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: (no name) - {9EDB89EF-E4BC-4c70-B102-8F7A4365EE33} - (no file)

O2 - BHO: (no name) - {A0F0A198-7D03-42EF-BB8D-FF31BC82ED91} - (no file)

O2 - BHO: (no name) - {A2814F4B-FA34-4E7D-B8BE-3D631DD34DC4} - (no file)

O2 - BHO: (no name) - {A516DBB8-BA09-47E8-8342-3DB5570165E9} - (no file)

O2 - BHO: (no name) - {B5C386AF-A6BF-4FBE-B56A-928B41A7149E} - (no file)

O2 - BHO: (no name) - {BC0B14E1-4553-4DF6-B191-16EB107934E9} - (no file)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O2 - BHO: (no name) - {C21E369F-34EA-4191-9DFC-CD01464B623D} - (no file)

O2 - BHO: (no name) - {CC03102E-D640-4286-8503-919B75E48DDF} - (no file)

O2 - BHO: (no name) - {CED09CA6-E27C-4DEF-8D81-6956D8DB7C24} - (no file)

O2 - BHO: (no name) - {DF48CC3B-0F84-4ED2-AF41-1FC8F5598683} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: vtstq - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Mensaje por **msc hotline sat** » 29 Abr 2007, 09:13

ERnvianos este fichero sospechosos para analizar:

C:\WINDOWS\system32\ygswbndu.dll

y elimina estas claves:

O2 - BHO: (no name) - {08BDCA00-EE9D-42C5-B716-8CC1E5F15A5D} - (no file)

O2 - BHO: (no name) - {2BF6EE4B-7A85-473C-B9DF-A81619F8CDF8} - (no file)

O2 - BHO: (no name) - {6827124D-6672-4F8D-8DD0-689B97474EB9} - (no file)

O2 - BHO: (no name) - {7AD829E6-5364-4D7C-9F95-DED877435261} - (no file)

O2 - BHO: (no name) - {8BEBB909-D411-4BE5-B786-D73CE0E0D8BF} - (no file)

O2 - BHO: (no name) - {9EDB89EF-E4BC-4c70-B102-8F7A4365EE33} - (no file)

O2 - BHO: (no name) - {A0F0A198-7D03-42EF-BB8D-FF31BC82ED91} - (no file)

O2 - BHO: (no name) - {A2814F4B-FA34-4E7D-B8BE-3D631DD34DC4} - (no file)

O2 - BHO: (no name) - {A516DBB8-BA09-47E8-8342-3DB5570165E9} - (no file)

O2 - BHO: (no name) - {B5C386AF-A6BF-4FBE-B56A-928B41A7149E} - (no file)

O2 - BHO: (no name) - {BC0B14E1-4553-4DF6-B191-16EB107934E9} - (no file)

O2 - BHO: (no name) - {C21E369F-34EA-4191-9DFC-CD01464B623D} - (no file)

O2 - BHO: (no name) - {CC03102E-D640-4286-8503-919B75E48DDF} - (no file)

O2 - BHO: (no name) - {CED09CA6-E27C-4DEF-8D81-6956D8DB7C24} - (no file)

O2 - BHO: (no name) - {DF48CC3B-0F84-4ED2-AF41-1FC8F5598683} - (no file)

O20 - Winlogon Notify: vtstq - C:\WINDOWS\

para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 29-04-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 03 May 2007, 07:35

Hola.

Bueno el problema es el siguiente, apliqué el HijackThis y borré los ficheros que me indicaron,y el archivo HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm me vuelve aparecer en el log en un segundo escaneo. Lo fundamental de todo esto es que el archivo en cuestión lo busqué manualmente para enviarlo, pero siguiendo la ruta dada no hay forma de encontrarlo, entonces con el FileASSASSIN trate de buscar para desbloquearlo y eliminar, y me responde que el archivo en cuestión no existe o no es visible por el programa, y por último les digo que cada vez que prendo el computador,al llegar al escritorio, lo primero que aparece es un mensaje en el cual me dice que hay un error al cargar el archivo mencionado porque no está especificado o no existe. Por lo que me doy cuenta este es un archivo de carga de Windows(RUNDLL) pero la verdad no entiendo que problema me puede causar al sistema si cada vez que ingreso a Windows no encuentra ese archivo para cargar y si afectará el funcionamiento normal del computador, y si siempre no lo encuentra porque no existe, que se deberá hacer? formatear el sistema operativo? o mejor ustedes me dicen que tendría que hacer. les mando el último log después de borrar lo que me pidieron.

Logfile of HijackThis v1.99.1

Scan saved at 0:24:54, on 03-05-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ESRI\License\lmgrd.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\ESRI\License\ESRI.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\FileASSASSIN\FileASSASSIN.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Esperndo su respuesta, se les agradece de antemano su ayuda.

Mensaje por **msc hotline sat** » 03 May 2007, 07:52

No hemos dicho nada de eliminar dicha DLL, ni de usar el FileASSASSIN !!!

Asi no se arreglan las cosas...

Posiblemente se trate de un VUNDO que debe desinstalarse de todas partes (incluso las no visibles por el HJT) y para ello hace falta la muestra, pero si la has intentado eliminar, igual lo has conseguido ! Pues sin muestra, si aun no conocemos la variante, te vas a quedar sucio...

De todas formas eliminaremos el mensaje de entrada, de que no encuentra la DLL, para lo que prueba eliminar la clave:

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

pero antes de ello mira si tenemos la suerte de controlarlo con el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3 de Mayo de 2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 03 May 2007, 08:55

Bueno: hice lo que me pidió, ocupé el Elistara y me arrojó esto:

Thu May 03 01:06:43 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminados Ficheros Temporales del IE

Thu May 03 01:09:04 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Apliqué el HijackThis y me arrojó esto:

Logfile of HijackThis v1.99.1

Scan saved at 1:43:28, on 03-05-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ESRI\License\lmgrd.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\ESRI\License\ESRI.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\taskmgr.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Por lo visto no conseguí el resultado esperado porque tras reiniciar el PC vuelve aparecer el mensaje de error y el HijckThis vuelve arrojar O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm. Entonces porqué Windows no encuentra el archivo, y el HijackThis si lo muestra, pero no se puede eliminar?? habrá alguna opción de buscarlo en el registro y eliminarlo desde ahí? les entrego un listado de las herramientas de las que dispongo:

Hijackthis

Elistara

NOD32

CdClean

RegSeeker

mwav

Spywareblaster

Spybot residente

Buscareg

Espero su respuesta y muchas gracias.

Mensaje por **msc hotline sat** » 03 May 2007, 12:20

Claro, porque sigue estando la clave :

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

Arranque en modo seguro, lance el HJT y eliminela marcando la casilla y dandole a FIX CHECKED. Acto seguido vuelva a lanzar el HJT y vea si se ha borrado, para saber si algo la está regenerando.

Si ya no está, reinicie y vuelva a comprobar con el HJT que no se ha creado en el inicio, y en cualquiercaso nos cuenta si persiste dicha clave, para ver cuando se genera y como eliminarla

Está claro que mientras haya la clave sin el fichero, saldrá el mensajito, y aunque podemos poner una DLL neutra con dicho nombre para que no se queje, lo cual hariamos si no encontraramos la causa, mejor es buscar la causa y eliminarla de raiz.

saludos

ms, 3 de Mayo de 2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 09 May 2007, 10:11

Muy buenas administrador msc hotline sat:

Me he dado cuenta de algo, cuando apliqué el HJT en modo normal, me aparece la clave que estamos tratando, al eliminarla me aparece un mensajito del Spybot Search & Destroy que tengo como residente, "El módulo residente denegó la modificación de 2chkdsk (Categoría System Startup Global Entry) basándose en su lista negra. Entonces lanzo nuevamente el HJT y vuelve a aparecer la clave. Acto seguido, desactivo restaurar sistema y reinicio en modo seguro, aplico HJT y aparece la clave, la elimino y al pasar nuevamente el HJT la clave ha sido eliminada del log:

Logfile of HijackThis v1.99.1

Scan saved at 1:55:23, on 09-05-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

cabe resaltar que en modo seguro no está el NOD32 ni el Spybot residente funcionando, están todos los programas cerrados. Posteriormente vuelvo a reiniciar en modo normal y lanzo el HJT y claro, la clave vuelve a aparecer y cuando la elimino aparece nuevamente e mensaje del Spybot residente denegando la modificación del registro, y al aplicar nuevamente HJT aarece el siguiente log:

Logfile of HijackThis v1.99.1

Scan saved at 2:01:21, on 09-05-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ESRI\License\lmgrd.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\ESRI\License\ESRI.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Donde claramente aparece la clave en cuestión. Espero que con esta información tengn mas claro el problema y puedan ayudarme si es posible, muchas gracias.

Mensaje por **msc hotline sat** » 09 May 2007, 12:10

Vamos a ver:

En modo seguro solo se lanzan los procesos del sistema, mientras que en modo normal se lanzn las aplicaciones que estan instgaladas al efecto, es justo por ello que hacemos arrancar en modo seguro cuando hay que eliminar un gusano, para que no esté en uso, y asi windows nos permirta eliminarlo.

La claves permanecen tanto en modo seguro como en modo normal, salvo que haya algun RootKit que se lance cuando arrancamos en modo seguro, entonces veriamos mas en modo seguro, pues en modo normal podrian estar ocultas por el Rootkit.

aclarado esto, voy a analizar los logs...

Mensaje por **msc hotline sat** » 09 May 2007, 12:13

Ahi tienes el problema:

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

esto es una varianted e la familia VUNDO7

voy a ver el otro

efectivamente no estaba cuando arrancaste en modo seguro, y al arrancar en modo normal, algo (alguna aplicacion que se carga de este modo) lo ha vuelto a generar.

Hemos de encontrar esta aplicacion que lo vuelve a generar, pues sino estarás eliminandoli indefinidamente...

Vamos a utilizar otra herramienta hecha por nosotros, mas exhaustiva que el HJT: el SPROCESS.EXE , el cual estamos mejorando dia a dia

SPROCES (en fase beta)

http://www.zonavirus.com/descargas/sproces.asp

Tras probarla, pasar a SALIR y postearnos el contenido del log que habrá creado en C:\SPROCLOG.TXT

A ver si vemos lo que nos regenera este VUNDO7

saludos

ms, 9-05-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 10 May 2007, 02:27

Hola. Aquí le mando el resultado del SProclog en modo normal de arranque:

Wed May 09 19:15:33 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIV~1\ESRI\LICENSE\LMGRD.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIV~1\ESRI\LICENSE\ESRI.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.5.0_11\BIN\JUSCHED.EXE

C:\WINDOWS\VSNPSTD.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {3334504D-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/0/C/8/0C8EDFAB-30BC-4792-898E-2DABE27B2C4D/mp43dmo.CAB

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

O23 - Service: Sntnlusb - Rainbow Technologies Inc. - C:\WINDOWS\System32\Drivers\SNTNLUSB.SYS

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: VIA Rhine-Family Fast Ethernet Adapter Driver Service (FETND5BV) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: USB PC Camera (SN9C102) (snpstd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snpstd.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

23 Servicios.

9 de Carga Automatica.

13 de Carga Manual.

1 Deshabilitados.

Por último quisiera hacer una acotación, personalmente creo que el problema lo genera el Spybot residente y mi lista negra que por algún motivo reestablece la configuración de mi registro cada vez que lo altero, y al parecer al eliminar la clave con el HJT el Spybot deniega la modificación. será que tendré que desactivar el Spybot residente en modo normal para poder eliminar la clave? me guataría que analizara mi sugerencia para no cometer errores y espero así aclarar un poco mi problema, muchas gracias administrador. seguiré sus consejos.

Mensaje por **msc hotline sat** » 10 May 2007, 06:08

Como sea que la eliminacion de claves la hace arrancando en modo seguro, no está activo en dicho modo el Spybot para ser el causante de impedir su eliminacion, por lo que no creo que sea la causa.

Persiste la clave de :

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm

Nos envió el fichero de marras para analizarlo ???

"C:\WINDOWS\system32\ygswbndu.dll"

sino hagalo

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 10-05-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 11 May 2007, 06:36

Buenas, msc hotline sat Administrador:la verdad como yo soy un usuario novato, entendí el 50% de lo que me dijo, pero lo que yo me doy cuenta es que, cuando lanzo el HJT en modo seguro y doy Fix a la clave, al lanzar(en modo seguro) nuevamente el HJT la clave no aparece y ciertamente el Spybot no está activo; pero cuando lanzo el HJT en modo normal, con el Spybot arrancando desde el inicio, me aparece nuevamente la clave y al dar Fix, nuevamente aparece, osea puedo eliminar un millón de veces la clave y siempre aparece ahí nuevamente, ya que el Spybot residente me deniega automáticamente el cambio en el registro debido parece, a una configuración predeterminada que mantiene 1172 procesos en lista negra. Me podría ayudar con una explicación nuevamente para entender por qué pasa eso? y con respecto al envío de claves, el archivo en cuestión no está por ningun lado(no existe), parece que solo en el registro, porque en la ruta especificada no se encuentra. Gracias por su ayuda y disculpe mi ignorancia. espero.....su respuesta.

Mensaje por **msc hotline sat** » 11 May 2007, 07:06

A ver, usó hace días un ELISTARA, pero ya hemos hecho 6 nuevas versiones desde entonces, potenciando entre otras muchas cosas, la deteccion y solicitud de muestras del VUNDO. Descargue una version actual y pruebelo de nuevo:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 11-05-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 11 May 2007, 07:52

Hola nuevamente:descargué y pase el ELISTARA y me arrojó:

Thu May 03 01:06:43 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminados Ficheros Temporales del IE

Thu May 03 01:09:04 2007

EliStartPage v13.87 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri May 11 00:24:07 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\ygswbndu.dll",setvm"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 11 00:25:29 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Pero por qué la clave sale eliminada en una pasada anterior siendo que aún me aparece el mensaje de error al cargar archivo? y el HJT me muestra aún la clave?

Mensaje por **msc hotline sat** » 11 May 2007, 08:08

Pues porque se vuelve a regenerar.

Mira de enviarnos la DLL en cuestion:

C:\WINDOWS\system32\ygswbndu.dll

Para ello arranca en consola de recuperacion, con el CD de instalacion y (R), ve a la carpeta indicada y copias el fichero a un disquete, luego ya puedes borrar del disco duro dicha DLL

Nos envias esta DLL y la controlaremos

saludos

ms, 11-05-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 15 May 2007, 06:18

Hola denuevo:

Lamento comunicarle que mi disco Recovery no lo puedo usar, ya que, al adquirir el computador, venía el Windows XP Home, y por problemas que me estaba dando y demasiadas pantallas azules decidí cambiar un versión pirata del Windows XP Professional, por lo tanto el recovery no es aplicable.

Por otro lado, lo que hice fue lo siguiente:

Primero,abrí el RegSeeker y en la opción Startup entries desabilité la casilla de la clave HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run (2chkdsk) rundll32.exe "C:\Windows\system32\ygswbndu.dll",setvm.

Segundo,abrí el Spybot y en la opción Navegación>>Herramientas>>Residente desactivé la casilla del "TeaTimer" (Protección de la configuración del sistema)activa; y en la opción Navegación>>Herramientas>>Inicio del sistema, desbilité la casilla de la clave "C:\Windows\system32\ygswbndu.dll",setvm. luego le dí "borrar" y la clave desapreció del listado.

Tercero, reinicié (con el residente desabilitado) y el mensaje de error no me apareció.

Cuarto, apliqué el HJT y me arrojó lo siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 20:56:22, on 14-05-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ESRI\License\lmgrd.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARCHIV~1\ESRI\License\ESRI.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\vsnpstd.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Por lo visto la clave ya no aparece, pero el problema es que tengo que tener el Spybot TeaTimer desabilitado para que el mensaje y la clave no aparezcan,ya que cuando lo vuelvo activar, automáticamente me deniega el cambio en el registro que efectué anteriormente con la clave, y esta vuelve aparecer en el log y habilitada como entrada de inicio del sistema en la lista del Spybot. Será ese el precio de eliminar la clave VUNDO? quedar desprotegido a cualquier cambio en el registro del sistema? ya que con el residente habilitado siempre se me es consultado o alarmado de cualquier cambio efectuado y así poder decidir si se aprueba o deniega.Necesito su consejo,opinión o ayuda al respecto, sino, damos por solucionado el tema si no hay otra forma de actuar, muchas gracias.

Mensaje por **msc hotline sat** » 15 May 2007, 06:36

Pediamos que nos enviara el fichero

C:\WINDOWS\system32\ygswbndu.dll

lo ha hecho ???

Aunque eliminara la clave, nos interesa ver lo que hace y modifica, para deshacerlo en la siguiente version del ELISTARA...

si no lo ha hecho, hagalo ahora, gracias:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

A su recepcion procederemos a su analisis

saludos

ms, 15-05-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 15 May 2007, 08:02

Hola nuevamente Administrador:

Creo que ya les he dicho anteriormente que el archivo no se puede encontrar para enviarlo.Para intentarlo por enésima vez, reinicié como me pidió, y activé la casilla "Mostrar carpetas ocultas", luego entré a Inicio>>Mi PC>>Disco Local (C:)>>WINDOWS>>system32 y revisé uno por uno todos los archivos de la "a" a la "z" y no aparece por ningún lado ygswbndu.dll, además lo busqué con la Herramienta BuscaReg y tampoco obtuve resultados. si no lo puedo encontrar manualmente, como adjunto el archivo en un correo para su análisis?? que puedo hacer??? espero su respuesta, gracias.

Mensaje por **msc hotline sat** » 15 May 2007, 08:14

Pues arranca en modo seguro , lance el HJT y luego nos posteas el log generado

Y tambien si persiste alguna anomalia y en su caso cual.

Y diculpa si ya habias dicho que no encontrabas el fichero, al ver la clave en el log, es lo que carga, pero si ademas ya la has eliminado, ya no voy a verla para volver a pedirtela ... :wink:

saludos

ms, 15-05-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 15 May 2007, 08:54

Reinicié en modo seguro, apliqué el Disk Cleaner,para borrar Cookies y temporales, el SpywareBlaster protection y el HJT:

Logfile of HijackThis v1.99.1

Scan saved at 1:28:46, on 15-05-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ESRI License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\lmgrd.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Espero su análisis y ayuda, gracias.

Mensaje por **msc hotline sat** » 15 May 2007, 16:20

log limpio.

saludos

ms, 15-05-2007

Nelson Ayala · Mensaje por **Nelson Ayala** » 16 May 2007, 08:27

Hola: antes de dar el tema por solucionado, debo decir que, al margen de que tenga controlado el problema que tuve, mi interés en ser usuario de su foro es obviamente solucionar los problemas pero también aprender, y ese es el gran problema acá,que si yo le pregunto a ud, porqué hace un tiempo atrás yo podía tener instalado lo que quiera y no tener problemas con claves y/o mensajes de error?? desde que me infecté con el VUNDO, ya mi computador no es el mismo??? ahora tengo que prescindir de ciertos programas y/o características?? me quedo con la sensación de estar engañándome a mi mismo, porque se que basta un sólo movimiento y vuelve aparecer el problemita, y me hubiese gustado estr convencido de que está completamente solucionado o mínimo saber que aplicación era y para que sirve en el arranque del sistema, para saber si me afectará ciertas funciones de aquí en adelante, espero que me pueda explicar y algo pueda aprender de todo esto, y demos el tema solucionado, gracias por su ayuda y disculpe por el comentario que no es nada en contra de ud ni del foro, ustedes siempre serán una gran ayuda,disculpe y muchas gracias, hasta pronto.

Mensaje por **msc hotline sat** » 16 May 2007, 17:16

El VUNDO o Virtual Mundo es un troyano muy pesado, con varias familias principales (7 en este momento), que segun cada cual, procura regenerarse, cambiar de ejecutable tras cada reinicio, descargar FAKE ALERTS (Falsas Alertas= iconos de alarma con ofrecimiento de solucion comprando antispywares determinados), y del que continuamente van apareciendo nuevas variantes, que vamos controlando con nuestra utilidad ELISTARA.EXE, complementada en ocasiones con el ELINOTIF.DLL para poder matar al bicho antes de que entre en funcionamiento.

Con nuestras utilidades logramos eliminar totalmente ficheros, claves y restos de este y demas malwares, pero cuando por medio intervienen otras utilidades como las usadas por Vd sin que se lo aconsejaramos, puede ser peor el remedio que la enfermedad, pues la eliminacion de pistas puede impedirnos detectar, controlar y eliminar malwares que sin toquetear eliminariamos, ya que las pruebas y monitorizacion de los mismos las hacemos logicamente sin alterar los cambios causados por la infeccion, pero si estos cambios ya no son lo que inicialmente hace el malware... que lo arregle la utilidad que lo dejó a medias !

Normalmente viene descargado por el ConHook, que es un Downloader, y puede introducir Fake Alerts como el del Error Safe, del WinAntivirPro 2006, del WinFixer2005, etc

Por la naturaleza del virus, hay familias que se eliminan directamente, otras que precisan reinicio, otras que llegan a precisar varios reinicios, otras que precisan la DLL ELINOTIF, y otras de las que se piden muestra para analizar y controlar, y otras que precisaremos la ayuda del SPROCES para investigar y saber fichero a enviar para analizar, y es que van "mejorando" lo presente para poder dificultar y pulular sin control al no ser detectado por los cambio introducidos en las nuevas variantes.

Pero para esto estamos, al pie del cañón, y hasta ahora, aunque no tenemos ganada la guerra, vamos ganando batallas.

Y con lo indicado, damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 16-05-2007