Ordenador ralentizado,navegación imposible, (SOLUCIONADO)

cafeole · Mensaje por **cafeole** » 12 May 2007, 10:14

Hola, tenemos un problema en este ordenador: navega lentisimo, se ralentiza al abrir exploradores, el nod32 detecta un intento de descarga de troyano con cada reinicio pero no elimina el origen, ya he pasado spybot S&D y Webroot Spyware y sigo igual. Paso a postear el log del hijackthis:

[color=darkblue]Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 9:16:56, on 12/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\DU Meter\DUMeter.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

D:\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\UltraVNC\WinVNC.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Archivos de programa\Opera\Opera.exe

C:\WINDOWS\system32\taskmgr.exe

E:\SEGURIDAD\HiJackThis_v2.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fotolog.com/abuenashoras

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\urqpqro.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {9EDDF9A7-7CB3-4384-AACC-D837624E3AC5} - C:\WINDOWS\system32\ddccb.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: (no name) - {E2EE5C44-C66D-499d-BEAE-A2A79189A63A} - C:\WINDOWS\system32\kbywdbsi.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe"

O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] The Sims Life Stories

O4 - HKLM\..\Run: [SDTray] C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\csuvyokn.dll",realset

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.windowsue.com

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O20 - Winlogon Notify: ddccb - C:\WINDOWS\system32\ddccb.dll

O20 - Winlogon Notify: urqpqro - C:\WINDOWS\SYSTEM32\urqpqro.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Archivos de programa\UltraVNC\WinVNC.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 11602 bytes[/color]

~~[b]~~Gracias por vuestra ayuda, hoy de noche me conectaré de nuevo.

Un saludo![/b]

Mensaje por **lucl** » 12 May 2007, 14:04

pasate estos dos programas arrancando el pc en modo seguro y luego cuando reinicies nos pegas el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

cafeole · Mensaje por **cafeole** » 13 May 2007, 18:57

Sun May 13 17:07:40 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WXQKLGER.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WXQKLGER.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\BCCDD.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\BCCDD.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "WindowsUpdate"="rundll32.exe "C:\WINDOWS\system32\csuvyokn.dll",realset"

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{67C55A8D-E808-4CAA-9EA7-F77102DE0BB6}" -> C:\WINDOWS\system32\rvfmeblv.dll

Eliminada Class, "{D651AFF4-9590-424D-BD1E-8E33E090DFB3}" -> C:\WINDOWS\system32\wxqklger.dll

Eliminada Class, "{CAF4BA3A-9EC3-4761-9CDE-B3DEAEEEA941}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 13 17:11:19 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Microsoft IntelliType Pro 5.3\SETUPSTB.EXE --> Eliminado, WinAntiVirus Pro 2006 (BHO)

C:\WINDOWS\system32\AWTTRPO.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\NNNNOPN.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\TCEBSVCD.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TUVSPNN.DLL --> Eliminado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\URQPQRO.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

C:\WINDOWS\system32\WKONJHBY.DLL --> Eliminado, JuanSearch(BHO)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun May 13 17:18:25 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{1F82ACBB-6255-402B-910B-1A342D560FFA}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 13 17:18:50 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\URQPQRO.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun May 13 17:22:42 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun May 13 17:22:47 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 13 17:26:08 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{7AEF062D-2032-4454-A095-42726F5B51C9}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 13 17:27:06 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\URQPQRO.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Detectada Posible Infección del Spam-MailBot.

Sun May 13 17:55:51 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\DDCCB]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCCB.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\URQPQRO] -> C:\WINDOWS\SYSTEM32\URQPQRO.DLL

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\MSCTL32.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "WindowsUpdate"="rundll32.exe "C:\WINDOWS\system32\ibpvsxti.dll",realset"

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{14F53030-DC46-4654-A531-182B7979B7C6}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Detectada Posible Infección del Spam-MailBot.

No nos deja borrar este archivo: urqprqo.dll

gracias

Mensaje por **lucl** » 13 May 2007, 23:43

intenta enviarnos los archivos que te pide, en la carpeta muestras tendras varios, los envias

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\WXQKLGER.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias. etc

sobre este ~~[b]~~urqprqo.dll [/b] mira a ver si puedes acceder a el y enviarnoslo, te dejo link de como hacerlo

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ademas bajate elinotif, ponlo en una misma carpeta con elistara, y ejecuta elistara para que haga la limpieza correspondiente, nos pegas el log de nuevo saludos

http://www.zonavirus.com/descargas/elinotif.asp

cafeole · Mensaje por **cafeole** » 14 May 2007, 08:35

[color=blue]Sun May 13 23:52:01 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\MSCTL32.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\BCCDD.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{14F53030-DC46-4654-A531-182B7979B7C6}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 13 23:52:36 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\URQPQRO.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Detectada Posible Infección del Spam-MailBot.

Mon May 14 07:38:47 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\DDCCB]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCCB.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\URQPQRO] -> C:\WINDOWS\SYSTEM32\URQPQRO.DLL

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\MSCTL32.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\BCCDD.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{B5021FEC-A4E0-4042-90BA-DDEED5162975}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/color]

Envié los 3 archivos: las 2 muestras y el URQPQRO.DLL.

Me bajé la utilidad ELINOTIF.EXE, pero me sigue diciendo que no encuentra el ELINOTIF.DLL.

Gracias por vuestra atención y tiempo, un saludo.

Mensaje por **msc hotline sat** » 14 May 2007, 08:46

Debes copiarla en la misma carpeta, probar luego el ELISTARA y reiniciar para terminar el proceso:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 14-05-2007

cafeole · Mensaje por **cafeole** » 14 May 2007, 11:05

Tengo todos los archivos en una misma carpeta, pero sigue diciéndome que falta el elinotif.dll

Antes de pasar el ELISTARA:

http://farm1.static.flickr.com/207/497598615_79405cda7f_o.jpg

Aviso al final:

http://farm1.static.flickr.com/194/497604920_24fb6cf3ff_o.jpg

El archivo URQPQRO.DLL sigue sin poder borrarse, incluso tras el reinicio, incluso en modo a prueba de errores, incluso arrancando el pc con Ubuntu liveCD ("no posee privilegios para borrar datos del disco" o algo asi). He probado con el Unlocker y me dice que hay 3 procesos usando dicho archivo:

http://farm1.static.flickr.com/211/497638925_1817a09459_o.jpg

Si le doy a Desbloquear todo, obviamente se reinicia.

Aquí os posteo los últimos logs. Muchas gracias por vuestro tiempo.

[color=blue] Mon May 14 09:25:18 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{B5021FEC-A4E0-4042-90BA-DDEED5162975}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 09:28:10 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\URQPQRO.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Mon May 14 09:41:56 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{2FA66A56-1C76-4902-AA9C-04797CCC92C8}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 09:52:15 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\URQPQRO.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/color]

Mensaje por **msc hotline sat** » 14 May 2007, 11:33

Verás, si aparece que no se encuentra el ELINOTIF.DLL, es que en la carpeta desde donde se ejecuta el ELISTARA no se encuentra dicho fichero, y que tengas los dos en la misma no se duda, pero es posible que tengas otro ELISTARA que sea el que ejecutes, y este sea el problema.

Con un Inicio-> Buscar mira donde tienes el ELISTARA.EXE y si hay mas de uno, y en tal caso borra los que no estén en la carpeta del ELINOTIF, para no confundirte, y ejecuta el ELISTARA de la carpeta del ELINOTIF y tras probarlo, reinicia para que termine el proceso, y luego nos posteas de nuevo el contenido del c:\infosat.txt

saludos

ms, 14-05-2007

cafeole · Mensaje por **cafeole** » 14 May 2007, 11:41

Gracias por vuestra pronta respuesta.

El problema es que en la página de descargas me bajo el elinotif.exe, pero no el elinotif.dll. No sé si el enlace está mal o qué, o es que el dll está dentro del .exe, o es que hay que bajarse algo más, porque aunke haga doble clic sobre el .exe me dice que no es una aplicación Win32 válida. Por lo tanto sigo sin el elinotif.dll.

Ya he buscado en todo el pc todos los elistara y elinotif, pero la situación sigue como al principio.

Un saludo y gracias de nuevo.

Mensaje por **msc hotline sat** » 14 May 2007, 11:43

Ahora lo reviso. Debe ser ELINOTIF.DLL

Mensaje por **msc hotline sat** » 14 May 2007, 11:45

ME acabo de bajar a un disquete el ELINOTIF.DLL del link indicado:

[quote]
ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

y ha descargado la DLL, revisa que sea de este link de donde te lo bajes...

saludos

ms, 14-05-2007

cafeole · Mensaje por **cafeole** » 14 May 2007, 12:14

Bueno, después de romperme la cabeza durante 10 seg. he decidido probar a descargarme el ELINOTIF.DLL con el Internet Explorer en lugar de con el Opera, y efectivamente me he bajado el archivo correcto.

Conclusión: si intentas bajarte el ELINOTIF.DLL con el Opera, te bajas el ELINOTIF.EXE. (Comprobado en 3 PCs distintos, Opera 9.20, WinXP SP1 y WinXP SP2)

Gracias por todo, seguiré con mis pesquisas.

Mensaje por **msc hotline sat** » 14 May 2007, 12:45

Solo 10 segundos !!! Pues chapeau ! Eso podía durar horas y horas ...

No nos había sido reportado nunca, y eso que tenemos mas de 100.000 usuarios registrados en SATINFO y mas de 15.000 foreros en zonavirus, pero será porque el Opera casi no lo usamos por aqui.

En las estadisticas de nuestra web los usuarios que la consultan son solo un 0.36 % los que usan Opera, asi que será por ello ! (en posicion 29)

Quizas simplemente cambiandole la extension de EXE a DLL ya sería suficiente ??? si puede probarlo diganoslo, gracias

Aparte, le remito fichero ASCII de porcentajes de uso en nuestra web desde el I.E. hasta el Opera:

[quote]
1 436878 ~~[b]~~79.30% Micro$oft Internet Explorer [/b]

2 101572 18.44% Netscape

....

29 1961 ~~[b]~~0.36% Opera/9.10 (Windows NT 5.1; U; es-es) [/b]
[/quote]

La primera cifra son los usuarios que han entrado este mes con dichos navegadores.

Bueno, aclarado !, gracias por decirnoslo y si prueba lo de renombrar dicho ELINOTIF.EXE a ELINOTIF.DLL , nos comenta el resultado, gracias

saludos

ms, 14-05-2007

cafeole · Mensaje por **cafeole** » 14 May 2007, 13:41

El ELINOTIF.EXE renombrado como .DLL funciona igualmente.

El ELISTARA aparentemente logró borrar el archivo URQPQRO.DLL, pero tras el reinicio me saltó el aviso del NOD32 sobre un intento de acceso a un objeto malicioso via http (como anteriormente), ejecuté otra vez el ELISTARA y me salieron avisos de infección del troyano VUNDO, y tras otro reinicio he perdido conexión por vnc con la red de mi casa, asi que hasta la noche no podré seguir.

Posteo el log del [color=blue]ELISTARA[/color] y del [color=green]HIJACKTHIS[/color] anteriores al último reinicio:

[color=blue] Mon May 14 11:24:16 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCB.DLL.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCB.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\URQPQRO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\BCCDD.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminada Class, "{2FA66A56-1C76-4902-AA9C-04797CCC92C8}" -> C:\WINDOWS\system32\ddccb.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 11:25:27 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\URQPQRO.DLL --> Acceso Denegado, DownLoader.ConHook (notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.04.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\ddccb"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\urqpqro.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\urqpqro"

Desinstalado EliNotif.dll

Mon May 14 11:34:31 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{182B90A3-F372-438A-800C-6814B4DE417B}" -> C:\WINDOWS\system32\urqpqro.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 11:53:26 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\[/color]

[color=green]Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 12:00:34, on 14/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

D:\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\UltraVNC\WinVNC.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\DU Meter\DUMeter.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

D:\elisoft\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {12CAB0FF-5162-465D-A9A4-A19E74B03E6D} - C:\WINDOWS\system32\ddccb.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: (no name) - {E2EE5C44-C66D-499d-BEAE-A2A79189A63A} - C:\WINDOWS\system32\kbywdbsi.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe"

O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] The Sims Life Stories

O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\upxpoiyh.dll",realset

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.windowsue.com

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O20 - Winlogon Notify: ddccb - C:\WINDOWS\system32\ddccb.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Archivos de programa\UltraVNC\WinVNC.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 10830 bytes[/color]

Mensaje por **msc hotline sat** » 14 May 2007, 14:16

Si no nos has enviado los ficheros que lanzan estas claves, renombra su extension a .VIR y tras reiniciar, elimina las claves:

O2 - BHO: (no name) - {12CAB0FF-5162-465D-A9A4-A19E74B03E6D} - C:\WINDOWS\system32\ddccb.dll

O2 - BHO: (no name) - {E2EE5C44-C66D-499d-BEAE-A2A79189A63A} - C:\WINDOWS\system32\kbywdbsi.dll

O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\upxpoiyh.dll",realset

O20 - Winlogon Notify: ddccb - C:\WINDOWS\system32\ddccb.dll

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Son variantes del VUNDO que es bastante pesado de eliminar totalmente, como estas viendo, porque va cambiando, mutando y fastidiando, pero son miles los casos que hemos tenido de esta familia...

Y en esta ocasion, es una gama nueva dentro de la misma familia VUNDO7, pero que con el valor [WindowsUpdate] es el primero que nos llega.

En el proximo ELISTARA 13.96 ya pediremos muestras de los ficheros que lancen claves con dicho valor, pero ya si nos envia dichas muestras, nos adelantaremos a tener que esperar esta tarde la indicada 13.96

saludos

ms, 14-05-2007

Mensaje por **msc hotline sat** » 14 May 2007, 14:40

Pues implementamos el copntrol y eliminacion a la nueva version del ELISTARA de hoy, 13.96, que estará disponible para evaluacion a partir de las 20 h GMT

saludos

m,s, 14-05-2007

cafeole · Mensaje por **cafeole** » 14 May 2007, 18:37

Parece que tras ejecutar por última vez el HiJackThis y eliminar varias de las claves que me habéis señalado (otras ya no existían) esto tiene mejor pinta:

(dudo sobre la clave 016 del hijackthis, no me suena esa web)

[color=blue]ELISTARA log

Mon May 14 17:04:51 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 17:04:55 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[/color]

[color=green]HIJACKTHIS log

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 17:43:04, on 14/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\DU Meter\DUMeter.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe

C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

D:\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\UltraVNC\WinVNC.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Notepad.exe

D:\elisoft\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe"

O4 - HKLM\..\Run: [googletalk] C:\Archivos de programa\Google\Google Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] The Sims Life Stories

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.windowsue.com

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Archivos de programa\UltraVNC\WinVNC.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 10282 bytes

[/color]

Mensaje por **msc hotline sat** » 14 May 2007, 18:44

No, la O16 es un DPF de emsisoft. software antimalware, no es problema.

Como le indiqué, a partir de las 20 h pruebe el ELISTARA 13.96 y si tras ello persiste alguna anomalia, nos lo indica y sino ya daremos por solucionado el Tema

saludos

ms, 14.05.2007

cafeole · Mensaje por **cafeole** » 15 May 2007, 10:52

ELISTARA 13.96 LOG

[color=blue] Tue May 15 09:18:48 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue May 15 09:18:52 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DDCCB.DLL.MUESTRA ELISTARTPAGE V13.94 --> Eliminado, Vundo2(notify)

C:\Muestras\WXQKLGER.DLL.MUESTRA ELISTARTPAGE V13.94 --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\DDCCB.DLL --> Eliminado, Vundo2(notify)

C:\WINDOWS\system32\VFTSVHDC.DLL --> Eliminado, JuanSearch(BHO)

C:\WinLogon\DDCCB.DLL --> Eliminado, Vundo2(notify)

Tue May 15 09:34:20 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue May 15 09:34:23 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue May 15 09:38:39 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue May 15 09:53:15 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\SEGURIDAD\backups\BACKUP-20070510-212154-166.DLL --> Eliminado, Vundo2(notify)

E:\SEGURIDAD\backups\BACKUP-20070510-212154-593.DLL --> Eliminado, JuanSearch(BHO)

E:\SEGURIDAD\backups\BACKUP-20070510-212154-730.DLL --> Eliminado, DownLoader.ConHook (notify)

E:\SEGURIDAD\backups\BACKUP-20070510-212154-997.DLL --> Eliminado, JuanSearch(BHO)

[/color]

Bueno yo creo que ya está limpio por completo.

Muchas gracias por vuestra ayuda, os ganais el cielo.

Mensaje por **msc hotline sat** » 15 May 2007, 11:02

Pues lo conseguimos !

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 15 de Mayo de 2007

Ordenador ralentizado,navegación imposible, (SOLUCIONADO)

Ordenador ralentizado,navegación imposible, (SOLUCIONADO)

seguimos igual