Ayuda por favor....Ahí va mi post

[asf]

Empezó dandome problemas al iniciar windows "svshoot.exe no se encuentra". Luego al cabo de unos minutos me quedaba sin conexión. Ahora no entra en windows, se reinicia cuando sale la pantalla de inicio, solo me deja en modo prueba de fallo. He intentado restaurar pero no me deja. Me da error incluso al intentar acceder haciendo doble click sobre alguna unidad del disco duro. Gracias por adelantado y espero sus respuesta.

Logfile of HijackThis v1.99.1

Scan saved at 10:55:18, on 15/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,winwork.exe

O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ldhje783.dll (file missing)

O2 - BHO: (no name) - {ed4872b0-14fc-4e2e-87b6-12a66e36b0ff} - C:\WINDOWS\system32\mqlsrc.dll (file missing)

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\rocio\CONFIG~1\Temp\svchost.exe 1

O4 - HKLM\..\Run: [clcl6] C:\WINDOWS\system32\clcl6.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Archivos de programa\Mozilla Firefox\plugins\GetFlash.exe -p

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_08\bin\npjpi142_08.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_08\bin\npjpi142_08.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS3\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O20 - AppInit_DLLs:

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxx.dll

O20 - Winlogon Notify: mqlsrc - mqlsrc.dll (file missing)

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi7315.exe (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

[msc hotline sat]

De entrada pruebe el ELISTARA y haga limpieza...





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



tras ello vea si persisten anomalias, y si es asi, posteenos nuevo log del HJT



saludos



ms, 15-05-2007

[asf]

Tue May 15 11:47:57 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\A3DXQ]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\A3DXX.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

[WinLogon\Notify\RPCC]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado Alanchum

C:\WINDOWS\SYSTEM32\SPOOLSVV.SYS --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v13.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\BRAVESENTRY.EXE.Muestra EliStartPage v13.96

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\BRAVESENTRY\BRAVESENTRY.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q1.EXE --> Eliminado DownLoader-Small (vxh8jkdq)

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q2.EXE.Muestra EliStartPage v13.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q2.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q5.EXE --> Eliminado DownLoader-Small(dlh9jkd1q)

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q6.EXE.Muestra EliStartPage v13.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q6.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q7.EXE.Muestra EliStartPage v13.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q7.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q8.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\KERNELS32.EXE.Muestra EliStartPage v13.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KERNELS32.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINCOM32.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\WINCOM32.INI --> Eliminado

C:\WINDOWS\SYSTEM32\KR_DONE1 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\svcp.csv --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\Winsub.xml --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "System"="C:\WINDOWS\system32\kernels32.exe"

Eliminada Class, "{1557B435-8242-4686-9AA3-9265BF7525A4}" -> C:\WINDOWS\system32\tmpB.tmp.dll

Eliminada Class, "{67C55A8D-E808-4CAA-9EA7-F77102DE0BB6}" -> C:\WINDOWS\system32\tmp2C.tmp.dll

Eliminada Class, "{8D5849A2-93F3-429D-FF34-260A2068897C}" -> C:\WINDOWS\system32\ldhje783.dll

Eliminada Class, "{D651AFF4-9590-424D-BD1E-8E33E090DFB3}" -> C:\WINDOWS\system32\tmp2.tmp.dll

Eliminado Servicio, "Driver"

Eliminado Servicio, "kprof"

Eliminado Servicio, "ntldr.sys"

Eliminado Servicio, "poof"

Eliminado Servicio, "runtime"

Eliminado Servicio, "wincom32"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue May 15 11:48:33 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\WINDOWS\system32\QVX5GAMET2.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\system32\QVXGA6MET3.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\system32\QVXGA7MET4.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\system32\VEXGA3ME2.EXE --> Eliminado, DownLoader-Small (vxh8jkdq)

C:\WINDOWS\system32\VEXGA4M1ET4.EXE --> Eliminado, Alanchum

C:\WINDOWS\Temp\WINDCB0.TMP --> Eliminado, Alanchum

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Tue May 15 12:00:19 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\A3DXQ]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\A3DXX.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

Key Eliminada [WinLogon\Notify\RPCC] -> C:\WINDOWS\SYSTEM32\RPCC.DLL

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Eliminado Malware.RPCC(notify)

Eliminada Carpeta "\Program Files\BraveSentry"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[asf]

Logfile of HijackThis v1.99.1

Scan saved at 12:05:37, on 15/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Administrador\Escritorio\ELISTARA.25052007.EXE

C:\Archivos de programa\Internet Explorer\Iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {ed4872b0-14fc-4e2e-87b6-12a66e36b0ff} - C:\WINDOWS\system32\mqlsrc.dll (file missing)

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\rocio\CONFIG~1\Temp\svchost.exe 1

O4 - HKLM\..\Run: [clcl6] C:\WINDOWS\system32\clcl6.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Escritorio\ELISTARA.25052007.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Archivos de programa\Mozilla Firefox\plugins\GetFlash.exe -p

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_08\bin\npjpi142_08.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_08\bin\npjpi142_08.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\dglpmbz.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS3\Services\Tcpip\..\{0923A54B-5BDB-41F5-8C81-2C2370CCF070}: NameServer = 194.179.1.100,194.179.1.101

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxx.dll

O20 - Winlogon Notify: mqlsrc - mqlsrc.dll (file missing)

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi7315.exe (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

[msc hotline sat]

Antes de mirar el log del HJT, veo que se le piden muchas muestras y que se le indica:



No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



pues para lo primero:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y para lo segundo:



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





saludos



ms, 15-05-2007

[msc hotline sat]

Aparte de las que le pida el ELISTARA, por el log de HJT debe enviarnos estas otras muestras para analizar:



C:\DOCUME~1\rocio\CONFIG~1\Temp\svchost.exe 1



C:\WINDOWS\system32\clcl6.exe



c:\windows\system32\dglpmbz.dll



C:\WINDOWS\system32\a3dxx.dll



C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y lanzar el LPSFIX para restaurar las O10:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)





Una vez analizadas las muestras solicitadas, obraremos en consecuencia



saludos



ms, 15-05-2007