virus que anula arranque modo seguro&antivirus (SOLUCIONADO)

vigiluca · Mensaje por **vigiluca** » 21 May 2007, 23:12

hola a todos
En primer lugar, a ver si podeis ayudarnos porque estamos desesperaditos. Hace ya un tiempo que nos ayudasteis con un problemilla y aqui tenemos que volver de nuevo. Ahora estamos desde el portatil porque el de sobremesa ya no podemos encenderlo.

Voy a intentar resumir todo y los pasos que hicimos porque ha sido mucho, llevmos todo el dia asi.

En primer lugar, todo surgió por un codec que buscó mi marido y al instalarlo nos saltó el antivirus, y a partir de ahi, desapareció. (Teniamos norton 2006).

Lo siguiente que hicimos fue intentar entrar en modo a prueba de fallos y nos da el siguiente mensaje:
"Pres esc cancel to loading vax347b.sys" y es completamente imposible entrar de esa manera.

Nuestro siguiente paso fue entrar (modo normal) y pasar un antivirus online. Ese antivirus nos dio un virus desinfectado (usamos el pandasoftware) y varios spyware y un hacker que no desinfecto.

Lo siguiente que hicimos fue volver a intentar modo seguro, pero nada, y despues de eso, intentamos volver a instalar nuestro Norton 2006. el problema es que a mitad de instalación daba un error que nos llevaba a la pagina de symantec y despues de seguir varios titulares, seguimos sin poder instalarlo.

Intente ejecutar el elistara pero al no estar en modo seguro, en cuanto borra archivos temporales, se desactiva.

Paso siguiente: me acorde de esta maravilla de pagina y foro, y lo que intente fue hacer el modo seguro segun viene explicado en el tutorial (como fallaba lo otro a traves de ejecutar-msconfig-boot....).
Y aqui se acabo de estropear del todo. Al reiniciar y darle al modo seguro vuelve a salir el mismo mensaje y despues empieza como un bucle en el que no deja ya entrar en modo normal, ni modo de fallos ni modo normal...

Ahora tenemos el problema que ni una copia podemos hacer de seguridad, y hay varias cosas de las que no tenemos copia y no podemos perder, asi que si por favor alguien puede ayudarnos os lo agradeceriamos muchiisimo.

Perdon por el rollo y muchisimas gracias por vuestra atencion.

Un saludo.

Mensaje por **msc hotline sat** » 22 May 2007, 07:10

Podría ser el Bagle...

Prueba esta utilidad y nos comentas el resultado, gracias:

ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 22-05-2007

vigiluca · Mensaje por **vigiluca** » 22 May 2007, 12:04

gracias msc pero para probar el elibagla, tendria que iniciar el ordenador y no puedo hacerlo de ninguna manera, ni a prueba de fallos ni en modo normal. Si lo enciendo está en un "bucle" en el que se reinicia constantemente.... estoy desesperadaaaaaa

Mil gracias de nuevo... ah! y por cierto soy un poco pez en todo esto, asi que si hay algo que no haya explicado bien, lo siento....

Un saludo

Mensaje por **msc hotline sat** » 22 May 2007, 13:03

Si tiene el Bagle y ha modificado el BOOT.INI para que le arranque por defecto en modo seguro, como que el Bagle le ha modificado la clave de ERROR SAFE impidiendo arrancar en dicho modo, ha cerrado un circulo vicioso , del que debe salir volviendo a poner el BOOT.INI inicial, y pasas el ELIBAGLA sea cual sea el modo en el que arranque (normal o seguro) eliminará el virus y restaurrará la clave.

Creo que debes proceder a arrancar con el CD de instalacion y entrar en consola de recuperacion y segun sean tus conocimiento, volver a dejar el BOOT.INI como estaba, o copiar en su lugar el de otra maquina con igual sistema operatuvo, pero ten presente los atributos de dicho fichero para poder hacerlo

Como que veo que sabeis manejaros por lo que ya habeis hecho, os apunto la solucion, comentadme si teneis algun problema, donde y cual.

saludos

ms, 22-05-2007

vigiluca · Mensaje por **vigiluca** » 22 May 2007, 13:11

gracias de nuevo.

A ver, el problema es que no tenemos disco de inicio, pero si tenemos otro aparato en casa (el portatil desde el que escribo), asi que ahora necesitaria como poder iniciar el ordenador, ya que no me deja ni en modo seguro ni en modo normal.

Y en cuanto a nuestros conocimientos, gracias por decir que los tenemos jejejej, me ha hecho gracia, pero la verdad es que lo unico que hice fue seguir el tutorial de arranque en modo seguro de esta pagina, y ahi fue cuando ya no pudimos entrar de ninguna forma...

Lo de copiar el boot.ini que nos dices de otra maquina, creo que ya me acuerdo como lo hice, pero para ello tengo que poder iniciar windows ¿no?

Gracias de nuevo.

Mensaje por **msc hotline sat** » 22 May 2007, 13:28

Si, pero para esto puedes usar el CD de instalacion y pulsar R cuando te ofrezca I =Instalar o R= Consola de Recuperacion, y en dicho modo (una especie de DOS cutre) poder proceder.

Y las instrucciones de arrancar en modo seguro que se dan en esta pagina son correctas, pero en condiciones normales, y me temo que las condiciones de vuestro ordenador no son noRmales, sino tener un BAGLE de campeonato !!!

En tal caso es muy sencillo simplemente probar el ELIBAGLA, pero al modificar el BOOT.INI habeis entrado en un callejon sin salida y habeis cerrado la puerta y tirado la llave !

Pero con la mejor intencion ha sido peor el remedio que la enfermedad. Es la excepcion que confirma la regla ! y la habeis tenido que aplicar ...

A ver si arrancais como se os indica y podeis copiar el BOOT.INI del otro, lo unico que teneis que tener en cuenta son los atributos, quitarlos y cuando esté todo, reponerlos

saludos

ms, 22-05-2007

vigiluca · Mensaje por **vigiluca** » 22 May 2007, 13:34

vale, creo que ya lo entendi todo... el porque al menos jejejje.

ahora el problema es que ¡no tengo CD de instalacion!!! ¿no puedo usar el del portatil? es que del de sobremesa no lo tengo... pero claro, el xp del portatil no es el mismo xp que el de sobremesa....

uff... no se, ahora mismo lo veo todo negro negrisimo...

Se lo que hay que hacer una vez que consiga arrancarlo, pero sin CD de instalación lo veo dificil dificil...

Gracias de nuevo

un saludo

Mensaje por **msc hotline sat** » 22 May 2007, 13:35

En otro Tema similar profundizaba un poco sobre el particular:

viewtopic.php?f=13&t=18593

mirarlo por si os es de utilidad

ms, 22-5-2007

vigiluca · Mensaje por **vigiluca** » 22 May 2007, 13:41

perdon otra vez, pero el enlace me dice que "invalid session", asi que no puedo llegar ahi...

graciasssssssss

Mensaje por **msc hotline sat** » 22 May 2007, 13:56

renovado el link, debió ser algun virus que me lo cambió ... :wink:

saludos

ms, 22-05-2007

vigiluca · Mensaje por **vigiluca** » 22 May 2007, 14:35

gracias por el nuevo enlace, veo que no soy la unica que quiere hacer las cosas "bien" y le sale el tiro por la culata jejejej.

Bueno, sigo con el mismo problema ya que al no tener el disco de arranque o de instalación, no se si podré hacerlo. Tengo el del portatil, pero no es el de windows sino uno de Toshiba, con lo que no se si podré asi...

Si me podeis indicar si puedo intentarlo igual, decirmelo y tiro p'alante, si no, ya no se me ocurre nada...

Un saludo y mil gracias.

Mensaje por **msc hotline sat** » 22 May 2007, 15:43

Prueba con el que tengas, no es para copiar nada, solo para arrancar y tener acceso a la consola de recuperacion.

Si se tratara de un CD de instalacion de microsoft, daria igual que fuera de windows XP Home o profesional o de w2000, pue solo haría falta arrancar con el y acceder a la consola de recuperacion para seguir desde ahí.

saludos

ms, 22-05-2007

vigiluca · Mensaje por **vigiluca** » 22 May 2007, 16:27

nada, ya no se que hacer, inserto el CD pero sigue en su bucle, reiniciandose una y otra vez, asi que no se....

Mil gracias

Mensaje por **msc hotline sat** » 22 May 2007, 16:45

No, si el CD tiene arranque (que se le supone) debes arrancar de CD.

Para ello en el SETUP debe estar confugurado el BOOT SEQUENCE con prioridad de arranque de CD antes que de disco duro, sino te arrancará de disco duro, claro...

Configuralo asi, ya que por lo visto no lo tienes, y prueba de nuevo

saludos

ms, 22.05.2007

vigiluca · Mensaje por **vigiluca** » 22 May 2007, 16:53

Ya, pero ¿como puedo configurarlo si no me deja hacer nada? quiero decir, si no se me inicia de ninguna manera, como puedo entrar en el boot de arranque??? ay, lo siento, pero es que estamos desesperados y no tenemos ni idea de estas cosas...

Saludos

Mensaje por **msc hotline sat** » 22 May 2007, 19:06

Sí, para acceder al SETUP del BIOS no hace falta arrancar windows, sino que al encender el ordenaor se pulsa la tecla DEL o SUPR y se acepta entrar en el SETUP, tras lo cual se accede donde se selecciona la prioridad de arranque de las unidades (BOOT SEQUENCE) y se selecciona que la primera sea el CD, para poder arrancar de ahí si se tiene un CD de instalacion o de arranque.

Hecho este se salva el SETUP, se coloca el CD en el cady y se reinicia el ordenador, et voilà ...

saludos

ms, 22.05.2007

vigiluca · Mensaje por **vigiluca** » 23 May 2007, 12:18

mil gracias por todo

al final, no nos sirvió la solución, asi que acabamos llevando a los profesionales a que le echaran un vistazo a nuestro angelito, que esperemos no haya pasado a mejor vida...

gracias de nuevo

Saludos

Mensaje por **msc hotline sat** » 23 May 2007, 12:30

De ninguna manera, aun ha de dar mucha guerra!, y si no lo vieran claro, indiquenles este Tema, aunque ellos puedan saber lo suyo, claro, solo para adelantar tiempo.

y digamos cuando lo tenga de nuevo en casa...

saludos

ms, 23-05-2007

vigiluca · Mensaje por **vigiluca** » 04 Jun 2007, 23:25

Hola de nuevo

No se si este mensaje todavia entra dentro de los 15 dias famosos... Pero bueno ahi va. Al final, vino el ordenador a casa aunque tardo un tiempo y bueno, entre que estuve de baja y demas no pude volver a entrar como habia prometido.

A lo que voy... yo creo que algun residente ha quedado, porque me salen alertas del antivirus cada 2X3 asi que no se. En los online salen virus pero no los desinfecta.

Ahora estoy intentando descargar el Elibagla como me habiais recomendado, pero algo pasa que no me deja, porque el antivirus me lo bloquea...

En fin, que sigo desesperada (ya pa variar)

Gracias y saludoss

vigiluca · Mensaje por **vigiluca** » 04 Jun 2007, 23:41

ya pase el elibagla y detecto un bagle que eliminó al principio. Os copio lo que me da el Hijackthis y si quereis que lo envie, me lo decis. Un saludo

Logfile of HijackThis v1.99.1

Scan saved at 22:47:19, on 04/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Administrador.EQUIPO\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WindowsUpdate renew] c:\windows\iexplore\iexplore.exe -v 000030 -s http://windowsupdate.microsoft.com /renew

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O15 - Trusted IP range: http://195.55.253.94

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Viewer Control) - http://195.55.253.94/viewer/activeXViewer/activexviewer.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: lxce_device - Unknown owner - C:\WINDOWS\system32\lxcecoms.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **msc hotline sat** » 05 Jun 2007, 05:13

Tiene dos antivirus instalados (Norton y NOD32) y ello puede provocar colisiones y ralentzacion. Desinstale uno de los dos !

Eliminar estas claves:

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O15 - Trusted IP range: http://195.55.253.94 (Están bajando el nivel de seguridad en todo lo que hagan desde esta IP)

O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Viewer Control) - http://195.55.253.94/viewer/activeXViewer/activexviewer.cab (Descarga un DPF desde la IP de marras)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 5-06-2007

vigiluca · Mensaje por **vigiluca** » 05 Jun 2007, 16:41

Mil gracias por la respuesta.... pero tengo un problema...

O15 - Trusted IP range: http://195.55.253.94

No se me borra, no se porque. Vuelvo a copiar el Hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 15:47:49, on 05/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WindowsUpdate renew] c:\windows\iexplore\iexplore.exe -v 000030 -s http://windowsupdate.microsoft.com /renew

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O15 - Trusted IP range: http://195.55.253.94

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: lxce_device - Unknown owner - C:\WINDOWS\system32\lxcecoms.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Lo del Norton, es que el anterior bagle nos eliminó el acceso y no tuvimos forma de recuperarlo, asi que nos instalamos el nod32 porque nos hablaron muy bien de el.... Pero el Norton teoricamente está desinstalado....

Mil gracias de nuevo

Mensaje por **msc hotline sat** » 05 Jun 2007, 16:57

Pues ya ha visto que en todas partes cuecen habas. No hay ningun antivirus que detecte todos los virus !

Y fijese que a simple vista se ven claves de Symantec en el log del HJT

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Lo de O15 - Trusted IP range: http://195.55.253.94 , mire de eliminarlo en los sitios de confianza , no sea que por ello no pueda eliminarlo del registro.

y diganos, tiene alguna relacion con "DKV Previasa de Seguros y Reaseguros" a quien segun parece pertenece esta IP ???

Porque si estan de acuerdo en permitirles todos los accesos y cambios que desde alli les quieran hacer... Vds sabrán !

saludos

ms, 5-06-2007

vigiluca · Mensaje por **vigiluca** » 05 Jun 2007, 21:21

mmmmmm ok, encontre el problema. En Agregar o quitar programas me encontre el live update de symantec que elimine... asi que volvere a copiar el hijacthis a ver

En cuanto a esa IP, pues de eso no entiendo mucho, pero está relacionado con el trabajo de mi marido... Y si es asi no la puedo eliminar ¿me equivoco? No se, espero indicaciones al respecto...

Voy a copiar el hjth, aunque veo que siguen ahi los archivos de symantec. ¿Puedo borrar esas entradas sin mas o no?..

Un saludo

Logfile of HijackThis v1.99.1

Scan saved at 20:29:11, on 05/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Canon\CAL\CALMAIN.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WindowsUpdate renew] c:\windows\iexplore\iexplore.exe -v 000030 -s http://windowsupdate.microsoft.com /renew

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O15 - Trusted IP range: http://195.55.253.94

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: lxce_device - Unknown owner - C:\WINDOWS\system32\lxcecoms.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **msc hotline sat** » 06 Jun 2007, 11:21

Entonces si son voluntarias dejalas, pero con conocimiento de que les dais todos los derechos para que hagan en vuestro ordenador lo que quieran ...

Y Por lo que veo no se desinstaló bien enlm Norton, y puede haber mas...

Prueba:

NORTON REMOVAL TOOL:

http://norton-removal-tool.softonic.com/ie/43087

saludos

ms, 6-06-2007

vigiluca · Mensaje por **vigiluca** » 06 Jun 2007, 20:02

Bueno, copio de nuevo el hijackthis, aunque creo que ya esta.... Le comentare a mi marido lo de la dirección IP a ver que opina...

Mil gracias de nuevo

Logfile of HijackThis v1.99.1

Scan saved at 19:07:41, on 06/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Canon\CAL\CALMAIN.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\eMule\emule.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WindowsUpdate renew] c:\windows\iexplore\iexplore.exe -v 000030 -s http://windowsupdate.microsoft.com /renew

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O15 - Trusted IP range: http://195.55.253.94

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Archivos de programa\Bluetooth Software\bin\btwdins.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: lxce_device - Unknown owner - C:\WINDOWS\system32\lxcecoms.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mensaje por **msc hotline sat** » 06 Jun 2007, 20:14

Pues aparte de dar maxima confianza a l IP indicada, el log está limpio, asi que damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 6-06-2007