problema con services.exe y se reinicia seguido

sebasbull18 · Mensaje por **sebasbull18** » 25 May 2007, 06:16

Espero que me puedan ayudar con mi problema:

me sale un error al iniciar el computador relacionado con "services.exe" en la direccion C:\windows\servicepackfiles"

y despues de eso se reinica a los 60 segundos.

estuve leyendo algunos foros con temas relacionados, entonces para ahorrarles trabajo les adjunto el resultado de utilizar hijackths y ELISTARA.4062007.

Thu May 24 21:37:00 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\SERVICES.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL --> Eliminado NaviPromo

C:\WINDOWS\SYSTEM32\MSEGCOMPID.DLL --> Eliminado

C:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\I --> Eliminado (Fichero Complementario).

C:\WINDOWS\MsSkinner\MSBACKUP.DAT --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\SYSTEM --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{1D97C89F-C04B-4616-A6D6-9E881D415898}" -> C:\WINDOWS\system32\ssttr.dll

Eliminada Carpeta "%WinDir%\MsSkinner"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\Accoona"

Eliminada Carpeta "%Archivos de Programa%\MailSkinner"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Logfile of HijackThis v1.99.1

Scan saved at 09:47:36 p.m., on 24/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

F:\hijackthis_sfx.exe

F:\1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059_XP.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diamatoro.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://us2-scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_ES_XP.cab

O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA54C593-5BF9-4C52-B5AB-05B71A6ED994}: NameServer = 200.75.51.132,200.75.51.133

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Cualquier ayuda que me puedan brindar, o alguna accion para cooregir, de antemano les agradezco su atencion.

Mensaje por **msc hotline sat** » 25 May 2007, 06:20

Pues acabo de contestar otro Tema con otro SERVICES y reinicios ... :

https://foros.zonavirus.com/viewtopic.php?f=5&t=18694

vamos a ver tu log

Bueno pues aparte de que esperamos nos envies las muestras solicitadas:

Por favor, envienos una muestra del fichero
C:\WinLogon\SSTTR.DLL

Por favor, envienos una muestra del fichero
C:\WinLogon\WINGDM32.DLL

Por favor, envienos una muestra del fichero
C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.05

Por favor, envienos una muestra del fichero
C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

Por favor, envienos una muestra del fichero
C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

para analizarlas y proceder en consecuencia, vemos que tienes mas cosas:

C:\WINDOWS\system32\rpcc.exe

envianos tambien dicho fichero

y elimina estas claves:

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe

O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059_XP.cab

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://us2-scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab

O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_ES_XP.cab

O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_XP.cab

saludos

ms, 25-05-2007

sebasbull18 · Mensaje por **sebasbull18** » 25 May 2007, 21:12

hola

ya envie las muestras de los archivos y elimine lo que ustedes me recomendaron. les envio otro informe de un analisis que hice hoy, si es que depronto hay algun problema adicional.

gracias.

Thu May 24 21:37:00 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\SERVICES.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL --> Eliminado NaviPromo

C:\WINDOWS\SYSTEM32\MSEGCOMPID.DLL --> Eliminado

C:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\I --> Eliminado (Fichero Complementario).

C:\WINDOWS\MsSkinner\MSBACKUP.DAT --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\SYSTEM --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{1D97C89F-C04B-4616-A6D6-9E881D415898}" -> C:\WINDOWS\system32\ssttr.dll

Eliminada Carpeta "%WinDir%\MsSkinner"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\Accoona"

Eliminada Carpeta "%Archivos de Programa%\MailSkinner"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 24 21:38:36 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu May 24 21:48:52 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 25 12:07:16 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D2363A73-A0AC-4D0B-8E37-56A0B0382F86}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 12:07:49 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\K-Lite Codec Pack\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Documents and Settings\Administrador\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)

C:\Documents and Settings\Administrador\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\6R1GZAG0\P2PSETUP[1].EXE --> Eliminado, P2PNet (dropper)

C:\Documents and Settings\Administrador\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\KM9PO441\P2PSETUP[1].EXE --> Eliminado, P2PNet (dropper)

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\backups\BACKUP-20070525-114519-627.INF --> Eliminado, Dialer-InstantAccess(inf)

C:\QUARANTINE\SERVICES.EXE.VIR --> Eliminado, CWS.Yexe (dldr)

C:\WINDOWS\system32\MSPLOCK32.DLL --> Eliminado, NaviPromo

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

HJT

Logfile of HijackThis v1.99.1

Scan saved at 12:24:49 p.m., on 25/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\ELISTARA.4062007.EXE

C:\WINDOWS\system32\mmc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\DfrgNtfs.exe

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diamatoro.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA54C593-5BF9-4C52-B5AB-05B71A6ED994}: NameServer = 200.75.51.132,200.75.51.133

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Otro asunto:

con el problema ya mencionado la barra de herramientas, despues de iniciado el computador, no aparece con el "inicio rapido", el icono de "analisis en tiempo real de VirusScan" de McAfee no aparece en la barra de tareas pero en la consola aparece como activado, y solo despues de que accedo a el registro se activa esta utilidad.

Tambien el panel de control de "SoundMAX" aparece un mensaje de que no hay sonido presente, y solo despues de que entro a preferencias, y en la ventana que aparece le doy aceptar, este queda activado.

Mensaje por **msc hotline sat** » 26 May 2007, 10:46

Veo que el informe indica:

"No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza) "

y en este caso, decimos:

viewtopic.php?f=5&t=18469

y ademas:

Por favor, envienos una muestra del fichero
C:\WinLogon\WINGDM32.DLL

Por favor, envienos una muestra del fichero
C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

Por favor, envienos una muestra del fichero
C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

paso ahora a examinar el log del HJT :

vemos que hay la de marras:

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

Pues descargue el ELISTARA 14.07 y el ELINOTIF como antes le indicabamos y tras probar el ELISTARA, reinicie para completar la eliminacion:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 26-05-2007

sebasbull18 · Mensaje por **sebasbull18** » 27 May 2007, 00:27

buenas tardes.

1)Con respecto a los archivos para enviar, ya lo hice (con asunto "REF<sebasbull18>")a travez de el correo que introduje al momento del registro a ZonaVirus; si no ha sido recibido porfavor informarme para reenviarlo.

2) ya descargue la utilidad, "ELINOTIF.DLL", y este es el resultado:

Thu May 24 21:37:00 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\SERVICES.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL --> Eliminado NaviPromo

C:\WINDOWS\SYSTEM32\MSEGCOMPID.DLL --> Eliminado

C:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\I --> Eliminado (Fichero Complementario).

C:\WINDOWS\MsSkinner\MSBACKUP.DAT --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\SYSTEM --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{1D97C89F-C04B-4616-A6D6-9E881D415898}" -> C:\WINDOWS\system32\ssttr.dll

Eliminada Carpeta "%WinDir%\MsSkinner"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\Accoona"

Eliminada Carpeta "%Archivos de Programa%\MailSkinner"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 24 21:38:36 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu May 24 21:48:52 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 25 12:07:16 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D2363A73-A0AC-4D0B-8E37-56A0B0382F86}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 12:07:49 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\K-Lite Codec Pack\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Documents and Settings\Administrador\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)

C:\Documents and Settings\Administrador\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\6R1GZAG0\P2PSETUP[1].EXE --> Eliminado, P2PNet (dropper)

C:\Documents and Settings\Administrador\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\KM9PO441\P2PSETUP[1].EXE --> Eliminado, P2PNet (dropper)

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\backups\BACKUP-20070525-114519-627.INF --> Eliminado, Dialer-InstantAccess(inf)

C:\QUARANTINE\SERVICES.EXE.VIR --> Eliminado, CWS.Yexe (dldr)

C:\WINDOWS\system32\MSPLOCK32.DLL --> Eliminado, NaviPromo

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 13:01:10 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 18:03:22 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 18:08:04 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 18:08:29 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 18:14:04 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 18:14:16 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 20:23:25 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{683D04EE-B012-46BB-AE52-5ACCB4624A1C}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat May 26 09:34:19 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat May 26 15:22:07 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\EFCBBCY]

Por favor, envienos una muestra del fichero

C:\WinLogon\EFCBBCY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat May 26 15:22:33 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.05.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\efcbbcy.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\efcbbcy"

Detectado Vundo

Elininada KEY "Winlogon\Notify\ssttr"

Elininado BHO: "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}"

Elininada Class: "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}"

Desinstalado EliNotif.dll

Sat May 26 16:18:16 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

3)que debo hacer para corregir el error en la entrada

"O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe".

¿puedo hacerlo con el HJT y la opcion FIX CHECKED?

Gracias.

Mensaje por **msc hotline sat** » 27 May 2007, 12:21

Por supuesto, se me quedó en el portapapeles en mi post anterior !

Todas las claves de services.exe que no sea lanzado desde carpeta de sistema, deben eliminarse.

saludos

ms, 27-05-2007

Mensaje por **msc hotline sat** » 28 May 2007, 17:19

Las muestras recibidas han pasado a ser implementadas en el ELISTARA DE HOY 14.08

Y el services.exe enviado es del sistema operativo, pero si fue pedido por el ELISTARA debio ser porque se habia copiado en otra carpeta que no era la de sistema

saludos

ms, 28-05-2007

sebasbull18 · Mensaje por **sebasbull18** » 01 Jun 2007, 17:58

buenos dias.

Disculpen mi ignorancia pero no estoy muy seguro respecto a que claves debo eliminar, respecto al problema que mencione antes, con el HJT.

Aqui les mando el log, esperando que me puedan dar una ayuda, a ver si los programas mencionados corren al inicio automaticamente y no lo tenga que hacer manula cada vez que inicio mi PC:

Logfile of HijackThis v1.99.1

Scan saved at 09:52:14 a.m., on 01/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\dnijfray.dll

O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\WINDOWS\ServicePackFiles\521214634.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {A1F5BF91-2BAE-400E-B5CC-C96427AB099E} - C:\WINDOWS\system32\efcbbcy.dll (file missing)

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [E06EDXRC_1055046] "E:\Biblioteca Encarta\Encarta 2006 Biblioteca Premium\EDICT.EXE" -m

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diamatoro.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA54C593-5BF9-4C52-B5AB-05B71A6ED994}: NameServer = 200.75.51.132,200.75.51.133

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Gracias.

Pd: Quisiera saber cual fue el resultado del analisis de los archivos que envie. gracias.

Mensaje por **msc hotline sat** » 01 Jun 2007, 20:23

Se le contestó el día 28 indicando que se habia implementado su control y eliminacion en la version 14.08 del ELISTARA y que el SERVICES.EXE enviado era el del sistema operativo, vealo en mi post anterior ...

Ahora voy a mirar su log

Veo que no ha aprovechado las nuevas versiones del ELISTARA !!! Debe probar siempre la ultima, y está usando una anticuada...

Haga el favor de descargar la actual y postear el contenido de C:\infosat.txt resultante, aparte, si todavía está, envienos el C:\WINDOWS\ServicePackFiles\services.exe (ojo, no el de la carpeta de sistema !)

saludos

ms, 1-06-2007

sebasbull18 · Mensaje por **sebasbull18** » 27 Jun 2007, 03:27

Buenas Noches. No habia acudido a ustedes ya que despues de la ayuda que me brindaron, mi pc quedo funcionando normalmente. Pero hace algunos dias reaparecio el problema de service.exe, con reinicio a los 60 sg.

Aunque el problema no es tan seguido como antes, de todas formas me preocupa porque en una ocasión el shutdown -a no soluciono el problema.

Volvi a ejecutar el HJT y este es el resultado: (de ejecutar el EliStar me dio el mismo resultado anterior, con las mismas muestras que ya les envie)

Logfile of HijackThis v1.99.1

Scan saved at 06:19:04 p.m., on 26/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\dnijfray.dll

O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\WINDOWS\ServicePackFiles\521214634.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A1F5BF91-2BAE-400E-B5CC-C96427AB099E} - C:\WINDOWS\system32\efcbbcy.dll (file missing)

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diamatoro.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D9438FD-0149-4445-931C-0304FCA2446A}: NameServer = 200.75.51.132 200.75.51.133

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA54C593-5BF9-4C52-B5AB-05B71A6ED994}: NameServer = 200.75.51.132,200.75.51.133

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Gracias

Mensaje por **msc hotline sat** » 27 Jun 2007, 07:47

En mi anterior post se le pedia que posteara el contenido de c:\infosat.txt, y aun estamos esperando...

Aparte, envienos estos ficheros para analizar:

C:\WINDOWS\system32\dnijfray.dll

C:\WINDOWS\ServicePackFiles\521214634.dll

C:\WINDOWS\ServicePackFiles\services.exe

C:\WINDOWS\SYSTEM32\wingdm32.dll

y elimine estas claves:

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe

O20 - Winlogon Notify: wingdm32 - C:\WINDOWS\SYSTEM32\wingdm32.dll

saludos

ms, 27-06-2007

sebasbull18 · Mensaje por **sebasbull18** » 27 Jun 2007, 21:30

Buenas Tardes.

Ya elimine las claves que me recomendaron, estos son los resultados:

Logfile of HijackThis v1.99.1

Scan saved at 12:06:29 p.m., on 27/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.co

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\dnijfray.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diamatoro.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D9438FD-0149-4445-931C-0304FCA2446A}: NameServer = 200.75.51.132 200.75.51.133

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA54C593-5BF9-4C52-B5AB-05B71A6ED994}: NameServer = 200.75.51.132,200.75.51.133

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Thu May 24 21:37:00 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\SERVICES.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL --> Eliminado NaviPromo

C:\WINDOWS\SYSTEM32\MSEGCOMPID.DLL --> Eliminado

C:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\I --> Eliminado (Fichero Complementario).

C:\WINDOWS\MsSkinner\MSBACKUP.DAT --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\SYSTEM --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{1D97C89F-C04B-4616-A6D6-9E881D415898}" -> C:\WINDOWS\system32\ssttr.dll

Eliminada Carpeta "%WinDir%\MsSkinner"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\Accoona"

Eliminada Carpeta "%Archivos de Programa%\MailSkinner"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 24 21:38:36 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu May 24 21:48:52 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 25 12:07:16 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D2363A73-A0AC-4D0B-8E37-56A0B0382F86}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 12:07:49 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\K-Lite Codec Pack\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Documents and Settings\Administrador\Configuración local\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)

C:\Documents and Settings\Administrador\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\6R1GZAG0\P2PSETUP[1].EXE --> Eliminado, P2PNet (dropper)

C:\Documents and Settings\Administrador\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\KM9PO441\P2PSETUP[1].EXE --> Eliminado, P2PNet (dropper)

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\backups\BACKUP-20070525-114519-627.INF --> Eliminado, Dialer-InstantAccess(inf)

C:\QUARANTINE\SERVICES.EXE.VIR --> Eliminado, CWS.Yexe (dldr)

C:\WINDOWS\system32\MSPLOCK32.DLL --> Eliminado, NaviPromo

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 13:01:10 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 18:03:22 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 18:08:04 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 18:08:29 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 18:14:04 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CCC1FCAC-6F22-4F2C-928B-7F400BB01AE4}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri May 25 18:14:16 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Fri May 25 20:23:25 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{683D04EE-B012-46BB-AE52-5ACCB4624A1C}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat May 26 09:34:19 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sat May 26 15:22:07 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\EFCBBCY]

Por favor, envienos una muestra del fichero

C:\WinLogon\EFCBBCY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\SSTTR]

Por favor, envienos una muestra del fichero

C:\WinLogon\SSTTR.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\EFCBBCY.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EFCBBCY.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SSTTR.DLL.Muestra EliStartPage v14.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SSTTR.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RTTSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}" -> C:\WINDOWS\system32\ssttr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat May 26 15:22:33 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.05.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\efcbbcy.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\efcbbcy"

Detectado Vundo

Elininada KEY "Winlogon\Notify\ssttr"

Elininado BHO: "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}"

Elininada Class: "{863C192B-A8A9-4ECE-8BAD-E98999E8E416}"

Desinstalado EliNotif.dll

Sat May 26 16:18:16 2007

EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jun 26 17:31:03 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jun 26 17:33:09 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Jun 26 18:25:27 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jun 26 18:25:29 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jun 27 10:39:44 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGDM32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGDM32.DLL

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 10:40:51 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Wed Jun 27 10:43:12 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\WINGDM32] -> C:\WINDOWS\SYSTEM32\WINGDM32.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\521214634.DLL.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\521214634.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\WINGDM32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR

Eliminada Class, "{58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9}" -> C:\WINDOWS\ServicePackFiles\521214634.dll

Eliminada Class, "{A1F5BF91-2BAE-400E-B5CC-C96427AB099E}" -> C:\WINDOWS\system32\efcbbcy.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 10:43:25 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\WINGDM32.DLL.VIR --> Acceso Denegado, BackDoor-CVT (notify)

C:\WinLogon\WINGDM32.DLL --> Eliminado, BackDoor-CVT (notify)

Wed Jun 27 12:07:20 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 12:07:29 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\RPCC.EXE --> Eliminado, Proxy-Dlena.AD

C:\WINDOWS\system32\WINGDM32.DLL.VIR.VIR --> Eliminado, BackDoor-CVT (notify)

Wed Jun 27 12:35:52 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Wed Jun 27 12:54:36 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 12:54:45 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jun 27 13:10:50 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Gracias

Pd. La mayoria de archivos que se mencionan para enviar como muestras no aparecen o ya los envie.

Mensaje por **msc hotline sat** » 27 Jun 2007, 22:15

Pues no, en el HJT se ven todavía gusanos, o eso parece. Envienos muestra para analizar de:

C:\WINDOWS\system32\dnijfray.dll

Se lo pedía en mi anterior post junto con otros que ya han sido eliminados, pero este se resiste y aun está en el log y no aparece eliminado por el ELISTARA , POSIBLEMENTE POR QUE SE TRATA DE UNA VARIANTE DESCONOCIDA

(ya vemos que indica que ya no los encuentra o ya los ha enviado, lo cual entendemos, pero vea que este sea el que nos ha enviado y mañana implementaremos su control y eliminacion en la proxima version de nuestras utilidades, de lo cual informaremos)

saludos

ms, 27-06-2007

sebasbull18 · Mensaje por **sebasbull18** » 27 Jun 2007, 22:52

Buenas tardes.

Mientras les escribia el anterior mensaje, tambien les estaba enviando el archivo mencionado.

Les agradezco cualquier ayuda, ya que el problema se esta presentando mas seguido y mas rapido. Lo diferente esta vez es que no aparece el mensaje de reiniciar por el error, sino que primero aparece el mensaje de error con las opciones de "enviar" y "no enviar" y un momento despues el mensaje de reinicio (sin que sirva el shutdown -a).

gracias

Mensaje por **msc hotline sat** » 28 Jun 2007, 07:31

Pues lo analizaremos y procederemos a implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 28-06-2007

sebasbull18 · Mensaje por **sebasbull18** » 01 Jul 2007, 21:44

Buenas Tardes.

El problema mencionado persiste. Pero la novedad es que en estos ultimos dias el analisis en tiempo real del Mcafee, siempre detecta 4 troyanos, (independientemente si estoy o no conectado a internet) detectados como "Generic Proxy.a", en la direccion "C:/windows/tempt" y en las aplicaciones "protector.exe" y "services.exe". el mensaje muestra el estado de estos troyanos como eliminados pero un momento despues àparece el error usual de services.exe.

espero que esta informacion les sirva de algo en mi caso.

gracias.

Mensaje por **lucl** » 01 Jul 2007, 23:47

Hola sebasbull, perdona que intervenga pero si no te dijeron nada sobre tu ultimo envio es porque no les llego a tiempo para que lo analizaran¿ En cualquier caso el finde no trabajan con lo que hasta mañana no te diran nada, pero por si acaso, vuelve a enviarlo y ademas añade esos archivos que te dice el macfee que tienes troyanos, sigue la ruta y lo analizaran, saludos

Mensaje por **msc hotline sat** » 02 Jul 2007, 07:40

Si tras actualizar nuestras utilidades y probarlas, persiste alguna anomalia, envienos de nuevo las muestras pues no debieron llegar a buen puerto...

saludos

ms, 2-07-2007

Mensaje por **msc hotline sat** » 03 Jul 2007, 14:57

Recibida muestra para analizar pasa a ser implementada en el ELISTARA de hoy 14.33, que estara disponible en esta web para pruebas de evaluacion, a partir de las 16 H GMT

saludos

ms, 3-07-2007

sebasbull18 · Mensaje por **sebasbull18** » 04 Jul 2007, 05:55

buenas noches.

como me recomendaron en uno de los mensajes anteriores ya les envie los archivos en los cuales aparecen los troyanos.

espero me puedan ayudar.

gracias

Mensaje por **msc hotline sat** » 04 Jul 2007, 08:14

Por supuesto, en cuanto entremos a trabajar en SATINFO los analizaremos e informaremos (si han llegado correctamente, claro)

saludos

ms, 4-07-2007

sebasbull18 · Mensaje por **sebasbull18** » 11 Jul 2007, 16:13

Buenos dias.

Disculpen la molestia, pero tengo novedades en mi caso.

De los virus que mencione arriba, ya elimine "Protector.exe"; esto me permitio utilizar el "SHUTDOWN -a" normalmente (esto no lo podia hacer antes). Sin embargo los troyanos aleatorios siguen siendo detectados por Mcafee, en la aplicacion "services.exe" con el error comun.

Despues de analizar mi PC con las ultimas actualizaciones de mi antivirus detecto un troyano llamado "mswsock.dll" el cual no se puede ni limpiar, o eliminar, o migrar a cuarentena.

Una muestra de este archivo ha sido enviada a ustedes, agradeciendo cualquier ayuda que me puedan brindar.

Gracias.

Mensaje por **msc hotline sat** » 11 Jul 2007, 17:32

Y para la O10, lanzar el LPSFIX : O10 - Broken Internet access because of LSP provider 'c:\windows\system32\mswsock.dll' missing

Descargar LSP-FIX

y para acabar, prueba el ELISTARA que puede restaurar claves de virus que vemos que has tenido (RPCC.DLL - ya borrado)

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y si el "mswsock.dll" persiste, envienoslo para analizar

saludos

ms, 11-07-2007

sebasbull18 · Mensaje por **sebasbull18** » 12 Jul 2007, 05:03

aqui les mando el resultado de la utilizacion de los programas recomendados

Wed Jul 11 11:38:33 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 11:38:36 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\K-Lite Codec Pack\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

Wed Jul 11 11:52:38 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Wed Jul 11 12:34:28 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 11 12:34:35 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jul 11 12:53:27 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Wed Jul 11 12:59:03 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 11 12:59:08 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Logfile of HijackThis v1.99.1

Scan saved at 11:57:26 a.m., on 11/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Familia Erazo\Mis documentos\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.co

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diamatoro.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe (file missing)

En el programa recomendado para el mswsock

me aparecen 4 entradas:

File -----------Description

mswsock.dll -----Tcpip

winrnr.dll -------NTDS

nwprovau.dll -------NWLink IPX/SPX/NetBIOS CompatibleTransport Protocol

rsvpsp.dll -------(protocol handler)

Y cuando le doy "finish" aparecen 0 en todas las opciones.

espero esta informacion les sirva de algo.

gracias

Mensaje por **msc hotline sat** » 12 Jul 2007, 05:18

Pues si nos has enviado el fichero pedido ya lo analizaremos, pero ademas envianos este otro, que al no haber sido detectado por las recientes utilidades que has pasado, se trata sin duda de una nueva variante que puede ser estar relacionada con el incordio:

C:\WINDOWS\system32\rpcc.exe

Envianoslo como ya sabes, y si aun no lo hubieras hecho, junto con el mswsock.dll de marras

saludos

ms, 12-07-2007

sebasbull18 · Mensaje por **sebasbull18** » 13 Jul 2007, 18:03

Buenos Dias

ya les envie el mswsock.dll pero el otro archivo mensionado no lo encontre. parece que ya ha sido eliminado.

gracias

Mensaje por **msc hotline sat** » 13 Jul 2007, 19:23

Cmprueba que no sté oculto o en otra parte buscandolo con Inicio -> Buscar -> Todos los ficheros y carpetas -> RPCC.EXE, para descartar que pudiera estar por ahí, y si lo encuentras nos lo envias, y sino, eliminas esta clave:

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe

saludos

ms, 13-07-2007

sebasbull18 · Mensaje por **sebasbull18** » 24 Jul 2007, 21:18

Buenas Tardes.

quisiera saber que ha pasado con mi caso.

Ya elimine la clave que me recomendaron y tambien les envie una muestra de los archivos relacionados con mi problema. Si depronto no los recibieron, por favor avisenme para reenviarlos.

Gracias

Mensaje por **msc hotline sat** » 24 Jul 2007, 21:28

Pues revise que en su mail vaya la referencia "sebasbull18" (su nick) y que lo dirija a zonavirus@satinfo.es y que el o los ficheros sospechosos vayan empaquetados en un ZIP o RAR con password VIRUS, tal y como se indica:

en cualquier caso, repita su envio en la forma indicada

saludos

ms, 24.07.2007

sebasbull18 · Mensaje por **sebasbull18** » 27 Jul 2007, 16:36

Buenos dias

Porfavor confirmar el recibo de los archivos que acabe de enviar.

Gracias

problema con services.exe y se reinicia seguido

problema con services.exe y se reinicia seguido

service.exe

service.exe

Reaparicion Problema con el service.exe