ICONO RESIDENTE "VIRUS DETECTADO"

[songoku_13]

Hola,

mi problema es similar al de varios que he visto en el foro.

Tengo el dichoso icono al lado del reloj cada vez que reinicio dónde te pone que si han detectado un virus, que si hay error del sistema, etc.

Ayer se me introdujo un virus de estos de Safety Bar que logré eliminar con el Spy&Boot Destroy, EliStarA, Ad-Adware y mi antivirus McAfee, pero se ha quedado el icono.

Ahora he cerrado el icono, así que no se si para colgar el HJT hay que reiniciar para que este activo o se puede hacer ahora.



Gracias

[msc hotline sat]

Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 2-11-2006

[songoku_13]

Este es el infosat.txt



me pide que os envíe dos dll. Para enviar: ¿la direccion es virus o zonavirus?





Wed Nov 01 19:24:17 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NOTLOG]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGEX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\SGLOGNOTIFICATION]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGNOTIFICATION.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado Puper-Is

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado Puper-Is

C:\WINDOWS\SYSTEM32\IXT0.DLL_TOBEDELETED --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%WinSys%\LogFiles"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 01 19:26:49 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP_1.4.3.EXE --> AutoExtraible

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP_1.4.5.EXE --> AutoExtraible

C:\Program Files\MyPhoneExplorer\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Sonic\Express Labeler\STAX.EXE --> Eliminado, StartPage-IN

C:\WINDOWS\system32\XTRACTOR10.OCX --> Eliminado, ErrorSafe



Wed Nov 01 19:42:51 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NOTLOG]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGEX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\SGLOGNOTIFICATION]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGNOTIFICATION.DLL

a "virus@satinfo.es". Gracias.



Wed Nov 01 19:53:54 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NOTLOG]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGEX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\SGLOGNOTIFICATION]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGNOTIFICATION.DLL

a "virus@satinfo.es". Gracias.



Wed Nov 01 19:55:02 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP_1.4.3.EXE --> AutoExtraible

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP_1.4.5.EXE --> AutoExtraible

C:\Program Files\MyPhoneExplorer\UNINSTALL.EXE --> AutoExtraible



Thu Nov 02 17:47:10 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NOTLOG]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGEX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\SGLOGNOTIFICATION]

Por favor, envienos una muestra del fichero

C:\WinLogon\SGLOGNOTIFICATION.DLL

a "virus@satinfo.es". Gracias.

Eliminados Ficheros Temporales del IE



Thu Nov 02 17:48:52 2006

EliStartPage v12.62 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP_1.4.3.EXE --> AutoExtraible

C:\Documents and Settings\MGINERMASE001\My Documents\Mis eBooks\Phone Explorer\MYPHONEEXPLORER_SETUP_1.4.5.EXE --> AutoExtraible

C:\Program Files\MyPhoneExplorer\UNINSTALL.EXE --> AutoExtraible

[songoku_13]

Ya les envié las dll solictadas por le Elistara a la direccion de zonavirus.



Un saludo.

[koga]

Esta bien el envio, se esperaran las muestras, cualquier duda acerca del envio de muestras puede ver:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Saludos.

[msc hotline sat]

Ahora SATINFO ya está cerrado.

Mañana por la mañana nos ponemos a ello



Mientras ya hemos movido a cuarentena estas DLL y tras reiniciar ya no estaran en uso.



saludos



ms, 2-11-2006

[songoku_13]

Alguna novedad??



Gracias

[msc hotline sat]

Estan en cola de proceso. Esta tarde se prevee entraran en analisis



saludos



ms, 3-11-2006

[msc hotline sat]

Analizadas muestras de DLL solicitadas, no se detectan en ellas rutinas viricas conocidas



Corresponden a alguna aplicacion de Utimaco Safeware AGG



Se excluyen en la proxima version del ELISTARA



saludos



ms, 3-11-2006

[koga]

Ya que no se ha encontrado rutinas viricas en los dll analizados, le recomiendo que de seguir los problemas con el icono postee un log de hijackthis,





¿Como utilizar el Hijackthis en los foros?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta en el foro HijackThis.



[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]







Saludos.

[songoku_13]

De acuerdo, muchas gracias.



Ahora estoy en otro ordenador. En cuanto utilice el otro pasaré el HJT y postearé el resultado, dado que el icono permanece aún cada vez que reinicio y he de cerrar el programa manualmente.

[msc hotline sat]

Pues como que me temo que el malware o FAKE ALERT estará escondido em las O21 y O22, ademas de postearnos el log del HJT, haz lo propio lanzando el SPROCES.EXE y posteanos tambien el C:\SPROCLOG.TXT





SPROCES (en desarrollo)

http://www.zonavirus.com/descargas/sproces.asp



Asi podrem os comparar los O21 y O22



saludos



ms,. 5-11-2006

[songoku_13]

Hola,

en primer lugar disculpad la tardanza, porque he estado sin conexion y ahora estoy conectado por telefono ( :cry: ).



Aqui os dejo los ficheros que me habeis pedido:



HJT--------

Logfile of HijackThis v1.99.1

Scan saved at 10:55:31, on 06/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\SYSTEM32\DWRCS.EXE

C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe

C:\Program Files\iPower\iHYControlMsgNotifier.exe

C:\Program Files\iPass\iPassConnect\iPCAgent.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\mcshield.exe

C:\Program Files\Network Associates\VirusScan\vstskmgr.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\QCONSVC.EXE

C:\Program Files\Utimaco\SafeGuard Easy\SgeCtl.exe

C:\WINDOWS\system32\SgLogPlayer.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\TPHDEXLG.EXE

C:\WINDOWS\system32\TpKmpSVC.exe

C:\WINDOWS\system32\vnxserv.exe

C:\Program Files\Utimaco\SafeGuard Easy\WksCfgSrv.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SYSTEM32\DWRCST.exe

C:\Program Files\Utimaco\SafeGuard Easy\Ecview.exe

C:\Program Files\SIM\SIM.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\TpShocks.exe

C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

C:\WINDOWS\AGRSMMSG.exe

C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

C:\Program Files\InterBase Corp\InterBase\bin\ibguard.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\InterBase Corp\InterBase\bin\ibserver.exe

C:\WINDOWS\system32\TpScrLk.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE

C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\IBM\Bluetooth Software\BTTray.exe

C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\Program Files\iPass\iPassConnect\downloader\ipccheck.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.as.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pwc.com/es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = PwC - Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = es-proxies:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;127.0.0.1;knowledgecurve.com;*.knowledgecurve.com;*.pwcinternal.com;10.*;<local>

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {39f25b12-74ff-4079-a51f-1d70f5b08b84} - C:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [SgeEcView] C:\Program Files\Utimaco\SafeGuard Easy\Ecview.exe

O4 - HKLM\..\Run: [EdWizard] C:\Program Files\Utimaco\SafeGuard Easy\EdWizard.exe as

O4 - HKLM\..\Run: [Run ePC Reporter] C:\PROGRA~1\ePCTools\epcrpt.exe

O4 - HKLM\..\Run: [PwCInfo] "C:\Program Files\pwcinfo\bginfo.exe\" "C:\Program Files\pwcinfo\pwc.bgi" /timer=0

O4 - HKLM\..\Run: [Software Install Manager] C:\Program Files\SIM\SIM.EXE /schedule

O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor

O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [InterBaseGuardian] C:\Program Files\InterBase Corp\InterBase\bin\ibguard.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QCTray] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE

O4 - HKLM\..\Run: [QCWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvxif.dll,startup

O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: Buscar con &Google - C:\Documents and Settings\User\Application Data\TuneUp Software\TuneUp Utilities\Web\gsearch.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Traducir la página con Google - C:\Documents and Settings\User\Application Data\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Actualizar el software del ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\\PkgMgr.exe

O14 - IERESET.INF: START_PAGE_URL=https://www.pwc.com/es

O15 - Trusted Zone: http://*.es-emeapwr003

O15 - Trusted Zone: http://*.es-emeapwr004

O15 - Trusted Zone: http://centra.pwcinternal.com

O15 - Trusted Zone: http://centra.nam.pwcinternal.com

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = es.ema.ad.pwcinternal.com

O17 - HKLM\Software\..\Telephony: DomainName = es.ema.ad.pwcinternal.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = es.ema.ad.pwcinternal.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal.com

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = es.ema.ad.pwcinternal.com

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal.com

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NotLog - C:\WINDOWS\SYSTEM32\SGLogEx.dll

O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll

O20 - Winlogon Notify: SGLogNotification - C:\WINDOWS\SYSTEM32\SGLogNotification.dll

O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll

O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll

O20 - Winlogon Notify: winoqx32 - winoqx32.dll (file missing)

O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE

O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Haley AC iNotifier (iHYControlMsgSvc) - Unknown owner - C:\Program Files\iPower\iHYControlMsgNotifier.exe

O23 - Service: iPassConnectEngine - iPass - C:\Program Files\iPass\iPassConnect\iPassConnectEngine.exe

O23 - Service: iPCAgent - iPass, Inc. - C:\Program Files\iPass\iPassConnect\iPCAgent.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe

O23 - Service: PWSSvc - Unknown owner - C:\Program Files\Colligo Networks\Colligo Workgroup Edition\pwssvc.exe

O23 - Service: QCONSVC - Lenovo - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: SafeGuard Easy Control (SgeCtl) - Utimaco Safeware AG - C:\Program Files\Utimaco\SafeGuard Easy\SgeCtl.exe

O23 - Service: SafeGuard SGLOG Player (SgLogPlayer) - Utimaco Safeware AG - C:\WINDOWS\system32\SgLogPlayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Vsclient Service (VnxService) - Unknown owner - C:\WINDOWS\system32\vnxserv.exe

O23 - Service: SafeGuard Easy Workstation Server (WksCfgSrv) - Utimaco Safeware AG - C:\Program Files\Utimaco\SafeGuard Easy\WksCfgSrv.exe



------------------------------------------------------



Y el otro SPROCLOG:---------



Mon Nov 06 10:53:53 2006

SProces v2.3 (c)2006 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Windows NT Session Manager, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Windows NT Logon Application, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Services and Controller app, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\IBMPMSVC.EXE -> IBMPMSVC.EXE, 1, 32, 0, 0, ThinkPad Power Management Service, Lenovo.

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE -> ATI2EVXX.EXE, 6.14.10.4115, ATI External Event Utility EXE Module, ATI Technologies Inc.

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\PROGRAM FILES\IBM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE -> BTWDIns.EXE, 1.4.3 Build 4, Bluetooth Support Server, WIDCOMM, Inc.

C:\WINDOWS\SYSTEM32\DWRCS.EXE -> DWRCS.exe, 5, 1, 1, 6, DWRCS, DameWare Development LLC

C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE DESKTOP FIREWALL FOR WINDOWS XP\FIRESVC.EXE -> FireSvc.exe, 8.0, Fire Service, Networks Associates Technology, Inc.

C:\PROGRAM FILES\IPOWER\IHYCONTROLMSGNOTIFIER.EXE -> , 1.0.0.63, ,

C:\PROGRAM FILES\IPASS\IPASSCONNECT\IPCAGENT.EXE -> iPCAgent.EXE, 3, 30, 0, 0, iPCAgent Module, iPass, Inc.

C:\PROGRAM FILES\NETWORK ASSOCIATES\COMMON FRAMEWORK\FRAMEWORKSERVICE.EXE -> Framework.exe, 3.5.0.513, Framework Service, Network Associates, Inc.

C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\MCSHIELD.EXE -> , 8.0.0.251, On-Access Scanner service, Network Associates, Inc.

C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\VSTSKMGR.EXE -> , 8.0.0.912, Task Manager : scheduling and OAS alerting service, Network Associates, Inc.

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE -> mdm.exe, 7.00.9466, Machine Debug Manager, Microsoft Corporation

C:\WINDOWS\SYSTEM32\QCONSVC.EXE -> QConSvc.Exe, 3, 8, 2, 0, ThinkVantage Access Connections - Service Component., Lenovo

C:\PROGRAM FILES\UTIMACO\SAFEGUARD EASY\SGECTL.EXE -> SGECTL.EXE, 4.11.0.137, SGECTL Module, Utimaco Safeware AG

C:\WINDOWS\SYSTEM32\SGLOGPLAYER.EXE -> SgLogPlayer.EXE, 1, 31, 1, 4, SgLogPlayer Module, Utimaco Safeware AG

C:\PROGRAM FILES\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE -> SMAgent.exe, 3, 2, 6, 0, SoundMAX service agent component, Analog Devices, Inc.

C:\WINDOWS\SYSTEM32\TPHDEXLG.EXE -> TPHDEXLG.exe, 1.33, ThinkVantage Active Protection System - HDD Logger Module, Lenovo.

C:\WINDOWS\SYSTEM32\TPKMPSVC.EXE -> , , ,

C:\WINDOWS\SYSTEM32\VNXSERV.EXE -> , , ,

C:\PROGRAM FILES\UTIMACO\SAFEGUARD EASY\WKSCFGSRV.EXE -> WksCfgSrv.EXE, 4.11.0.137, WksCfgSrv Module, Utimaco Safeware AG

C:\WINDOWS\SYSTEM32\ACS.EXE -> , , ,

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE -> ATI2EVXX.EXE, 6.14.10.4115, ATI External Event Utility EXE Module, ATI Technologies Inc.

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Windows Explorer, Microsoft Corporation

C:\WINDOWS\SYSTEM32\DWRCST.EXE -> DWRCST.exe, 5, 1, 1, 6, DWRCST Tray Icon, DameWare Development

C:\PROGRAM FILES\UTIMACO\SAFEGUARD EASY\ECVIEW.EXE -> ECVIEW.EXE, 4.11.0.137, ECVIEW, Utimaco Safeware AG





MUCHAS GRACIAS Y A VER SI LO SOLUCINAMOS.



SALUDOS.

[msc hotline sat]

Envianos muestras de:



C:\Program Files\iPower\iHYControlMsgNotifier.exe



C:\WINDOWS\system32\vnxserv.exe



C:\WINDOWS\system32\drvxif.dll







eliminar claves:



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = es-proxies:80



O2 - BHO: (no name) - {39f25b12-74ff-4079-a51f-1d70f5b08b84} - C:\WINDOWS\system32\ixt0.dll (file missing)



O2 - BHO: (no name) - {39f25b12-74ff-4079-a51f-1d70f5b08b84} - C:\WINDOWS\system32\ixt0.dll (file missing)



O20 - Winlogon Notify: winoqx32 - winoqx32.dll (file missing)



recordar:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334









Nota: Las posteriores claves y aplicaciones no las conocemos, y si el usuario no las conoce, debe obrar en consecuencia:







O4 - HKLM\..\Run: [EdWizard] C:\Program Files\Utimaco\SafeGuard Easy\EdWizard.exe as



O4 - HKLM\..\Run: [Run ePC Reporter] C:\PROGRA~1\ePCTools\epcrpt.exe



O4 - HKLM\..\Run: [PwCInfo] "C:\Program Files\pwcinfo\bginfo.exe\" "C:\Program Files\pwcinfo\pwc.bgi" /timer=0



O4 - HKLM\..\Run: [Software Install Manager] C:\Program Files\SIM\SIM.EXE /schedule



16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = es.ema.ad.pwcinternal.com



O17 - HKLM\Software\..\Telephony: DomainName = es.ema.ad.pwcinternal.com



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal .com



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = es.ema.ad.pwcinternal.com



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal .com



O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = es.ema.ad.pwcinternal.com



O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal .com



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = es.ema.ad.pwcinternal.com,es.ema.pwcinternal.com,ema.pwcinternal.com,pwcinternal .com



O23 - Service: Haley AC iNotifier (iHYControlMsgSvc) - Unknown owner - C:\Program Files\iPower\iHYControlMsgNotifier.exe



O23 - Service: iPassConnectEngine - iPass - C:\Program Files\iPass\iPassConnect\iPassConnectEngine.exe



O23 - Service: iPCAgent - iPass, Inc. - C:\Program Files\iPass\iPassConnect\iPCAgent.exe



O23 - Service: PWSSvc - Unknown owner - C:\Program Files\Colligo Networks\Colligo Workgroup Edition\pwssvc.exe







Reas recibir las muestras solicitadas, las analizaremos y, sio procede, se controlaran y eliminaran con nuestras utilidades, de lo cual se informará en el foro



saludos



ms, 6-11-2006



NOTA_: Encontramos a faltar todas las claves del SPROCLOG.TXT generado por el SPROCESS.EXE Parece que del fichero solo nos han copiado una parte ... revisenlo

[guindi66]

Hola ,



a mi me paso algo parecido hace poco.



yo utilizo el correo de lotus notes y me salio ese icono.



el correo me iba muy ,muy lento.

¿a ti tambien te va mal?



saludos.