revisen mi log, no puedo habilitar el regedit (SOLUCIONADO)

[godfather]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:54:44 a.m., on 07/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\lxddcoms.exe

C:\WINDOWS\System32\NMSSvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Lexmark 2500 Series\lxddmon.exe

C:\Archivos de programa\Lexmark 2500 Series\lxddamon.exe

C:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Ruben Emmanuel\Escritorio\HiJackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://thenewsearch.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://thenewsearch.com/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://thenewsearch.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Yahoo! México

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,TGBRFV_

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Archivos de programa\Lexmark Toolbar\toolband.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: WebBar Class - {EE392A64-F30B-47C8-A363-CDA1CEC7DC1B} - C:\ARCHIV~1\APPLIE~1\Bar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Archivos de programa\Lexmark Toolbar\toolband.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [sys] regedit -s sys.reg

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [smanp] C:\DOCUME~1\RUBENE~1\CONFIG~1\Temp\app6.tmp

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [lxddmon.exe] "C:\Archivos de programa\Lexmark 2500 Series\lxddmon.exe"

O4 - HKLM\..\Run: [lxddamon] "C:\Archivos de programa\Lexmark 2500 Series\lxddamon.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Error Safe] "C:\Archivos de programa\Error Safe Free\ers.exe" /scan

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Tok-Cirrhatus-4368] "C:\Documents and Settings\Ruben Emmanuel\Configuración local\Datos de programa\br9759on.exe"

O4 - HKCU\..\Run: [Tok-Cirrhatus-1464] "\Media\br3951on.exe"

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Grokster Support - file://C:\Archivos de programa\GroksterSupport\System\Temp\grokstershop_script0.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107051294790

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)

O20 - AppInit_DLLs: c:\windows\system32\win.dll

O22 - SharedTaskScheduler: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe

O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe

O23 - Service: Mantenimento DataBase (mntdbb) - Unknown owner - C:\WINDOWS\downlo~1\d65bryq\buehkt.exe (file missing)

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



--

End of file - 9003 bytes

[lucl]

Pasate estos dos programas que te indico y peganos el log que te dejaran en C infosat.txt, primero pasa elistara, saludos



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[godfather]

YA LE PASE EL ELISTARA Y ME APARECE SOLAMENTE LA VENTANA DE QUE ESTA EN PROCESO CON LA BARRA COLOR VERDE QUE ES COMO SE ESTA CARGANDO Y DICE RESTAURANDO REGISTRO DE SISTEMA LA BARRRA DE CARGA COLOR VERDE LLEGO AL FINAL PERO ASI SE QUEDA POR HORAS Y NO ME ARROJA NADA DE RESULTADOS COMO ME LO COMENTASN QUE DEBERIA ARROJARME.

TENGO MAS DE 5 HRS CON EL PC PRENDIDO Y SIGUE EN EL MISMO ESTADO LA VENTANITA DE ELISTARA.





QUISIERA SABER LOS SINTOMAS POR FAVOR DE ESTO O SI NADA MAS A MI ME SUCEDE. O / SI YA PUEDO CERRAR ESO Y PASARLE EL ITRIP, COMO ME LO RECOMIENDAS.









SALUDOS

[Claudia34]

Una preguna ¿ pasaste esos programas en modo a prueba de fallos?, si no lo has hecho en todo caso hazlo que ahi casi nada se interpone aunque quien sabe ...

Tambien veo que te falta el service pack 3, te recomiendo que realices un windows update o que te instales manualmente el service pack 3 para estar protegido nuevamente.



Saludos.

[lucl]

Para arrancar el pc en modo seguro por si acaso te dejo link de como hacerlo



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[godfather]

HOLA DE NUEVO, BUEN DIA PARA TODOS .. POR FIN YA TENGO HABILITADO EL REGITRO, ESTE ME LO HABILITO EL HIJACK THIS CUANDO SE LO PASE Y LUEGO PEGUE EL LOG AQUI, Y QUE TONTO NO ME HABIA DADO CUENTA, TAL VEZ POR ESO NO TERMINABA SU FUNCION BIEN EL ELISTARA, LUEGO YA LE PASE EL ELITRIP COMO M E RECOMIENDAN .



AL MOMENTO DE QUE ESTUVO ANALIZANDO EN LA PARTE DE ABAJO DE LA VENTANA, DECIA ELIMINAR FICHEROS INFECTADOS AUTOMATICAMENTE Y DICHA OPCION ESTABA MARCADA. BUENO AL FINALDEL ANALISIS ME DEJO ESTO:

Mon Jun 09 15:43:24 2008

EliStartPage v16.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Entrada Eliminada [HKCU\...\Run] "Error Safe"=""C:\Archivos de programa\Error Safe Free\ers.exe" /scan"

Entrada Eliminada [HKLM\...\Run] "sys"="regedit -s sys.reg"

Eliminada Class, "{000020DD-C72E-4113-AF77-DD56626C6C42}" -> C:\WINDOWS\twaintec.dll

Eliminada Class, "{0000607D-D204-42C7-8E46-216055BF9918}" -> C:\WINDOWS\mxTarget.dll

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{1D6711C8-7154-40BB-8380-3DEA45B69CBF}" -> C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll

Eliminada Class, "{275636E4-A535-4668-9FF1-86DC0C62D446}" -> C:\WINDOWS\msopt.dll



Mon Jun 09 20:08:43 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Local Service"=""

Entrada Eliminada [HKLM\...\Run] "Local Service"=""

Entrada Eliminada [HKCU\...\Run] "Tok-Cirrhatus"=""

No detectado SP3 de Windows XP



Tue Jun 10 10:55:34 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Jun 10 10:56:05 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{6C88E6F5-DCD0-44A6-9265-F25F1C9E5C6B}\RP35\A0008667.exe --> Eliminado, KillAV.FX(dr)



Nº Total de Directorios: 4734

Nº Total de Ficheros: 50910

Nº de Ficheros Analizados: 17596

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Jun 10 11:19:22 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4734

Nº Total de Ficheros: 50910

Nº de Ficheros Analizados: 17595

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jun 10 11:39:41 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jun 10 11:39:46 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jun 10 11:39:51 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 31

Nº Total de Ficheros: 1705

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

DE HECHO DESPUES DE QUE PASE EL ELITRIP YA ME DEJA ACCEDER A OPCIONES DE CARPETA COSA QUE NO ME DEJABA ,CUANDO PASE POR PRIMERA VEZ EL HIJACKTHIS,TALVEZ FUE POR QUE FALTABA DE ELIMINAR EL FICHERO QUE ELIMINO EL ELITRIP,BUENO ESO ESO CREO,YA VEN QUE SOY NOVATO Y ES POR ESO QUE ME PONGO EN SUS MANOS.





SINCERAMENTE NECESITO DE SU AYUDA COMPAÑEROS YA QUE SE SIENTE HORRIBLE CUANDO UNO ES UN NOVATO EN DICHA SITUACION.

[lucl]

Bueno tenias varios bichos y en cuanto a lo del registro probablemente lo hizo el propio elistara, pero debes bajarte la nueva version y pasarla de nuevo de los dos programas, dales a explorar cuando se abre el cuadro grande que parece que no le diste al elistara por lo que se ve en el log y creo que no termino su trabajo. Cuando nos pegues el nuevo log de infosat veremos si quedo algo por limpiar. Y nos comentas como va tu pc , saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[Claudia34]

Y por si acaso por si queda algun resto de algun bicho, realiza un escaneo con el siguiente antivirus online y peganos el resultado del informe en forma completa:





Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Saludos.

[godfather]

VOLVI A DESCARGARME ELISTARA Y ELITRIP DE LOS LIK QUE ME PONES LUCAL, PERO AL EJECUTAR DE NUEVO ELISTARA SIGUE EXACTAMENTE IGUAL , CUNDO LO INICIO INMEDIATAMENTE CARGA RAPIDO LA BARRRA Y AMI SE ME QUEDA DONDE DICE RESTAURANDO REGISTRO DE SISTEMA Y DE AHI NO PASA LLEVO HORAS CON EL ORDENADOR PRENDIDO.





DESPUES PASE ELITRIP Y AL ABRIR ME DICE:



¿DDESEA BLOQUEAR EL INTENTO DE INTRUSION POR EL TCP445? Y ACEPTO



LUEGO ME RESPONDE: BLOQUEADA INTRUSION REMOTA. ( QUISIERA SABER QUE SIGNIFICA ESO Y QUE HACER PORFA.)



LUEGO ME DICE: QUE NO HA SIDO POSIBLE ABRIR SYSTEM.INI Y TAMBIEN ACEPTO.



A CONTINUACION ME COMENTA LO QUE CLAUDIA ME DECIA REFERENTE AL SERVICE PACK 3 QUE NO LO DETECTA Y QUE ACTUALICE USANDO WINDOWS UPDATE.



Y POR ULTIMO ME DICE QUE SI DESEO ELIMINAR LAS COLAS DE IMPRESION Y DIGO QUE SI.

AQUI ESTA EL LOG:





Tue Jun 10 18:01:44 2008

EliTriIP v4.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Jun 10 18:04:26 2008

EliTriIP v4.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4732

Nº Total de Ficheros: 51231

Nº de Ficheros Analizados: 17518

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

SALUDOS....

[godfather]

AHHH SE ME OLVIDO COMENTAR CLAUDIA ME DECIA QUE PASARA ESTOS PROGRAMAS EN MODO APRUEBA DE FALLOS.

SEGUIE EL LIK PARA SEGUIR INSTRUCCIONES Y NO PUDE INICIAR ASI CUANDO PRESIONABA F8 JAMAS VI NUNGUN MENU COMO LO MENCIONA PARTE DE LAS INDICACIONES Y POR ESO NO LOS INICIE LOS PRGRAMAS EN MODO APRUEBA DE FALLLOS. SALUDOS...

[koga]

Para iniciar en modo seguro (o modo a prueba de fallos) apenas enciende el pc debe presionar repetitivamente la tecla F8 hasta que aparesca el menu, ahora si esto no funciona tambien puede hacer lo siguiente.

Iniciando en modo normal:

1)Inicio--->ejecutar

2)Escribe msconfig y preiona <enter>

3)Se abrira una ventana, se dirige a la pestaña BOOT.INI

4)Abajo en opciones de inicio marca la casilla SAFEBOOT y le da aceptar y le preguntara si quiere reiniciar, le dice que si.



Entonces al reiniciar lo hara en modo seguro, luego de haber corrido elistara en modo seguro debera seguir los mismos pasos y desmarcar la casilla SAFEBOOT y reiniciar para que vuelva al modo normal, si pudo ejecutar elistara nos postea el contenido del infosat una ves mas como respuesta al tema.



[b]NOTA: El HIJACTHIS no elimina nada a menos que se lo indiquemos, por lo cual mas bien es debido a elistara que tiene acceso al regedit nuevamente, para haberlo hecho desde hijackthis tendria que haber eliminado la clave:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 dandole fix cheked, pero ya si lo hace elistara mejor[/b] :wink:

[Claudia34]

Lo del intento de intrusion por el puerto 445 es algo normal que siempre es una opcion que viene en esta herramienta, y sirve mas que nada para proteger al sistema de intrusiones remotas, porque por defecto cuando instalamos el win xp ciertos puertos quedan abiertos hacia el exterior y esos puertos a su vez son propensos a vulnerabilidades de dicho S.O. , aunque una buena proteccion seria un buen cortafuegos (los de tipo hardware son mas recomendables).

Los puertos son como puertas abiertas de tu pc al exterior, cualquiera podria entrar por ellas, por eso hay que tener cortafuegos, y si se puede cerrar algun puerto problematico que mejor.

Con respecto a utilizar el modo a prueba de fallos para las herramientas aqui ofrecidas es mas que nada para que se de un optimo resultado en la eliminacion de los bichos, ademas de que se cargan menos procesos en el sistema, va mas rapido y por sobre todas las cosas ciertos bichos son mas visibles en este modo, en fin las ventajas son muchas.



Saludos.

[lucl]

Complementando, el elitriip bloquea el puerto de intrusion 445 en esa sesion, cuando enciendes el pc de nuevo ya esta normal otra vez, saludos

[godfather]

AQUI DEJO LO QUE ME ARROJA KASPERSKY . YA QUE CLAUDIA ME RECOMENDO LO PASARA.





KASPERSKY ONLINE SCANNER INFORME

miércoles, 11 de junio de 2008 13:44:55

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 11/06/2008

Registros en la base antivirus: 757409

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Áreas críticas

C:\WINDOWS

C:\DOCUME~1\RUBENE~1\CONFIG~1\Temp\

Estadísticas

Número de objeros analizados 23331

Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0

Duración del análisis 00:53:28



Bombre del objeto infectado Nombre del virus Última acción

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{F4EA7468-9B2D-4A62-A076-753E2A555CD6}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\DOCUME~1\RUBENE~1\CONFIG~1\Temp\~DF6E6F.tmp Object is locked saltado

C:\DOCUME~1\RUBENE~1\CONFIG~1\Temp\~DF6E7C.tmp Object is locked saltado

Análisis completado.







AGRADESCO ATODOS POR LA AYUDA KE SE ME HA BRINDADO, LES COMENTO LO SIGUIENTE:



YA PUDE INICIAR EN MODO SEGURO SIGUIENDO OS PASOS AGREGADOS POR KOGA.

EN CUANTO A ELISTARA SIGUE IGUAL Y ES LA ULTIMA VERSION.

ELITRIP ME ARROJA ESTO:



Nº Total de Directorios: 4773

Nº Total de Ficheros: 52001

Nº de Ficheros Analizados: 17650

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



EN CUANTO AL PC , TRABAJA BIEN .

YA TENGO ACCESO AL REGISTRO Y A OPCIONES DE CARPETA PAR VER ARCHIVOS OCULTOS.

EFECTIVAMENTE COMO COMENTO KOGA ELIMINE LA LA OPCION O7 -



HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



CON HIJACKTHIS Y TUVE ACCESO,PIENSO QUE POR ESO ELISTARA NO TERMINABA SU FUNCION YA QUE COMO LES COMENTABA NO ME ABRIA LA VENTANA PARA DARLE EN LA FICHA ,EXPLORAR.



AHORA EL PROBLEMA ESQUE NO PUEDO VER LAS OPCIONES DE INTERNET. ¿QUE HAGO?

LE DOY HERRAMIENTAS/OPCIONES DE INTERNETY NO ME ABRE LA FICHA.



Y ESTUVE CHECANDO EL REGISTRO Y ME DI CUENTA QUE TENGO ALGUNAS COSAS O RESTOS DE PROGRAMAS QUE YA NI TENGO INSTALADO. MI PREGUNTA ES ¿SI LOS BORRO NO SE MODIFICARA EL REGISTRO,Y ME PUEDA FALLAR EL SISTEMA?



DICHOS RESTOS LES HABLO DE PROGARAMAS VIEJOS DE HACE 3 0 4AÑOS Y UNCA SUPE QUE EL REGISTRO GURDABA RESTOS.



ME GUSTARIA TAMBEN QUE ME COMENTARAN QUE COSAS PUEDO BORRAR Y CUALES NO ,DE EL REGEDIT? SIN QUE ME DAÑE O PERJUDIQUE EL SO.



YA QUE VEO QUE LAS CARPETAS Y SUBCARPETAS UFFF TIENES MUCHA INFORMACION, QUE AVECES NO SABE UNO , SI ES BUENA O MALA.YA QUE COMO COMENTAN AQUI EN EL FORO MUCHOS BICHOS HACEN ESTO.



LES DEJO PUES ESTO, SI HAY ALGO MAS QUE TENGA QUE HACER DIGANME Y LO HARE.

SALUDOS ...

[koga]

Siempre recomendamos que no se manipule el registro manualmente si no se tiene conocimiento del caso, por ello recomendamos utilizar las utilidades de la pagina que lo hacen en forma automatica y segura.



Ahora necesitamos que ejecute el elistara, si intento en modo seguro y tampoco lo pudo hacer entonces haga lo siguiente,

primero descargue ELitempo para borrar los temporales, le dejo el link:

http://www.zonavirus.com/datos/descargas/70/elitempo.asp

Luego de ejecutarlo siga las siguientes instrucciones:

1)Descargue elistara y lo guarda en el disco c:\

2)luego vaya a inicio--->ejecutar teclea cmd y presiona <enter>

3)En la ventana que aparece escribe [b]cd c:\[/b] y presiona <enter>

4)En la siguiente linea escribe [b]elistara-6548 /saltareg[/b]



Elistara deberia empesar a ejecutarse sin hacer exploracion del registro, a ver si es por esto que se congela.

[b]NOTA IMPORTANTE: los numero despues del guion del nombre elistara pueden variar en este caso son 6548 (version de hoy) pero debe fijarse que correspondan al que usted tiene[/b]



Si logra ejecutarlo nos postea el contenido del infosat como hizo con elitriip y nos comenta los resultados.



En cuanto a registros antiguos que desee borrar, hay utilidades que lo hacen como REGSEEKER pero debe informarse bien de como utilizarlo y previo a su uso debe haber limpiado su ordenador de virus ya que utilizarlo antes podria generar problemas en la posterior eliminacion de esotos,





Cualquier duda solo consulte,





:wink:

[koga]

Una observacion importante, el infosat debe copiarlo integramente, es decir abir el block de notas, seleciona todo su contenido y lo postea como respuesta al tema.









Saludos

[godfather]

Wed Jun 11 20:00:29 2008

EliStartPage v16.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Wed Jun 11 20:01:49 2008

EliStartPage v16.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Downloaded Program Files\NETSLV32.INF --> Eliminado, Dialer-185(inf)



Nº Total de Directorios: 4766

Nº Total de Ficheros: 51938

Nº de Ficheros Analizados: 20359

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



LES DEJO EL LOG DE ELISTARA ( POR FIN LO PUDEE PASAR COMO DIJO KOGA )

[koga]

Bueno ahora lo unico que iria quedando seria hacer un windows update para instalar el sp3 que le falta, comentenos si aun persiste algun problema con su equipo,





Saludos.

[godfather]

BUENO DE ECHO EL ORDENADOR YA MARCHA BIEN , GRACIAS A SU GARAN AYUDA, SOLO QUE TENGO PROBLEMAS PARA DESCARGAR ELSP3 DESDE WINDOWS UPDATE ME MARCA ALGUNOS ERRORES.



AUQUE AL MOMENTO DE APAGAR EL PC , ME PREGUNTA SI DESEO QUE LO APAGUE E INSTALE ACTUALIZACIONES AUTOMATICAS? Y ACEPTO.

QUIERO PENSAR QUE DE ESTA FORMA SE VA ACTUALIZANDO EL EQUIPO ,YA QUE ERA LO QUE E INDICABA UN DIALOGO AL MOMENTO DE QUE ME MARCO ERROR EN W UPDATE.



DECIA:

LA MEJOR FORMA DE DESCARGAR SP3 ES MEDIANTE ACTUALIZACIONES AUTOMATICASS EN EL EQUIPO.



BUENO SI SABEN OTRA FORMA DE OBTENERLO ,POSTEENME PARA SEGUIR INDICACIONES

RETOMANDO BREVEMENTE EL TEMA DE LA LIMPIEZA DEL REGISTRO , ¿DONDE PUEDO CONSEGUIR EL REGSEEKER QUE COMENTABAS KOGA? YA QUE ME RECOMENDABAS QUE LO LIMPIARA POR MEDIO DE ALGUN LIMPIADOR ESECIAL COMO ESTE.



U ALGUN OTRO LIMPIADOR, SEGUIMOS VIENDONOS...

SALUDOS...

[Claudia34]

Descargalo manualmente del siguiente enlace:



http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?familyid=5B33B5A8-5E76-401F-BE08-1E1555D4F3D4&displaylang=es

[koga]

Ya Claudia le dejo el enlace de sp3, luego de instalarlo si todo va bien, descargue Regseeker buscando en google ya que es freeware puede bajarlo de cualquier lado, puede hacerlo en esta pagina por ejemplo:

[url=http://regseeker.uptodown.com/][b]REGSEEKER[/b][/url]



Antes de utilizarlo crea un p**o de restauraciondel sistema (aunque regseeker trae la opcion de backup que tamibien debe activar) luego lo ejecuta lo pone en el lenguaje español, y va donde dice limpiar registro, activa todas las casilas menos la que dice (experimental) o algo por el estilo, luego le da a OK! y espera que termine, cuando haya terminado seleciona todas las entradas que aparecen y le da eliminar, haga este proceso unas 3 a 4 veces hasta que ya no queden restos aunque siempre vuelven aparecer algunos.



Tambien pouede hacerlo donde dice autolimpieza pero esta opcion no la he probado, pero recuerde es de suma importancia [b]TENER ACTIVADO EL BACKUP DEL PROGRAMA Y OJALA CREAR ANTES UN PUNTO DE RESTAURACION DE WINDOWS[/b] mas vale ser prevenido :wink:

Si tiene alguna consulta no dude en hacerla,









Saludos.

[flacoroo]

tambien haces esto: te bajaras el Regcleaner y lo instalas y lo configuraremos:

si quieres tenerlo en español haz lo siguiente:en el menu ve a options y de ahi a languages, de ahi a select languages y buscas spanish y le das aceptar...

tambein en el menu en opciones, en limpieza de registro, metodo..automatico....

tambien en limpieza de registro, en listadoa ignorar...eliminas todo lo que esta ahi y ahora si a usarlo...



Elimina todo lo relacionado con tus programas viejos o que hayas eliminado antes, carpetas y demas cosas



despues va a regcleaner y lo ejecutas..sale una ventana...con varias pestañas...ve a la pestaña herramientas...limpieza de registros y despues en la opciones le das click al limpiador automatico y deje que termine y cuando termine a donde dice limpiar todo.....

[godfather]

BIEN DE NUEVO OR ACA , DISCULPARAN POR LA TARDANZA NO CREAN QUE YA ME OLVIDE DEL TEMA, PERO USTEDES SABEMN , ESO DEL TRABAJO QUITA ALGO DE TIEMPO,PERO PUE NI MODO HAY QUE HACERLO.



BUENO VOLVIENDO ALTEMA, YA INSTALE EL SP3 ,COMO COMENTABA CLAUDIA Y KOGA, DESPUES DE ESO EL ORDENADOR PARECE QUE YA TRABAJABA BIEN, PERO ALOS 2 DIAS ME DI CUENTA D QUE SEGUIA ALGO LENTO Y ME DISPUSE A APLICARLE EL EWIDO, QUE ATERIORMENTE ,CLAUDIA COMENTO QUE LO HICIERA Y POR MOTIVOS DE TIEMPO NO LO HICE Y AQUI LOS RESULTADOS:

AHORA ESTO ES LO QUE ME ARROJO,PERO LA VERDAD DESCONFIO POR QUE DICE EROR EL LA LIMPIEZA.

SALUDO2 :x

---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------



+ Creado en: 07:15:46 a.m., 18/06/2008

+ Report-Checksum: 94D68861



+ Scan result:



HKLM\SOFTWARE\Classes\CLSID\{310CC549-4541-46A9-940F-52B342A6E682} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{339BB23F-A864-48C0-A59F-29EA915965EC} -> Spyware.HuntBar : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{69357D4E-BF4D-4651-91E9-52ECD45A0128} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{6E21F428-5617-47F7-AED8-B2E1D8FBA711} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{7B55BB05-0B4D-44fd-81A6-B136188F5DEB} -> Spyware.CoolWebSearch : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{8952A998-1E7E-4716-B23D-3DBE03910972} -> Spyware.HuntBar : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{8B0FA130-0C3D-4CB1-AEB7-2C29DA5509A3} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{BBF122A7-8A4D-45B5-9E00-0F68BC87C904} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{CAE0999F-78C5-49DC-9F30-13142AAAABA4} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{F1616B86-9288-489D-B71A-0CCF2F1A89DA} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Classes\CLSID\{FF76A5DA-6158-4439-99FF-EDC1B3FE100C} -> Spyware.IBIS : Error durante limpieza

HKLM\SOFTWARE\Toolbar -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\Toolbar\Files -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\Toolbar\Files\APP -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\Toolbar\Files\COMMON -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\Toolbar\Files\MAJORSE -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\Toolbar\Files\SVC -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\Toolbar\Files\TBR -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m\ef -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m\q8 -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m\qe -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m\tg -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m\v -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m\v8 -> Spyware.WebSearch : Error durante limpieza

HKLM\SOFTWARE\WinTools\nlibx4m\vv -> Spyware.WebSearch : Error durante limpieza

C:\Documents and Settings\Ruben Emmanuel\Cookies\ruben_emmanuel@atdmt[1].txt -> Spyware.Cookie.Atdmt : Limpio con backup





::Fin Report

[flacoroo]

pues bajate el Spybot 1.5 lo actualizas, lo ejecutas y despues de que termines inmunizas 2 veces....nos dices como te fue...

[msc hotline sat]

Usa el que quieras, pero arranca en modo seguro para ello, pues sino estará en uso y windows impedirá eliminarlo !!!



saludos



ms, 20-06-2008

[godfather]

OK DE NUEVO POR CA DEJO EL LOG QUE ME DEJO SPYBOT:



--- Search result list ---

Huntbar: Configuración (Clave del registro, fixing failed)

HKEY_LOCAL_MACHINE\SOFTWARE\WinTools



Huntbar: ID de clase (Clave del registro, fixing failed)

HKEY_CLASSES_ROOT\CLSID\{310CC549-4541-46A9-940F-52B342A6E682}



Huntbar: ID de clase (Clave del registro, fixing failed)

HKEY_CLASSES_ROOT\CLSID\{6E21F428-5617-47F7-AED8-B2E1D8FBA711}



Huntbar: ID de clase (Clave del registro, fixing failed)

HKEY_CLASSES_ROOT\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}



Huntbar: ID de clase (Clave del registro, fixing failed)

HKEY_CLASSES_ROOT\CLSID\{8B0FA130-0C3D-4CB1-AEB7-2C29DA5509A3}



Huntbar: ID de clase (Clave del registro, fixing failed)

HKEY_CLASSES_ROOT\CLSID\{BBF122A7-8A4D-45B5-9E00-0F68BC87C904}



Huntbar: ID de clase (Clave del registro, fixing failed)

HKEY_CLASSES_ROOT\CLSID\{CAE0999F-78C5-49DC-9F30-13142AAAABA4}



Huntbar: Configuración (Clave del registro, fixing failed)

HKEY_LOCAL_MACHINE\SOFTWARE\Toolbar



ESTO ME APARECE Y CUANDO LE DOY SOLUCIONAR PROBLEMAS, NO LOS PUEDE SOLUCIONAR, ME COMENTA: QUUE ESTO ES PORQUE TALVEZ ESTEN SIENDO UTILIZADOS EN MEMORIA, QUE TALVEZ AL REINICIAR SE REPARE, Y VUELVA A INICIAR SPY BOT, Y ASI LO HAGO, Y ME SIGUE ESTE PROBLEMA AL REINICIAR Y VOLVER A EJECUTAR SPY BOT.

TOODO ESTO LO HICE EN MODO APRUEBA DE FALLS ,YESO QUE DESHABILITE TODO LOS PROGRAMAS QUE INICIAN AL INICIAR WINDOWS.QUIERO PERNSAR QUE ESTE PROBLEMA TALVEZ ES EL QUE NO ME DEJA VER LA CARPETA OPCIONES DE INTERNET,PARA PODER HACER MIS AJUSTE, PERO BUENO UDS SON LOS EXPERTOS. SALUDOS

[msc hotline sat]

Pues si el EWIDO y con el SPYBOT arrancando en modo seguro, no son cvapaces de eliminar e troyano, y ya probaste el ELISTARA anteriormente y no conocía este malware, habremos de investigar a ver si lo encontramos y analizamos, para pasarlo a controlar en nueva version al respecto.



Para ello descarga el SPROCES y nos envias el informe resultante:



SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT



Tras analizar, te pediremos los ficheros que veamos sospechosos para analizar y cuando los recibamos, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-06-2008

[godfather]

HOLA DEJO LOG SPROCES :

Mon Jun 30 18:31:40 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,TGBRFV_

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Archivos de programa\Lexmark Toolbar\toolband.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: Lexmark Barra de herramientas - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Archivos de programa\Lexmark Toolbar\toolband.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk.disabled

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107051294790

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213303650542

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38017.9921527778

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - (no file)

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - (no file)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe

O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Adapter Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: IBM Access Support (EGATHDRV) - Unknown owner - C:\WINDOWS\System32\EGATHDRV.SYS

O23 - Service: HSFHWBS2 - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWBS2.sys

O23 - Service: HSF_DP - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DP.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sony Ericsson K310 Driver driver (WDM) (k310bus) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k310bus.sys

O23 - Service: Sony Ericsson K310 USB WMC Modem Filter (k310mdfl) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k310mdfl.sys

O23 - Service: Sony Ericsson K310 USB WMC Modem Driver (k310mdm) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k310mdm.sys

O23 - Service: Sony Ericsson K310 USB WMC Device Management Drivers (WDM) (k310mgmt) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k310mgmt.sys

O23 - Service: Sony Ericsson K310 USB WMC OBEX Interface (k310obex) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\k310obex.sys

O23 - Service: Mouse Driver (MouseCmn) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\Ms2KFlt.sys (file missing)

O23 - Service: NIC Management Service Configuration Driver (NMSCFG) - Intel Corporation - C:\WINDOWS\system32\drivers\NMSCFG.SYS

O23 - Service: Pcdr Helper Driver (PCDRDRV) - Unknown owner - C:\ARCHIV~1\PC-DOC~1\PCDRDRV.sys (file missing)

O23 - Service: PcdrNt - PC-Doctor Inc. - C:\WINDOWS\System32\drivers\PcdrNt.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Symantec Network Security Intermediate Filter Service (SymIM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)

O23 - Service: SymIMMP - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys

O23 - Service: Intel(R) Graphics Chipset (KCH) Driver ({D31A0762-0CEB-444e-ACFF-B049A1F6FE91}) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ialmkchw.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



37 Servicios.

8 de Carga Automatica.

26 de Carga Manual.

3 Deshabilitados.



SALUDOS.......

[msc hotline sat]

pUES VAMOS A POR TODAS:



ENVIARNOS ESTOS FICHEROS PARA ANALIZAR:



C:\WINDOWS\System32\EGATHDRV.SYS



C:\WINDOWS\System32\drivers\PcdrNt.sys







Eliminar esta claves:



O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)



O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab



O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/fl ... rashim.cab



O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab



O23 - Service: Pcdr Helper Driver (PCDRDRV) - Unknown owner - C:\ARCHIV~1\PC-DOC~1\PCDRDRV.sys (file missing)



O23 - Service: Symantec Network Security Intermediate Filter Service (SymIM) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)



O23 - Service: SymIMMP - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SymIM.sys (file missing)



*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)





(Esta última si no se deja eliminar, probar con el ELISERV)





y actualizar parches, falta el SP3, lanza un windowsupdate !



saludos



ms, 1 de JULIO DE 2008





nota:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[msc hotline sat]

Las muestras recibidas no presentan rutinas viricas. Diganos si tras eliminar las claves que le indicabamos y reiniciar, persiste algun problema o podemos dar por solucionado el Tema



saludos



ms, 2 de Julio de 2008