Problema!! un virus que aun no he podido identificar!!

[Pyroaddiction]

Muchachos tengo un problema, lo que pasa es que traje en mi USB un virus que aun no identifico y me ha causado problemas que despues podrían agrandarse. Cuando trato de abrir el Task Manager vía ctrl+alt+supr, me dice que este ha sido desactivado por el admon. (soy elúnico que trabaja en mi compu por lo tanto no hay admon. ni cuentas extra), intente arreglar esto con el regedit y tambien lo bloquea, no deja trabajar a los antivirus ni instalar otros, ni spybot ni nada. Tampoco deja utilizar ciertos programas u accesorios conocidos como otros administradores de procesos, no deja iniciar en modo a prueba de fallos ni restaurar el sistema a un punto previo. En fin, mas cosas pasan..... el problema es entonces que aun no identifico el virus o molestia que causa esto, entonces no tengo idea de como reparar este problema. :?



Agradezco cualquier ayuda.

[msc hotline sat]

Pues de entrada prueba el ELIPEN y vacuna tu ordenador y todos tus pendrives.





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp





A continuacion posteanos el contenido de c:\infosat.txt donde veremos el marrano en cuestion (lanzado en el AUTORUN.INF de algun pendrive e incluso del disco duro), y obraremos en consecuencia.



saludos



ms, 27 de Agosto de 2008

[Pyroaddiction]

Ya corrí el Elipen, lo volví a correr y me dijo q C:/ estaá protegido, reinicié e equipo pero el virus o lo que sea q suceda sigue activo. Mis antivirus aún no funcionan, ¿Cómo puedo vacunar el equipo?



Esto es lo que salió en el InfoSat



Wed Aug 27 19:56:03 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ Protegida



Wed Aug 27 19:56:34 2008





EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Wed Aug 27 20:09:53 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Muchas gracias por la atención, quedo en espera de mas indicaciones.

[msc hotline sat]

Si en D: tienes la unidad de CD, falta analizar todos los pendrives , que serán E: o F:, pero no vemos ninguno procesado...



Y deberíamos detectar algun AUTORUN.INF y no está en el infosat ???



saludos



ms, 28 de Agosto de 2008

[Pyroaddiction]

En D: tengo es la otra partición del disco, la que utilizo para toda la info. De resto la única unidad alterna que manejo es mi USB que generalmente entra como H: y ya la protegí. Pero no aparece nada raro en el infoSat.

Esto es lo que salió despues de proteger mi unidad usb



Thu Aug 28 00:20:10 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad H:\ Protegida



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad H:\ YA esta Protegida



Porqué no estará detectando el autorun ? :(



Saludes y muchas gracias de nuevo

[Pyroaddiction]

Uy, antes de empezar a postear había bajado el elibagla, lo volví a correr y me sucedió lo siguiente:



[img]C:\Documents%20and%20Settings\Nico\Desktop\8%20semestre\1.jpg[/img]



Será este el autorun culpable?

[msc hotline sat]

No, si ya hay las carpetas protegidas por el ELIPEN, que son las que encuentras, ya no hay AUTORUN.INF, quizas ya lo habías eliminado con otro medio.



Tranquilo que asi estás protegido contra la intrusion/propagacion de los virus de pendrive, y estas carpetas de proteccion son de acceso denegado, lo cual hacemos para que no se puedan borrar facilmente, con lo que quedarían desprotegidos de nuevo, claro.



Pero lo del Administrador de tareas y demas puede que hubiere sido por la infeccion anterior a dicha vacunacion, y no necesariamente por un virus de pendrive.



Prueba el SPROCES y nos posteas el informe resultante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 28 de Agosto de 2008

[Pyroaddiction]

Acá está lo que salió en C:\SPROCLOG.TXT:





Thu Aug 28 19:30:12 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\PROGRAM FILES\AVG\AVG8\AVGRSX.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EHOME\EHTRAY.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\EHOME\EHMSAS.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\PROGRA~1\AVG\AVG8\AVGTRAY.EXE

C:\PROGRAM FILES\ITUNES\ITUNESHELPER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE

C:\PROGRAM FILES\PALM\HOTSYNC.EXE

C:\PROGRAM FILES\COMMON FILES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\PROGRAM FILES\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\EHOME\EHRECVR.EXE

C:\WINDOWS\EHOME\EHSCHED.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\NICO\DESKTOP\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 msnfix.changelog.fr

O1 - Hosts: 127.0.0.1 www.incodesolutions.com

O1 - Hosts: 127.0.0.1 baike.360.cn

O1 - Hosts: 127.0.0.1 virusinfo.prevx.com

O1 - Hosts: 127.0.0.1 download.bleepingcomputer.com

O1 - Hosts: 127.0.0.1 www.dazhizhu.cn

O1 - Hosts: 127.0.0.1 www.nabble.com

O1 - Hosts: 127.0.0.1 lurker.clamav.net

O1 - Hosts: 127.0.0.1 lexikon.ikarus.at

O1 - Hosts: 127.0.0.1 research.sunbelt-software.com

O1 - Hosts: 127.0.0.1 www.virusdoctor.jp

O1 - Hosts: 127.0.0.1 www.elitepvpers.de

O1 - Hosts: 127.0.0.1 www.superuser.co.kr

O1 - Hosts: 127.0.0.1 ntfaq.co.kr

O1 - Hosts: 127.0.0.1 v.dreamwiz.com

O1 - Hosts: 127.0.0.1 cit.kookmin.ac.kr

O1 - Hosts: 127.0.0.1 forums.whatthetech.com

O1 - Hosts: 127.0.0.1 forum.hijackthis.de

O1 - Hosts: 127.0.0.1 www.huaifai.go.th

O1 - Hosts: 127.0.0.1 www.mostz.com

O1 - Hosts: 127.0.0.1 www.krupunmai.com

O1 - Hosts: 127.0.0.1 www.cddchiangmai.net

O1 - Hosts: 127.0.0.1 forum.malekal.com

O1 - Hosts: 127.0.0.1 tech.pantip.com

O1 - Hosts: 127.0.0.1 www.247fixes.com

O1 - Hosts: 127.0.0.1 forum.sysinternals.com

O1 - Hosts: 127.0.0.1 forum.telecharger.01net.com

O1 - Hosts: 127.0.0.1 sophos.com

O1 - Hosts: 127.0.0.1 www.f-secure.com

O1 - Hosts: 127.0.0.1 www.chkrootkit.org

O1 - Hosts: 127.0.0.1 diamondcs.com.au

O1 - Hosts: 127.0.0.1 www.rootkit.nl

O1 - Hosts: 127.0.0.1 www.sysinternals.com

O1 - Hosts: 127.0.0.1 www.castlecrops.com

O1 - Hosts: 127.0.0.1 www.misec.net

O1 - Hosts: 127.0.0.1 safecomputing.umn.edu

O1 - Hosts: 127.0.0.1 www.antirootkit.com

O1 - Hosts: 127.0.0.1 www.greatis.com

O1 - Hosts: 127.0.0.1 www.rootkit.com

O1 - Hosts: 127.0.0.1 www.pctools.com

O1 - Hosts: 127.0.0.1 www.pcsupportadvisor.com

O1 - Hosts: 127.0.0.1 www.resplendence.com

O1 - Hosts: 127.0.0.1 www.personal.psu.edu

O1 - Hosts: 127.0.0.1 vil.nail.comm

O1 - Hosts: 127.0.0.1 search.mcafee.com

O1 - Hosts: 127.0.0.1 wwww.mcafee.com

O1 - Hosts: 127.0.0.1 download.nai.com

O1 - Hosts: 127.0.0.1 wwww.experts-exchange.com

O1 - Hosts: 127.0.0.1 www.Merijn.org

O1 - Hosts: 127.0.0.1 www.spywareinfo.com

O1 - Hosts: 127.0.0.1 www.spybot.info

O1 - Hosts: 127.0.0.1 www.viruslist.com

O1 - Hosts: 127.0.0.1 www.hijackthis.de

O1 - Hosts: 127.0.0.1 www.f-secure.com

O1 - Hosts: 127.0.0.1 majorgeeks.com

O1 - Hosts: 127.0.0.1 www.avp.com

O1 - Hosts: 127.0.0.1 www.virustotal.com

O1 - Hosts: 127.0.0.1 www.sophos.com

O1 - Hosts: 127.0.0.1 www.avg-antivirus.net

O1 - Hosts: 127.0.0.1 www.kaspersky-labs.com

O1 - Hosts: 127.0.0.1 www.kaspersky.com

O1 - Hosts: 127.0.0.1 www.bleepingcomputer.com

O1 - Hosts: 127.0.0.1 www.free.grisoft.com

O1 - Hosts: 127.0.0.1 securityresponse.symantec.com

O1 - Hosts: 127.0.0.1 www.analysis.seclab.tuwien.ac.at

O1 - Hosts: 127.0.0.1 www.symantec.com

O1 - Hosts: 127.0.0.1 www.kztechs.com

O1 - Hosts: 127.0.0.1 liveupdate.symantecliveupdate.com

O1 - Hosts: 127.0.0.1 liveupdate.symantec.com

O1 - Hosts: 127.0.0.1 customer.symantec.com

O1 - Hosts: 127.0.0.1 update.symantec.com

O1 - Hosts: 127.0.0.1 www.mcafee.com

O1 - Hosts: 127.0.0.1 www.free.avg.com

O1 - Hosts: 127.0.0.1 download.mcafee.com

O1 - Hosts: 127.0.0.1 mast.mcafee.com

O1 - Hosts: 127.0.0.1 guru0.grisoft.cz

O1 - Hosts: 127.0.0.1 guru1.grisoft.cz

O1 - Hosts: 127.0.0.1 guru2.grisoft.cz

O1 - Hosts: 127.0.0.1 guru3.grisoft.cz

O1 - Hosts: 127.0.0.1 guru4.grisoft.cz

O1 - Hosts: 127.0.0.1 guru5.grisoft.cz

O1 - Hosts: 127.0.0.1 www.virusspy.com

O1 - Hosts: 127.0.0.1 www.download.f-secure.com

O1 - Hosts: 127.0.0.1 www.housecall.trendmicro.com

O1 - Hosts: 127.0.0.1 www.avast.com

O1 - Hosts: 127.0.0.1 www.free.avg.com

O1 - Hosts: 127.0.0.1 www.onlinescan.avast.com

O1 - Hosts: 127.0.0.1 www.futurenow.bitdefender.com

O1 - Hosts: 127.0.0.1 www.bitdefender.com

O1 - Hosts: 127.0.0.1 www.f-prot.com

O1 - Hosts: 127.0.0.1 www.trendsecure.com

O1 - Hosts: 127.0.0.1 www.avira.com

O1 - Hosts: 127.0.0.1 www.eset.com

O1 - Hosts: 127.0.0.1 www.free.avg.com

O1 - Hosts: 127.0.0.1 www.free-av.com

O1 - Hosts: 127.0.0.1 www.2-spyware.com

O1 - Hosts: 127.0.0.1 www.antivir.es

O1 - Hosts: 127.0.0.1 www.prevx.com

O1 - Hosts: 127.0.0.1 www.ikarus.net

O1 - Hosts: 127.0.0.1 www.forums.majorgeeks.com

O1 - Hosts: 127.0.0.1 www.castlecops.com

O1 - Hosts: 127.0.0.1 www.virusspy.com

O1 - Hosts: 127.0.0.1 andymanchesta.com

O1 - Hosts: 127.0.0.1 www.trendmicro.com

O1 - Hosts: 127.0.0.1 www.fortinet.com

O1 - Hosts: 127.0.0.1 www.safer-networking.org

O1 - Hosts: 127.0.0.1 www.fortiguardcenter.com

O1 - Hosts: 127.0.0.1 www.firewallguide.com

O1 - Hosts: 127.0.0.1 www.auditmypc.com

O1 - Hosts: 127.0.0.1 www.spywaredb.com

O1 - Hosts: 127.0.0.1 www.mxttchina.com

O1 - Hosts: 127.0.0.1 www.antivirus.comodo.com

O1 - Hosts: 127.0.0.1 www.spywareterminator.com

O1 - Hosts: 127.0.0.1 www.eradicatespyware.net

O1 - Hosts: 127.0.0.1 www.freespywareremoval.info

O1 - Hosts: 127.0.0.1 www.clamav.net

O1 - Hosts: 127.0.0.1 www.antivirus.about.com

O1 - Hosts: 127.0.0.1 www.pandasecurity.com

O1 - Hosts: 127.0.0.1 www.webphand.com

O1 - Hosts: 127.0.0.1 www.sandboxie.com

O1 - Hosts: 127.0.0.1 www.clamwin.com

O1 - Hosts: 127.0.0.1 www.cwsandbox.org

O1 - Hosts: 127.0.0.1 www.ca.com

O1 - Hosts: 127.0.0.1 www.networkworld.com

O1 - Hosts: 127.0.0.1 www.cddchiangmai.net

O1 - Hosts: 127.0.0.1 www.threatexpert.com

O1 - Hosts: 127.0.0.1 www.norman.com

O1 - Hosts: 127.0.0.1 virscan.org

O1 - Hosts: 127.0.0.1 www.viruschief.com

O1 - Hosts: 127.0.0.1 scanner.virus.org

O1 - Hosts: 127.0.0.1 www.hijackthis.de

O1 - Hosts: 127.0.0.1 hjt.networktechs.com

O1 - Hosts: 127.0.0.1 www.techsupportforum.com

O1 - Hosts: 127.0.0.1 www.whatthetech.com

O1 - Hosts: 127.0.0.1 www.soccersuck.com

O1 - Hosts: 127.0.0.1 forum.piriform.com

O1 - Hosts: 127.0.0.1 www.tweaksforgeeks.com

O1 - Hosts: 127.0.0.1 www.daniweb.com

O1 - Hosts: 127.0.0.1 www.geekstogo.com

O1 - Hosts: 127.0.0.1 www.pchell.com

O1 - Hosts: 127.0.0.1 www.spyany.com

O1 - Hosts: 127.0.0.1 forums.techguy.org

O1 - Hosts: 127.0.0.1 www.experts-exchange.com

O1 - Hosts: 127.0.0.1 forum.tweaks.com

O1 - Hosts: 127.0.0.1 www.wilderssecurity.com

O1 - Hosts: 127.0.0.1 www.techspot.com

O1 - Hosts: 127.0.0.1 www.thecomputerpitstop.com

O1 - Hosts: 127.0.0.1 www.computing.net

O1 - Hosts: 127.0.0.1 discussions.virtualdr.com

O1 - Hosts: 127.0.0.1 forum.securitycadets.com

O1 - Hosts: 127.0.0.1 www.techimo.com

O1 - Hosts: 127.0.0.1 www.infosecpodcast.com

O1 - Hosts: 127.0.0.1 www.usbcleaner.cn

O1 - Hosts: 127.0.0.1 www.net-security.org

O1 - Hosts: 127.0.0.1 www.bleedingthreats.net

O1 - Hosts: 127.0.0.1 zhidao.baidu.com

O1 - Hosts: 127.0.0.1 bbs.360safe.com

O1 - Hosts: 127.0.0.1 hjt-data.trend-braintree.com

O1 - Hosts: 127.0.0.1 www.360.cn

O1 - Hosts: 127.0.0.1 www.baidu.com

O1 - Hosts: 127.0.0.1 www.360safe.com

O1 - Hosts: 127.0.0.1 www.lavasoft.com

O1 - Hosts: 127.0.0.1 www.virscan.org

O1 - Hosts: 127.0.0.1 file.ikaka.com

O1 - Hosts: 127.0.0.1 www.pantip.com

O1 - Hosts: 127.0.0.1 secubox.aldria.com

O1 - Hosts: 127.0.0.1 www.forospyware.com

O1 - Hosts: 127.0.0.1 www.siteadvisor.com

O1 - Hosts: 127.0.0.1 blog.threatfire.com

O1 - Hosts: 127.0.0.1 www.threatexpert.com

O1 - Hosts: 127.0.0.1 blog.hispasec.com

O1 - Hosts: 127.0.0.1 bbs.ikaka.com

O1 - Hosts: 127.0.0.1 www.ikaka.com

O1 - Hosts: 127.0.0.1 bbs.cfan.com.cn

O1 - Hosts: 127.0.0.1 www.cfan.com.cn

O1 - Hosts: 127.0.0.1 mailcenter.rising.com.cn

O1 - Hosts: 127.0.0.1 mailcenter.rising.com

O1 - Hosts: 127.0.0.1 www.rising.com.cn

O1 - Hosts: 127.0.0.1 www.rising.com

O1 - Hosts: 127.0.0.1 sosvirus.changelog.fr

O1 - Hosts: 127.0.0.1 upload.changelog.fr

O1 - Hosts: 127.0.0.1 www.raymond.cc

O1 - Hosts: 127.0.0.1 changelog.fr

O1 - Hosts: 127.0.0.1 www.final4ever.com

O1 - Hosts: 127.0.0.1 files.filefont.com

O1 - Hosts: 127.0.0.1 www.infos-du-net.com

O1 - Hosts: 127.0.0.1 www.trendsecure.com

O1 - Hosts: 127.0.0.1 www.spychecker.com

O1 - Hosts: 127.0.0.1 www.geekstogo.com

O1 - Hosts: 127.0.0.1 forums.maddoktor2.com

O1 - Hosts: 127.0.0.1 www.smokey-services.eu

O1 - Hosts: 127.0.0.1 download.sysinternals.com

O1 - Hosts: 127.0.0.1 www.pcguide.com

O1 - Hosts: 127.0.0.1 www.thetechguide.com

O1 - Hosts: 127.0.0.1 www.ozzu.com

O1 - Hosts: 127.0.0.1 down.360safe.com

O1 - Hosts: 127.0.0.1 baike.360.cn

O1 - Hosts: 127.0.0.1 kaba.360.cn

O1 - Hosts: 127.0.0.1 hi.baidu.com

O1 - Hosts: 127.0.0.1 bbs.kafan.cn

O1 - Hosts: 127.0.0.1 bbs.kpfans.com

O1 - Hosts: 127.0.0.1 bbs.taisha.org

O1 - Hosts: 127.0.0.1 www.baidu.cn

O1 - Hosts: 127.0.0.1 forums.techguy.org

O1 - Hosts: 127.0.0.1 www.incodesolutions.com

O1 - Hosts: 127.0.0.1 hijackthis.download3000.com

O1 - Hosts: 127.0.0.1 www.cybertechhelp.com

O1 - Hosts: 127.0.0.1 downloads.andymanchesta.com

O1 - Hosts: 127.0.0.1 andymanchesta.com

O1 - Hosts: 127.0.0.1 info.prevx.com

O1 - Hosts: 127.0.0.1 aknow.prevx.com

O1 - Hosts: 127.0.0.1 www.offensivecomputing.net

O1 - Hosts: 127.0.0.1 www.grisoft.com

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Media Codec Update Service] C:\Program Files\Essentials Codec Pack\update.exe -silent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [MSN Boot DB] msnbootdb.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Activada Restricción del Administador de Tareas.(DisableTaskMgr)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG8 Network Redirector (AvgTdiX) - AVG Technologies CZ, s.r.o. - C:\WINDOWS\System32\Drivers\avgtdix.sys

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: GMSIPCI - Unknown owner - E:\INSTALL\GMSIPCI.SYS (file missing)

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: PalmUSBD - PalmSource, Inc. - C:\WINDOWS\SYSTEM32\drivers\PalmUSBD.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



24 Servicios.

9 de Carga Automatica.

14 de Carga Manual.

1 Deshabilitados.





De nuevo graciaspor la ayuda, espero la respuesta. :)



Saludos

[msc hotline sat]

Pues tienes muchas entradas maliciosas que deben eliminarse...



Para ello empieza probando el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



Tras ello posteanos el informe indicado y seguiremos



saludos



ms, 29 de Agosto de 2008







NOTA: A>parte, estas usando XP con SP2 e I.E. 6, lanza un windowsuopdate y actualiza a SP3 e I.E.7 !

[Pyroaddiction]

Tengo un problema con el EliStarA, no me ejecuta nada, sale lo siguiente:



Las otras dos aplicaciones si corrieron normal, pero es curioso que el elistara no reconoce, nisiquiera sale el logo.



Saludos

[lucl]

arranca el pc en modo seguro y ejecuta elistara, luego nos pegas el log que te dejara en C infosat.txt saludos



https://foros.zonavirus.com/viewtopic.php?f=5&t=5266

[msc hotline sat]

Si no aparece el log es que no ha bajado bien, y es posible porque hubiera un antivirus residente que lo interceptara.



Si bien para probarlo podrías hacerlo como muy bien indica lucl, primero has de bajarlo bien, y para ello arranca en modo seguro CON FUNCIONES DE RED y descargalo de nuevo, luego sin necesidad de arrancar de nuevo, vas a donde lo has guardado y lo pruebas



Y tras ver el informe resultante procederemos, pero adelanto acontecimientos y tras ello prueba de nuevo el SPROCES y posteanos el informe resultante, el sproclog.txt, que junto con el infosat.txt nos darán una composicion de lugar actual de lo que queda, para obrar en consecuencia



saludos



ms, 31 de Agosto de 2008