virus doble acento (SOLUCIONADO)

[daou]

Hola, intent´´e escribir antes , pero no aparecio mi problema, que es el virus de doble acenmto y no he podido eliminar, necesito ayuda y la buscaba ac´´a, he pasado el avg, dr web y malwarebytes y nada, tambien mozilla por lo mismo no me guarda contraseñas ni pestañas



gracias

[lucl]

Descarga elistara y ejecutalo entu pc. Te dejara un log en C llamado Infosat.txt cuyo contenido debes pegarnos. Saludos.





http://www.zonavirus.com/descargas/descargar-elistara.asp

[daou]

hola, gracias por tu pronta respuesta :)



aqui va el reporte



gracias







(23-2-2011 05:00:50 (GMT))

EliStartPage v22.67 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-2-2011 05:42:37 (GMT))

EliStartPage v22.67 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18238

Nº Total de Ficheros: 223001

Nº de Ficheros Analizados: 57476

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-2-2011 17:09:23 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-2-2011 18:29:35 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18245

Nº Total de Ficheros: 223732

Nº de Ficheros Analizados: 57564

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Vamos a hacer dos cosas, la primera pasa de nuevo elistara pero arrancando el pc en modo seguro. Te dejo el link de como hacerlo por si tienes dudas.



https://foros.zonavirus.com/viewtopic.php?f=5&t=5266





Y luego descargate este otro programa que te indico y nos pegas el log que te dejara en C llamado sproclog.txt.





http://www.zonavirus.com/descargas/descargar-sproces.asp





Ah y no te olvides de pegarnos tambien el Infosat.txt una vez lo hayas pasado en modo seguro, saludos.

[daou]

gracias aqui va el resultado







(23-2-2011 05:00:50 (GMT))

EliStartPage v22.67 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-2-2011 05:42:37 (GMT))

EliStartPage v22.67 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18238

Nº Total de Ficheros: 223001

Nº de Ficheros Analizados: 57476

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-2-2011 17:09:23 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-2-2011 18:29:35 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18245

Nº Total de Ficheros: 223732

Nº de Ficheros Analizados: 57564

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-2-2011 00:03:44 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(25-2-2011 00:28:57 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18247

Nº Total de Ficheros: 222470

Nº de Ficheros Analizados: 57590

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-2-2011 00:29:39 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 870

Nº Total de Ficheros: 5924

Nº de Ficheros Analizados: 1801

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(25-2-2011 00:34:34 (GMT))

EliStartPage v22.68 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18247

Nº Total de Ficheros: 222470

Nº de Ficheros Analizados: 57590

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0









(25-2-2011 00:56:02 GMT)

SProces v5.0 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: WINXPRPO

Nombre Usuario: Gabriel



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\GABRIEL\ESCRITORIO\ANTIVIRUS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll

F2 - REG:system.ini: Taskman=

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Archivos de programa\Ipswitch\WS_FTP Pro\wsbho2k0.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [PowerBar]

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [AdobeUpdater] "C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe"

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [windows.bin.exe] C:\windows.bin\windows.bin.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\.DEFAULT\..\Run: [windowseep.exe] C:\windowseep.exe\windowseep.exe

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-20\..\Run: [windowseep.exe] C:\windowseep.exe\windowseep.exe

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe

O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Startup: OpenOffice.org 3.2.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: GammaTray.lnk = C:\Archivos de programa\MagicTune Premium\GammaTray.exe

O4 - Global Startup: NCProTray.lnk = C:\Archivos de programa\SEC\Natural Color Pro\NCProTray.exe

O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSNSP.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL



Información Adicional:

----------------------

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\nvnrm.sys (de 888064 bytes) (+r) NVIDIA Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgemc.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: MagicTuneEngine - Unknown owner - C:\Archivos de programa\MagicTune Premium\MagicTuneEngine.exe

O23 - Service: Dritek USB Keyboard HID Filter (mmkbd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\mmkbd.sys (file missing)

O23 - Service: NetGroup Packet Filter Driver (npf) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Archivos de programa\IDT\2242011193151\STacSV.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Archivos de programa\AVG\AVG9\Toolbar\ToolbarBroker.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: MagicTune - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MTiCtwl.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Sony Ericsson Device 1018 driver (WDM) (s1018bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018bus.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Modem Filter (s1018mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mdfl.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Modem Driver (s1018mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mdm.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM) (s1018mgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018mgmt.sys

O23 - Service: Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS) (s1018nd5) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018nd5.sys

O23 - Service: Sony Ericsson Device 1018 USB WMC OBEX Interface (s1018obex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018obex.sys

O23 - Service: Sony Ericsson Device 1018 USB Ethernet Emulation (WDM) (s1018unic) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s1018unic.sys

O23 - Service: Screaming Bee Audio (SCREAMINGBDRIVER) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\ScreamingBAudio.sys (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: IDT High Definition Audio CODEC (STHDA) - IDT, Inc. - C:\WINDOWS\SYSTEM32\drivers\sthda.sys

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys

O23 - Service: vvftav - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\vvftav.sys (file missing)

O23 - Service: USB PC Camera VC305 (ZSMC0305) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\usbVM305.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



38 Servicios.

12 de Carga Automatica.

25 de Carga Manual.

1 Deshabilitados.

[lucl]

Busca esto





C:\windowseep.exe\windowseep.exe





y subelo a analizar a virustotal , nos copias el log que te dejara





www.virustotal.com



Y si te da virico, debes enviarnoslo para analizar y darte la herramienta necesaria para eliminarlo . Pero antes de enviarlo empaquetalo con winrar y ponle de contraseña la palabra virus para que no lo intercepte el servidor. En caso de que no encuentres el archivo utiliza esta herramienta que te indico



http://www.zonavirus.com/descargas/elimover.asp



el te lo movera y podras continuar con el trabajo. Nos comentas si pudiste y el resultado que te dio, saludos.

[msc hotline sat]

Efectivamente, el que indica lucl huele mal :) , y este otros tambien envianoslos:





C:\windows.bin\windows.bin.exe







y estos por si acaso, tambien estos otros:

:



C:\windows\System32\syssetup.dll



C:\windows\system32\tscupgrd.exe



C:\WINDOWS\SYSTEM32\drivers\npf.sys







saludos



ms, 25-2-2011

RCLSAN

[daou]

Hola, gracias nuevamente



el archivo que me indicas C:\windowseep.exe\windowseep.exe al copiarlo en elimover me dice : no existe fichero, no entiendo porque sucede eso, hice todo lo que me indicas, luego coloque los otros que me indicaron mas abajo y los analize en virustotal y diganme si me equivoco, pero C:\WINDOWS\SYSTEM32\drivers\npf.sys me dio un resultado



Result: 1 /41 (2.4%) Panda 10.0.3.5 2011.02.25 Suspicious file





copio esto porque no entiendo mucho si lo hice bien





debo enviarlo? y que sucede con el otro archivo que no encuentro ?

me olvide comentar que avg me detecto como virus el Elistara asi que lo movi





gracias

[lucl]

Hola, lo del elistara como falso positivo ya lo explicamos en este link





https://foros.zonavirus.com/viewtopic.php?f=5&t=26228





echale un vistazo y no tengas miedo que yo llevo muchos años usandolo y no he tenido problemas.





Un resultado de 1/41 , es decir que de 41 antivirus lo detecte uno no suele ser positivo. En cuanto a windowseep.exe mira a ver si lo encuentras arrancando en modo seguro y nos comentas, saludos.

[msc hotline sat]

Y el que es altamente sospechoso por su "doble extension" es este otro que te deciamos:



C:\windows.bin\windows.bin.exe



mira si lo ves y sino prueba con el ELIMOVER



Y si somo el otro te dijera que no lo encuentra, pruebalo arrancando en MODO SEGURO, no vaya a ser que se traten de Rootlots que se ocultan cuando estan en uso...



saludos



ms, 25-2-2011

[daou]

Hola gracias por tus explicaciones, hare lo que indicas...



nose si sirve de algo, pero te comento que en algunas paginas al entrar me salta ese archivo para guardar 5db064f67bafe84b110785f96ea8254e.asx y nose si tendra que ver con algo del virus o nada que ver.





gracias

[msc hotline sat]

No lo conozco y con dicha extension ... ???



Pero si dices que ofrece descargarlo, hazlo y subelo al VirusTotal (www.virustotal.com/es) y nos comentas el resultado, gracias



saludos



ms, 25-2-2011

[daou]

Hola nuevamente





busque en modo a prueba de fallos con el elimover C:\windowseep.exe\windowseep.exe y no lo encontro...



y analice en virustotal C:\windows.bin\windows.bin.exe y dio como resultado





File name: windows.bin.exe.Muestra EliMover v1.3

Submission date: 2011-02-27 01:55:31 (UTC)

Current status: finished

Result: 0/ 42 (0.0%)





nose que mas de puede hacer :(

[lucl]

Y sigues con el doble acento? Supongo que si, confirmalo. Saludos.

[msc hotline sat]

Y los otros que te pediamos ???





C:\windows\System32\syssetup.dll



C:\windows\system32\tscupgrd.exe



C:\WINDOWS\SYSTEM32\drivers\npf.sys





mientras respondes, voy a darle otra vuelta al sproclog, a ver si veo algo mas...

[msc hotline sat]

pues sigo:





como que dices que usas AVIRA, elimina esta clave que es del AVG...:



R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Archivos de programa\AVG\AVG9\Toolbar\IEToolbar.dll



y esta que está a medias:



O4 - HKCU\..\Run: [PowerBar]



y aunque nadie detectara nada en el [i][b]C:\windows.bin\windows.bin.exe[/b][/i], añade .VIR a su extension, y envianoslo para analizar...



y estas dos claves, aunque no envuentres el fichero, eliminalas tambien:



O4 - HKUS\.DEFAULT\..\Run: [windowseep.exe] C:\windowseep.exe\windowseep.exe



O4 - HKUS\S-1-5-20\..\Run: [windowseep.exe] C:\windowseep.exe\windowseep.exe





y estas claves tambien son de AVG, eliminalas ya que usas AVIRA:



O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL



O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Archivos de programa\AVG\AVG9\Toolbar\ToolbarBroker.exe





Para eliminar las claves indicadas, lanza el SPROCES, escoge SCAN, marca las claves que quieras eliminar y pulsa ELIMINAR



Y tras reiniciar nos cuentas el resultado, gracias



saludos



ms, 27-2-2011

[daou]

esos tambien, aca pego el reporte





C:\windows\System32\syssetup.dll







File name: syssetup.dll

Submission date: 2010-07-12 18:55:03 (UTC)

Current status: finished

Result: 0 /42 (0.0%)







C:\windows\system32\tscupgrd.exe



File name: tscupgrd.exe

Submission date: 2011-01-14 10:29:21 (UTC)

Current status: finished

Result: 0 /43 (0.0%)







C:\WINDOWS\SYSTEM32\drivers\npf.sys





File name: npf.sys

Submission date: 2011-02-18 18:35:54 (UTC)

Current status: finished

Result: 0 /43 (0.0%)

[daou]

sorry, no vi tu mensaje anterior, ahora lo hare

gracias

[daou]

no uso Avira, es un antiviurs?



busque C:\windows.bin\windows.bin.exe y en el resultado de la busqueda me aparecio esto



windows.bin.exe.Muestra EliMover v1.3 c:/muestras



y esto







WINDOWS.BIN.EXE-03447D47.pf en c:/windows/prefetch





me dices que lo envie, como es primera vez que escribo aca me indicas como hacerlo? lo comprimo en zip , pero como lo envio





muchas gracias

[msc hotline sat]

Pues si no usas AVIRA, como mal habiamos entendido, deja las claves de AVG, claro !



y para enviar los ficheros para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-2-2011

[daou]

disculpa de nuevo,



a este le agrego el .vir ? WINDOWS.BIN.EXE-03447D47.pf en c:/windows/prefetch o a windows.bin.exe.Muestra EliMover v1.3





gracias

[lucl]

A windows.bin.exe que es el ejecutable, saludos.

[msc hotline sat]

Sí, y el fichero del .pf borralo, que es el extracto para lanzar el EXE mas rapido, y en este caso mejor eliminarlo.



saludos



ms, 1-3-2011

[msc hotline sat]

Recibido y subido a monitorizar el WINDOWS.BIN.EXE



[size=150][b]Realmente es un ROOTKIT !!![/b][/size]



como te deciamos, elimina el .pf y tambien este WINDOWS.BIN.EXE , aunque ya lo pasamos a controlar a partir del proximo ELISTARA 22.72, pero como que es ROOTKIT, solo lo veremos y podremoa actuar si lo lanzas arrancando en MODO SEGURO.



Lo pasamos a identificar como SPY EYE . AY



De él editaremos noticia al respecto.



y nos cuentas si tras elimnar dichos dos ficheros (pero hazlo en modo seguro o no los verás) y reiniciar, desaparece el problema del doble acento, gracias



saludos



ms, 1-3-2011

[daou]

ok, muchas gracias, solo quiero preguntar como hacerlo ya que no manejo bien el lenguaje tecnico.



cuando busque el C:\windows.bin\windows.bin.exe en el "buscar" de windows me encontro los archivos que me copio el Elimover a la carpeta muestras y tambien el .pf (no en la carpeta muestras de elimover) , entonces, si estoy claro en el asunto, lo que deberia hacer es: borrar el archivo .pf cuando hago la busqueda en carpetas de windows?, luego en modo seguro debo hacer la busqueda del C:\windows.bin\windows.bin.exe para enonctrarlo, pero en el buscar de windows tambien? eso es lo que no entiendo, nose si me explico, ahi estoy medio perdido





gracias

[msc hotline sat]

Vuelve a buscarlos como hiciste con el ELIMOVER y marcas la casilla de renombrar el original a .VIR y asi quedarán desactivados.



Aparte, el ELISTARA 22.72 de hoy ya los controlará, pero arranca en MODO SEGURO...



esun señor ROOTKIT que casi nadie detecta !!!



saludos



ms, 1-3-2011





NOTA: y comprueba que ya no tengas dobles acentos !!! ms.

[daou]

Hola, ya no tengo el problema del doble acento (áááá) , pero con tanta prueba olvidé el orden de los procedimientos, ya que ocupe en modo seguro el elimover para buscar el C:\windows.bin\windows.bin.exe y no lo encontró, entonces ocupé la busqueda de windows el archivo y me aparece en la carpeta c:/windows.bin, abro la carpeta

contenedora y veo ese archivo windows.bin.exe (fecha 9-12-2010) y otro que dice config (fecha 1-3-2011)

¿debo borrar manualmente el windows.bin.exe? o lo debo dejar asi? ya que no tengo el doble acento. El archivo .pf tampoco ahora aparece, lo extraño es que creo que no hice nada o quizás si y no me di cuenta, también borre los archivos de la carpeta muestras del elimover.



Muchas gracias por el tiempo y la dedicación, estoy muy agradecidoo, solo necesito saber que debo hacer para que no vuelva ocurrir esto o es inevitable?



muchas gracias nuevamente

[msc hotline sat]

Ya hemos subido a la web la version de hoy del ELISTAAR 22.72 que controla este malware, asi que si te la bajas y lo ejecutas, si aun está el bicho será eliminado automaticamente.



Y hcuidado con este bicho que es un RootKit de aupa (cuando está activo, no se ve ni con lupa ! )



saludos



ms, 1-3-2011

[daou]

Ok, estoy bajando esa versión ahora del elistarA



¿el windows.bin.exe no lo borro manualmente entonces?



estoy feliz con toda la ayuda y la paciencia que me han ofrecido.



muchasssss garcias





..... yo de nuevo ¿que quiere decir al instalar el elistarA "detectado Hosts no standar ¿quieres restaruarlo por el original?", le pongo , si?





garcias

[lucl]

Si quieres puedes hacerlo sin problemas, y no borres nada manualmente de momento. Pasa elistara arrancando en modo seguro como te dijo Msc y luego peganos el log de Infosat.txt en el que espero que ya ponga que esta eliminado. Saludos.