eraseme_?????.exe

Discussion:

eraseme_?????.exe

(demasiado antiguo para responder)

oxidao

2007-06-20 07:32:52 UTC

Buenos dias.

Cada cierto tiempo se me crea en el directorio WINNT un archivo con nombre
eraseme_?????.exe. Los interrogantes son números al azar y cada vez
distintos.

El antivirus actual es el AVG de Grisoft y el cortafuegos el Ashampoo. El
tema ha comenzado al desisnstalar el NOD32 Y EL OUTPOST... Creo que no he
instalado ni desisnstalado nada mas.. y mientras escribía esto ha saltado
otro aviso del AVG con virus detectado...eraseme_?????.exe. Van tres veces
en unos 10 minutos.

Al detectyar el virus el AVG me indica (van ya cuatro)
IRC/BackDoor.SdBot3.CAW

Logfile of HijackThis v1.99.1
Scan saved at 9:17:09, on 20/06/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\FireWallAshampoo\FireWall.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\Cobian\Cobian.exe
C:\Archivos de programa\Cobian\cbInterface.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\OpenOffice.org 2.1\program\soffice.exe
C:\Archivos de programa\OpenOffice.org 2.1\program\soffice.BIN
C:\ARCHIV~1\Grisoft\AVG7\avgwb.dat
C:\Documents and
Settings\user\Escritorio\seguridad\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://www.sygate.com/swat/support/spf50_reg.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Archivos de
programa\FireWallAshampoo\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Archivos de
programa\Cobian\Cobian.exe"
O4 - Startup: Wanadoo ADSL.lnk = ?
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos
de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos
de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de
Adobe - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de
Adobe - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF
existente - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2C779204-33E5-40D8-A7A2-342A1201EC4E} (FPDocConsoleX Control) -
https://www.axa.es/FormsPath/install/FPDocCon.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A176E872-D7FB-11D4-92EA-00A024AA8DCB} (Impresión de ficheros
QMF) - https://app.mapfre.com/Descarga/MIC/QMFPrint.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) -
https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -
https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -
O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) -
O16 - DPF: {EA5276F1-F0E5-11D2-8CB7-00105AA1B80E} (PASSPORT Document) -
https://emu3270.mapfre.com/pec/Passweb.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) -
file://C:\AutoCAD\AcPreview.ocx
O16 - DPF: {FD18DD5E-B398-452A-B22A-B54636BA9F0D} (FDI Carga Fotos 2) -
http://www.revelalo.com/componentes/CargaFotosFDI2.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{6F6C6C67-E6D5-41A8-9D86-8F4707239619}:
NameServer = 80.58.0.33 80.58.32.97
O17 -
HKLM\System\CS1\Services\Tcpip\..\{6F6C6C67-E6D5-41A8-9D86-8F4707239619}:
NameServer = 80.58.0.33 80.58.32.97
O20 - AppInit_DLLs: C:\WINNT\system32\wmfhotfix.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de
programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) -
VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de
programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de
programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINNT\system32\nvsvc32.exe

--
¿Donde está mi cerveza?
----
Siempre he soñado con un ordenador que sea tan fácil de usar como un
teléfono. Mi sueño se ha hecho realidad: ya no sé cómo utilizar mi teléfono.
Bjarne Stroustrup

oxidao

2007-06-20 08:08:52 UTC

Permalink

Una pregunta desde la ingorancia.
He cerrado la conexión a internet y he vuelto a conectar. Tengo ADSL con un
MODEM de Wanadoo y ha dejado de crearse ese archivo. ¿Puede ser un fallo del
cortafuegos de modo que tenga un puerto abierto y "ataquen" mi IP colándome
el archivo en cuestión? Al desconectar y volver a conectar, al ser IP
variable, el ataque cesaría...
Gracias.

oxidao

2007-06-20 08:54:15 UTC

Permalink

y LO SIENTO POR LA PESADEZ:

Análisis en virustotal:

...por lo que sigo preguntando si puede ser fallo del firewall, instalo otro
antivirus...

AhnLab-V3 2007.6.20.1 20.06.2007 no ha encontrado virus
AntiVir 7.4.0.34 20.06.2007 Worm/Rbot.86016.52
Authentium 4.93.8 19.06.2007 no ha encontrado virus
Avast 4.7.997.0 20.06.2007 Win32:Sdbot-4626
AVG 7.5.0.467 19.06.2007 IRC/BackDoor.SdBot3.CAW
BitDefender 7.2 20.06.2007 GenPack:Backdoor.RBot.XCS
CAT-QuickHeal 9.00 19.06.2007 no ha encontrado virus
ClamAV devel-20070416 20.06.2007 no ha encontrado virus
DrWeb 4.33 20.06.2007 no ha encontrado virus
eSafe 7.0.15.0 19.06.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3727 19.06.2007 Win32/Petribot.AMK
Ewido 4.0 19.06.2007 no ha encontrado virus
FileAdvisor 1 20.06.2007 no ha encontrado virus
Fortinet 2.91.0.0 19.06.2007 W32/DcomRpc.FKT!exploit
F-Prot 4.3.2.48 19.06.2007 no ha encontrado virus
F-Secure 6.70.13030.0 19.06.2007 W32/Malware.WZX
Ikarus T3.1.1.8 20.06.2007 Backdoor.Win32.SdBot.aad
Kaspersky 4.0.2.24 19.06.2007 no ha encontrado virus
McAfee 5056 19.06.2007 Exploit-DcomRpc.gen
Microsoft 1.2607 19.06.2007 Backdoor:Win32/Rbot.gen!A
NOD32v2 2340 20.06.2007 a variant of IRC/SdBot
Norman 5.80.02 19.06.2007 W32/Malware.WZX
Panda 9.0.0.4 20.06.2007 W32/IRCbot.AWT.worm
Prevx1 V2 20.06.2007 Worm.Ircbot.Gen
Sophos 4.18.0 12.06.2007 no ha encontrado virus
Sunbelt 2.2.907.0 09.06.2007 no ha encontrado virus
Symantec 10 20.06.2007 no ha encontrado virus
TheHacker 6.1.6.136 20.06.2007 no ha encontrado virus
VBA32 3.12.0.2 20.06.2007 suspected of Backdoor.xBot.1 (paranoid
heuristics)
VirusBuster 4.3.23:9 19.06.2007 no ha encontrado virus
Webwasher-Gateway 6.0.1 20.06.2007 Worm.Rbot.86016.52

Información adicional
Tamaño archivo: 86016 bytes

Post by oxidao
Una pregunta desde la ingorancia.
He cerrado la conexión a internet y he vuelto a conectar. Tengo ADSL con un
MODEM de Wanadoo y ha dejado de crearse ese archivo. ¿Puede ser un fallo del
cortafuegos de modo que tenga un puerto abierto y "ataquen" mi IP colándome
el archivo en cuestión? Al desconectar y volver a conectar, al ser IP
variable, el ataque cesaría...
Gracias.

c.b.

2007-06-20 19:27:46 UTC

Permalink

El Wed, 20 Jun 2007 10:54:15 +0200, oxidao escribió:

en virustotal:

AntiVir 7.4.0.34 20.06.2007 Worm/Rbot.86016.52

Post by oxidao
...por lo que sigo preguntando si puede ser fallo del firewall,

Pues en parte, sí.

a) Los ataques de los i-worms, según como tengas configurado el firewall,
no deberían prosperar.

b) Es posible que te falte, además, algún parche. Un viaje al
WindowsUpdate puede resolver esos problemas.

Es decir, los i-worms prosperan si estás conectado a alguna red (p.e.:
internet) desde la cual atacar. Si no estás conectado, no llegan sus
ataques.

Además, necesitan un S.O. vulnerable (no parcheado a sus ataques
específicos)

Y, por último, un firewall que no está configurado para bloquearlos.

Si pudieras dar el md5sum de ese archivo (VirusTotal en el análisis lo
indica) podría intentar buscar qué vulnerabilidades explota en concreto.

Best regards

c.b.

oxidao

2007-06-21 07:26:46 UTC

Permalink

Ante todo gracias.

En virus total la información adicional es esta:

Tamaño archivo: 86016 bytes
MD5: 2f737445460586da9601c800dd8deedc
SHA1: da1220d831887657569fc5bdadca291f3cbb0dfb
packers: EXECryptor
Prevx info:
http://fileinfo.prevx.com/fileinfo.asp?PX5=9BEAF832005F0723508D01587BCB200003F7DABD

...para mi, chino...

Saludos

Post by oxidao
AntiVir 7.4.0.34 20.06.2007 Worm/Rbot.86016.52

Post by oxidao
...por lo que sigo preguntando si puede ser fallo del firewall,

Pues en parte, sí.
a) Los ataques de los i-worms, según como tengas configurado el firewall,
no deberían prosperar.
b) Es posible que te falte, además, algún parche. Un viaje al
WindowsUpdate puede resolver esos problemas.
internet) desde la cual atacar. Si no estás conectado, no llegan sus
ataques.
Además, necesitan un S.O. vulnerable (no parcheado a sus ataques
específicos)
Y, por último, un firewall que no está configurado para bloquearlos.
Si pudieras dar el md5sum de ese archivo (VirusTotal en el análisis lo
indica) podría intentar buscar qué vulnerabilidades explota en concreto.
Best regards
c.b.

c.b.

2007-06-21 00:50:35 UTC

Permalink

Post by oxidao
Worm/Rbot.86016.52

El análisis que pego es de uno identificado como:

ALERT: WORM/Rbot.86016.20

A falta del md5sum del tuyo, creo que mas o menos, puede hacer lo
siguiente:

[ General information ]
* Drops files in %WINSYS% folder.
* **Locates window "NULL [class mIRC]" on desktop.
* File length: 85407 bytes.
* MD5 hash: 844fe4d2d84402c21adc80891e6b1def.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\xagw.exe.
* Deletes file 256.

[ Changes to registry ]
* Creates value "Windows update"="xagw.exe" in key "HKLM\Software
\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Windows update"="xagw.exe" in key "HKLM\Software
\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Windows update"="xagw.exe" in key "HKCU\Software
\Microsoft\OLE".

[ Network services ]
* Looks for an Internet connection.
* Connects to "z.ftclan.net" on port 6665 (TCP).
* Connects to IRC Server.
* IRC: Uses nickname [korp]-80340.
* IRC: Uses username ezkieya.
* IRC: Joins channel #korp with password tix.
* IRC: Sets the usermode for user [korp]-80340 to -x.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex korptix.
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes.

[ Signature Scanning ]
* C:\WINDOWS\SYSTEM32\xagw.exe (85407 bytes) : W32/Spybot.ACDY.

(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information
source only.

Best regards

c.b.

oxidao

2007-06-21 08:06:34 UTC

Permalink

La madre que lo.... :(
Intento entrar en modo seguro y no me deja...
Primero indica "pres ESC to cancel loading a347bus.sys" y, le de o no al
ESC, me da una bonita pantalla azul con "INACCESIBLE_BOOT_DEVICE"
En modo normal si me deja entrar y trabajar...
Pasado el vundofix como me indica noSign no detecta nada, eso si, en modo
normal y no "a prueba de fallos"

Seguiremos...

Post by c.b.

Post by oxidao
Worm/Rbot.86016.52

ALERT: WORM/Rbot.86016.20
A falta del md5sum del tuyo, creo que mas o menos, puede hacer lo
[ General information ]
* Drops files in %WINSYS% folder.
* **Locates window "NULL [class mIRC]" on desktop.
* File length: 85407 bytes.
* MD5 hash: 844fe4d2d84402c21adc80891e6b1def.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\xagw.exe.
* Deletes file 256.
[ Changes to registry ]
* Creates value "Windows update"="xagw.exe" in key "HKLM\Software
\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Windows update"="xagw.exe" in key "HKLM\Software
\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Windows update"="xagw.exe" in key "HKCU\Software
\Microsoft\OLE".
[ Network services ]
* Looks for an Internet connection.
* Connects to "z.ftclan.net" on port 6665 (TCP).
* Connects to IRC Server.
* IRC: Uses nickname [korp]-80340.
* IRC: Uses username ezkieya.
* IRC: Joins channel #korp with password tix.
* IRC: Sets the usermode for user [korp]-80340 to -x.
[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.
[ Process/window information ]
* Creates a mutex korptix.
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes.
[ Signature Scanning ]
* C:\WINDOWS\SYSTEM32\xagw.exe (85407 bytes) : W32/Spybot.ACDY.
(C) 2004-2006 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information
source only.
Best regards
c.b.

c.b.

2007-06-21 08:54:48 UTC

Permalink

Post by oxidao
La madre que lo.... :(
Intento entrar en modo seguro y no me deja... Primero indica "pres ESC
to cancel loading a347bus.sys" y, le de o no al ESC, me da una bonita
pantalla azul con "INACCESIBLE_BOOT_DEVICE" En modo normal si me deja
entrar y trabajar... Pasado el vundofix como me indica noSign no detecta
nada, eso si, en modo normal y no "a prueba de fallos"

Dos cosas:

1)¿Tienes instalado el alcohol?

Si fuese así, sería mejor que lo desinstalases totalmente.

Una pequeña guia:
http://www.trucoswindows.net/foro/topico-32460-problema-de-
instalacion.html

Después, vuelve a intentar reiniciar en modo seguro, etc.

2)Si dando esos pasos sigues con el problema, descarga el antivirus que
tengas instalado, bajate el Avira (antivir), actualiza las bases, analiza
todo el sistema (previa deshabilitación de Restaurar sistema)y limpia.

Suerte y saludos
c.b.

oxidao

2007-06-21 11:56:34 UTC

Permalink

Bueno. alcohol desinstalado según las instrucciones y sigue el pantallazo
azul.
En estos momentos escaneando con el Avira y ha detectado un opnlmjg.dll
conveniente borrado.
Un proceso, el msdev.exe, me estaba intentando conectar (lo bloqueé con el
firewall) más veces a internet que el emule... lo he desbloqueado y me ha
abierto una página de propaganda casino on line...imposible borrarlo hasta
que parcece que con el HijackThis he conseguido liberarlo y borrarlo a
mano...

De momento no aparece por ningun sitio el eraseme_?????.exe asi que parece
que vamos por buen camino.

Seguiré informando ;)
Gracias...

Post by c.b.

1)¿Tienes instalado el alcohol?
Si fuese así, sería mejor que lo desinstalases totalmente.
http://www.trucoswindows.net/foro/topico-32460-problema-de-
instalacion.html
Después, vuelve a intentar reiniciar en modo seguro, etc.
2)Si dando esos pasos sigues con el problema, descarga el antivirus que
tengas instalado, bajate el Avira (antivir), actualiza las bases, analiza
todo el sistema (previa deshabilitación de Restaurar sistema)y limpia.
Suerte y saludos
c.b.

c.b.

2007-06-21 12:59:11 UTC

Permalink

Post by oxidao
Un proceso, el msdev.exe, me estaba intentando conectar

O bien:

a) Microsoft ha confirmado que se trata de un error de los productos de
Microsoft enumerados en la sección "La información de este artículo se
refiere a:".

Este problema se corrigió en Microsoft Visual C++ . NET.

O bien:

b) msdev.exe puede ser un 'alien_camuflado', para dilucidar lo cual
enviarlo a VirusTotal y que lo analice; y si fuese 'maligno':

b)Inicio > Ejecutar > (escribe) sc delete msdev.exe (y aceptar)

Suerte y saludos

c.b.

oxidao

2007-06-21 14:00:08 UTC

Permalink

Post by c.b.
Este problema se corrigió en Microsoft Visual C++ . NET.

El S.O. es win2k con todos los parches al dia. Creo que el proceso tampoco
es cíitico asi que dejémoslo.

Post by c.b.
b) msdev.exe puede ser un 'alien_camuflado', para dilucidar lo cual

Siento no haber copiado el resultado de virustotal... pongamos que una
cuarta parte o menos de los antivirus daban positivo pero sin ponerse de
acuerdo en el nombre... ni por aproximación... ¿falsos positivos? Puede
ser... pero algo raro detectaban

Post by c.b.
b)Inicio > Ejecutar > (escribe) sc delete msdev.exe (y aceptar)

Aqui iba yo. Para detener un proceso que con ctrl + alt + supr >
aministrador de tareas > Terminar proceso nos da un "No es posible terminar
el proceso. Este es un proceso de sistema crítico"... el "sc delete
nombrearchivo.ext" funciona? Ya se que lo puedo comprobar por mi mismo, pero
prefiero acabar el escaneo sin fastidiar nada mas ;)

Gracias mil.

oxidao

2007-06-22 10:09:46 UTC

Permalink

Parece que todo se solucionó. Respondí a noSign.
Gracias a los dos.

Post by c.b.

Post by oxidao
Un proceso, el msdev.exe, me estaba intentando conectar

a) Microsoft ha confirmado que se trata de un error de los productos de
Microsoft enumerados en la sección "La información de este artículo se
refiere a:".
Este problema se corrigió en Microsoft Visual C++ . NET.
b) msdev.exe puede ser un 'alien_camuflado', para dilucidar lo cual
b)Inicio > Ejecutar > (escribe) sc delete msdev.exe (y aceptar)
Suerte y saludos
c.b.

noSign

2007-06-20 21:14:56 UTC

Permalink

creo que tienes el vundo tambien,
bajate el vundofix:

http://www.atribune.org/ccount/click.php?id=4

Con restaurar sistema desactivado y reiniciado en modo seguro
( es esencial para borrar troyanos estar desconectado de inet)

-run Vundofix as a task
-scan for Vundo
-remove Vundo

si parpadea el escritorio es que esta de limpieza...,-)

con el HijackThis fix checked a las 010

O10 - Unknown file in Winsock LSP: c:\archivos de programa\firewallashampoo\spi.dll

si puedes enviar ese spi.dll aunque parezca correcto a virustotal...

saludos
noSign

Post by oxidao
Buenos dias.
Cada cierto tiempo se me crea en el directorio WINNT un archivo con nombre
eraseme_?????.exe. Los interrogantes son números al azar y cada vez
distintos.
El antivirus actual es el AVG de Grisoft y el cortafuegos el Ashampoo. El
tema ha comenzado al desisnstalar el NOD32 Y EL OUTPOST... Creo que no he
instalado ni desisnstalado nada mas.. y mientras escribía esto ha saltado
otro aviso del AVG con virus detectado...eraseme_?????.exe. Van tres veces
en unos 10 minutos.
Al detectyar el virus el AVG me indica (van ya cuatro)
IRC/BackDoor.SdBot3.CAW
Logfile of HijackThis v1.99.1
Scan saved at 9:17:09, on 20/06/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\FireWallAshampoo\FireWall.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\Cobian\Cobian.exe
C:\Archivos de programa\Cobian\cbInterface.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\OpenOffice.org 2.1\program\soffice.exe
C:\Archivos de programa\OpenOffice.org 2.1\program\soffice.BIN
C:\ARCHIV~1\Grisoft\AVG7\avgwb.dat
C:\Documents and
Settings\user\Escritorio\seguridad\hijackthis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://www.sygate.com/swat/support/spf50_reg.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Archivos de
programa\FireWallAshampoo\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Archivos de
programa\Cobian\Cobian.exe"
O4 - Startup: Wanadoo ADSL.lnk = ?
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos
de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos
de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de
Adobe - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de
Adobe - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF
existente - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2C779204-33E5-40D8-A7A2-342A1201EC4E} (FPDocConsoleX Control) -
https://www.axa.es/FormsPath/install/FPDocCon.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A176E872-D7FB-11D4-92EA-00A024AA8DCB} (Impresión de ficheros
QMF) - https://app.mapfre.com/Descarga/MIC/QMFPrint.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) -
https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -
https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -
O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) -
O16 - DPF: {EA5276F1-F0E5-11D2-8CB7-00105AA1B80E} (PASSPORT Document) -
https://emu3270.mapfre.com/pec/Passweb.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) -
file://C:\AutoCAD\AcPreview.ocx
O16 - DPF: {FD18DD5E-B398-452A-B22A-B54636BA9F0D} (FDI Carga Fotos 2) -
http://www.revelalo.com/componentes/CargaFotosFDI2.cab
O17 -
NameServer = 80.58.0.33 80.58.32.97
O17 -
NameServer = 80.58.0.33 80.58.32.97
O20 - AppInit_DLLs: C:\WINNT\system32\wmfhotfix.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de
programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) -
VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de
programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de
programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINNT\system32\nvsvc32.exe
--
¿Donde está mi cerveza?
----
Siempre he soñado con un ordenador que sea tan fácil de usar como un
teléfono. Mi sueño se ha hecho realidad: ya no sé cómo utilizar mi teléfono.
Bjarne Stroustrup

oxidao

2007-06-21 07:29:39 UTC

Permalink

Pasaré el vundofix.

En cuanto al spi.dll lo he enviado a virustotal y no me da ningún
positivo... luego parece limpio.

Muchas gracias
Saludos

Post by noSign
creo que tienes el vundo tambien,
http://www.atribune.org/ccount/click.php?id=4
Con restaurar sistema desactivado y reiniciado en modo seguro
( es esencial para borrar troyanos estar desconectado de inet)
-run Vundofix as a task
-scan for Vundo
-remove Vundo
si parpadea el escritorio es que esta de limpieza...,-)
con el HijackThis fix checked a las 010
O10 - Unknown file in Winsock LSP: c:\archivos de

programa\firewallashampoo\spi.dll

Post by noSign
si puedes enviar ese spi.dll aunque parezca correcto a virustotal...
saludos
noSign

res://C:\Archivos

Post by noSign

Post by oxidao
de programa\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

Post by noSign

Post by oxidao
O8 - Extra context menu item: Convertir a PDF existente -

res://C:\Archivos

Post by noSign

Post by oxidao
de programa\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

Post by noSign

Post by oxidao
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de
Adobe - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe -
res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de
Adobe - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF
existente - res://C:\Archivos de programa\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de
programa\firewallashampoo\spi.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2C779204-33E5-40D8-A7A2-342A1201EC4E} (FPDocConsoleX Control) -
https://www.axa.es/FormsPath/install/FPDocCon.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A176E872-D7FB-11D4-92EA-00A024AA8DCB} (Impresión de ficheros
QMF) - https://app.mapfre.com/Descarga/MIC/QMFPrint.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) -
https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -
https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -
O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) -
O16 - DPF: {EA5276F1-F0E5-11D2-8CB7-00105AA1B80E} (PASSPORT Document) -
https://emu3270.mapfre.com/pec/Passweb.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) -
file://C:\AutoCAD\AcPreview.ocx
O16 - DPF: {FD18DD5E-B398-452A-B22A-B54636BA9F0D} (FDI Carga Fotos 2) -
http://www.revelalo.com/componentes/CargaFotosFDI2.cab
O17 -
NameServer = 80.58.0.33 80.58.32.97
O17 -
NameServer = 80.58.0.33 80.58.32.97
O20 - AppInit_DLLs: C:\WINNT\system32\wmfhotfix.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de
programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. -
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) -
VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de
programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de
programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINNT\system32\nvsvc32.exe
--
¿Donde está mi cerveza?
----
Siempre he soñado con un ordenador que sea tan fácil de usar como un
teléfono. Mi sueño se ha hecho realidad: ya no sé cómo utilizar mi teléfono.
Bjarne Stroustrup

oxidao

2007-06-22 10:07:06 UTC

Permalink

Acertaste:

VundoFix V6.5.1
C:\WINNT\system32\dcbeg.ini
C:\WINNT\system32\gebcd.dll
C:\WINNT\system32\opnlmjg.dll

Attempting to delete C:\WINNT\system32\dcbeg.ini
C:\WINNT\system32\dcbeg.ini Has been deleted!

Attempting to delete C:\WINNT\system32\gebcd.dll
C:\WINNT\system32\gebcd.dll Has been deleted!

Los ha borrado en modo normal ya que sigo sin poder entrar en modo seguro lo
que puede ser indicativo de virus en el sector de arranque:
http://support.microsoft.com/?kbid=122926

Ya no hay intentos de conexiones "raras" a internet. Pasaré un par de
antivirus online y a ver, pero creo que se solucoinó.

Gracias a ti y a c.b.
Saludos.