TheTechGuide Forum

General Category => Tech Clinic => Topic started by: Guest_strato_skull66 on October 01, 2004, 10:09:55 PM

Title: hijackthis log
Post by: Guest_strato_skull66 on October 01, 2004, 10:09:55 PM: Logfile of HijackThis v1.97.7
Scan saved at 12:07:38 AM, on 10/2/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wsdu.log:zsrrp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\snlogsvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\javabh32.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\dpqvsetup.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Leandro\Datos de programa\ceos.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Leandro\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\snfie.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\snfie.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\snfie.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\snfie.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\snfie.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\snfie.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\snfie.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.com
O2 - BHO: (no name) - {6CA3DEF1-F477-8CA2-64FD-B558A4257B4A} - C:\WINDOWS\mfcei32.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [javabh32.exe] C:\WINDOWS\system32\javabh32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Archivos de programa\Common Files\Microsoft Shared\Perl.exe /LASTSCAN
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [dpqvsetup.exe] C:\WINDOWS\System32\dpqvsetup.exe
O4 - HKLM\..\Run: [saap] c:\archivos de programa\n-case\saap.exe
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Archivos de programa\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [ZeroAdsLAS] C:\Archivos de programa\FBM Software\ZeroAds\LAS0Ads.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINUPDATE.EXE
O4 - HKCU\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [dpqvsetup.exe] C:\WINDOWS\System32\dpqvsetup.exe
O4 - HKCU\..\Run: [ZeroAds] C:\Archivos de programa\FBM Software\ZeroAds\ZeroAds.exe
O4 - HKCU\..\Run: [Baud] C:\Documents and Settings\Leandro\Datos de programa\ceos.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: Web Savings - file://C:\Archivos de programa\WebSavingsfromEbates\System\Temp\ebateswebsavings_script0.htm
O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)
O9 - Extra button: SideFind (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Ebates (HKCU)
O10 - Broken Internet access because of LSP provider 'fbm_lsp.dll' missing
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...0e1e2729109a237 (http://\"http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237\")
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab (http://\"http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab\")
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab (http://\"http://www.mt-download.com/MediaTicketsInstaller.cab\")
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab (http://\"http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab\")
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA053BCC-915F-4B26-8BBD-491DB1399E5B}: NameServer = 200.42.0.108 200.42.0.109
Title: hijackthis log
Post by: guestolo on October 02, 2004, 01:36:28 AM: If you really need a hand, lets see how true you are
Could you Download GetServices.zip (http://\"http://www.bleepingcomputer.com/files/spyware/getservice.zip\")
Unzip it to a folder
Double click on the Getservice.bat file to run it. This will create and open a text file named getservice.txt in the same folder.
getservice.txt will list all active Services

Please post it in your next reply, thnaks
Title: hijackthis log
Post by: Guest_strato_skull66 on October 04, 2004, 02:29:10 PM: once i dowlnoaded the file and opened the getservice.bat file the ms-dos screen popped up saying : "psservice" is not recognized as an internal or external command, program or file executable. " and when the text file box opens, it´s just empty. it´s not showing the list of my running proccesses.
Title: hijackthis log
Post by: guestolo on October 04, 2004, 06:22:55 PM: The only reason that would happen is that you did NOT unzip the file first
You Can't run it within the zipped archive
Title: hijackthis log
Post by: strato_skull66 on October 04, 2004, 09:07:09 PM: my apologies, here´s my list:
since my computer wasn´t set up with the English language, i couldn´t translate the spanish text, so i don´t know for sure if it´s going to help in spanish.

PsService v1.1 - local and remote services viewer/controller
Copyright © 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: Alerter
Notifica a usuarios y equipos seleccionados de alertas administrativas. Si se detiene el servicio, los programas que utilizan alertas administrativas no las recibirán. Si el servicio se deshabilita, no se podrá iniciar ninguno de los servicios que dependen explícitamente dependen de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio de alerta
   DEPENDENCIES    : LanmanWorkstation
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: ALG
Proporciona soporte a otros complementos de protocolo para Conexión compartida a Internet y Servidor de seguridad de conexión a Internet
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio de puerta de enlace de capa de aplicación
   DEPENDENCIES    :
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: AppMgmt
Ofrece servicios de instalación de software como Asignar, Publicar y Quitar.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Administración de aplicaciones
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AudioSrv
Administra dispositivos de audio para programas basados en Windows. Si se detiene este servicio, los dispositivos de audio y efectos no funcionarán correctamente. Si se deshabilita este servicio, cualquier servicio que dependa explícitamente de él tendrá un error al iniciar.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : AudioGroup
   TAG       : 0
   DISPLAY_NAME    : Audio de Windows
   DEPENDENCIES    : PlugPlay
          : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: BITS
Usa el ancho de banda de la red inactiva para transferir datos.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio de transferencia inteligente en segundo plano
   DEPENDENCIES    : Rpcss
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Browser
Mantiene una lista actualizada de equipos en la red y proporciona esta lista a los equipos designados como exploradores. Si se detiene este servicio, esta lista no se actualizará o mantendrá. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Examinador de equipos
   DEPENDENCIES    : LanmanWorkstation
          : LanmanServer
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccEvtMgr
Symantec Event Manager
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"
   LOAD_ORDER_GROUP : Symantec Services
   TAG       : 0
   DISPLAY_NAME    : Symantec Event Manager
   DEPENDENCIES    : RPCSS
          : ccSetMgr
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccPwdSvc
Symantec Password Validation Service
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe"
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Symantec Password Validation
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccSetMgr
Symantec Settings Manager
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"
   LOAD_ORDER_GROUP : Symantec Services
   TAG       : 0
   DISPLAY_NAME    : Symantec Settings Manager
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: CiSvc
Indiza el contenido y las propiedades de archivos en equipos locales y remotos; ofrece acceso inmediato a archivos a través de un lenguaje de consulta flexible.
   TYPE       : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\cisvc.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio de Index Server
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ClipSrv
Habilita el Visor del Portafolios para almacenar información y compartirla con equipos remotos. Si se detiene el servicio, el Visor del Portafolios no podrá compartir información con los equipos remotos. Si se deshabilita este servicio, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Portafolios
   DEPENDENCIES    : NetDDE
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: COMSysApp
Administra la configuración y el seguimiento de los componentes del Modelo de objetos componentes (COM+). Si se detiene el servicio, la mayoría de los componentes COM+ no funcionarán correctamente. Si se deshabilita este servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Aplicación del sistema COM+
   DEPENDENCIES    : rpcss
   SERVICE_START_NAME: LocalSystem
   FAIL_RESET_PERIOD : 30 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 1000 seconds
          : Restart   DELAY: 5000 seconds
          : None   DELAY: 1000 seconds

SERVICE_NAME: Crepysapdcq
(null)
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME :
   LOAD_ORDER_GROUP : Ndis
   TAG       : 1
   DISPLAY_NAME    : Crepysapdcq
   DEPENDENCIES    :
   SERVICE_START_NAME:

SERVICE_NAME: CryptSvc
Proporciona tres servicios de administración: Servicio de catálogo de base de datos, que confirma las firmas de archivos de Windows; Servicio de raíz protegida, que agrega y quita certificados de entidades emisoras de raíz de confianza de este equipo; y el Servicio de claves, que ayuda a inscribir este equipo a certificados. Si se detiene este servicio, sus servicios de administración mencionados no funcionarán correctamente. Si se deshabilita este servicio, no se podrán iniciar ninguno de los servicios que dependen explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicios de cifrado
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dhcp
Administra la configuración de la red registrando y actualizando direcciones IP y nombres DNS.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : TDI
   TAG       : 0
   DISPLAY_NAME    : Cliente DHCP
   DEPENDENCIES    : Tcpip
          : Afd
          : NetBT
          : SYMTDI
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmadmin
Configura las unidades de disco duro y volúmenes. El servicio sólo se ejecuta para procesos de configuración y a continuación se detiene.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio del administrador de discos lógicos
   DEPENDENCIES    : RpcSs
          : PlugPlay
          : DmServer
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmserver
Detecta y supervisa unidades de disco duro nuevas y envía información del volumen de disco al Servicio de administración de discos lógicos para su configuración. Si se detiene este servicio, la información de estado y configuración de discos dinámicos puede quedar desactualizada. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Administrador de discos lógicos
   DEPENDENCIES    : RpcSs
          : PlugPlay
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dnscache
Resuelve y almacena en caché los nombres del sistema de nombres de dominio (DNS) para este equipo. Si se detiene este servicio, este equipo no podrá resolver nombres DNS ni ubicar controladores de dominio en Active Directory. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService
   LOAD_ORDER_GROUP : TDI
   TAG       : 0
   DISPLAY_NAME    : Cliente DNS
   DEPENDENCIES    : Tcpip
   SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: ERSvc
Permite informar de errores para servicios y aplicaciones que se ejecutan en entornos no estándar.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio de informe de errores
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Eventlog
Habilita mensajes de registro de sucesos emitidos por programas basados en Windows y componentes para que se vean en Visor de sucesos. Este servicio no se puede detener.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
   LOAD_ORDER_GROUP : Event log
   TAG       : 0
   DISPLAY_NAME    : Registro de sucesos
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: EventSystem
Admite el Servicio de notificación de eventos del sistema (SENS), que proporciona la distribución automática de eventos a los componentes del Modelo de objetos componentes (COM). Si se detiene este servicio, SENS se cerrará y no podrá ofrecer notificaciones de inicio ni de cierre de sesión. Si se deshabilita el servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : Network
   TAG       : 0
   DISPLAY_NAME    : Sistema de sucesos COM+
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: FastUserSwitchingCompatibility
Proporciona administración para aplicaciones que necesitan asistencia en un entorno de usuarios múltiples.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Compatibilidad de cambio rápido de usuario
   DEPENDENCIES    : TermService
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: helpsvc
Habilita la ejecución del Centro de ayuda y soporte técnico en este equipo. Si se detiene este servicio, el Centro de ayuda y soporte técnico no estará disponible. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Ayuda y soporte técnico
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem
   FAIL_RESET_PERIOD : 86400 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 100 seconds
          : Restart   DELAY: 100 seconds
          : None   DELAY: 100 seconds

SERVICE_NAME: HidServ
Habilita el acceso de entrada genérico a los Dispositivos de interfaz humana (HID), que activa y mantiene el uso de botones de acceso directo predefinidos en los teclados, controles remotos y otros dispositivos multimedia. Si este servicio se detiene, los botones de acceso directo controlados por este servicio dejarán de funcionar. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 4 DISABLED
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Acceso a dispositivo de interfaz humana
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ImapiService
Administra la grabación de CD usando la interfaz de programación de aplicaciones de grabación de imágenes (IMAPI). Si se detiene este servicio, el equipo no podrá grabar los CD. Si está deshabilitado, los servicios que dependan de éste no se iniciarán.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio COM de grabación de CD de IMAPI
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanserver
Ofrece compatibilidad con uso compartido de archivos, impresoras y canalizaciones con nombres en la red para este equipo. Si se detiene el servicio, estas funciones no estarán disponibles. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servidor
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanworkstation
Crea y mantiene conexiones de cliente de red a servidores remotos. Si se detiene el servicio, estas conexiones no estarán disponibles. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : NetworkProvider
   TAG       : 0
   DISPLAY_NAME    : Estación de trabajo
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: LmHosts
Habilita la compatibilidad con NetBIOS a través del servicio TCP/IP (NetBT) y la resolución de nombres NetBIOS.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
   LOAD_ORDER_GROUP : TDI
   TAG       : 0
   DISPLAY_NAME    : Ayuda de NetBIOS sobre TCP/IP
   DEPENDENCIES    : NetBT
          : Afd
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Messenger
Transmite mensajes del servicio de alertas y el comando net send entre clientes y servidores. Este servicio no está relacionado con Windows Messenger. Si se detiene el servicio, no se transmitirán los mensajes de alerta. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Messenger
   DEPENDENCIES    : LanmanWorkstation
          : NetBIOS
          : PlugPlay
          : RpcSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: mnmsrvc
Permite a los usuarios autorizados acceder remotamente a su escritorio Windows usando NetMeeting.
   TYPE       : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Escritorio remoto compartido de NetMeeting
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSDTC
Coordina las transacciones que se extienden a varios administradores de recursos, como bases de datos, colas de mensajes y sistemas de archivos. Si se detiene este servicio, estas transacciones no se producirán. Si se deshabilita el servicio, no se podrá iniciar ningún servicio que dependa específicamente de él.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe
   LOAD_ORDER_GROUP : MS Transactions
   TAG       : 0
   DISPLAY_NAME    : Coordinador de transacciones distribuidas de Microsoft
   DEPENDENCIES    : RPCSS
          : SamSS
   SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: MSIServer
Instala, repara y quita software de acuerdo con las instrucciones contenidas en archivos .MSI.
   TYPE       : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\msiexec.exe /V
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Windows Installer
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: navapsvc
Gestiona los eventos de Auto-Protect de Norton AntiVirus.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : "C:\Archivos de programa\Norton AntiVirus\navapsvc.exe"
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio Auto-Protect de Norton AntiVirus
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDE
Ofrece transporte y seguridad en la red para el Intercambio dinámico de datos (DDE) para los programas que se ejecutan en el mismo equipo o en diferentes equipos. Si este servicio se detiene, se deshabilitarán el transporte y la seguridad DDE. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
   LOAD_ORDER_GROUP : NetDDEGroup
   TAG       : 0
   DISPLAY_NAME    : DDE de red
   DEPENDENCIES    : NetDDEDSDM
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDEdsdm
Administra los recursos de red Intercambio dinámico de datos (DDE). Si este servicio se detiene, se deshabilitarán los recursos compartidos de red DDE. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : DSDM de DDE de red
   DEPENDENCIES    :
          : EGrLocalSystem
          : DSDM de DDE de red
          : de red
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netlogon
Admite la autenticación de paso de sucesos de inicio de sesión de cuenta para los equipos en un dominio.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
   LOAD_ORDER_GROUP : RemoteValidation
   TAG       : 0
   DISPLAY_NAME    : Inicio de sesión en red
   DEPENDENCIES    : LanmanWorkstation
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netman
Administra objetos en la carpeta Conexiones de red y acceso telefónico, donde se pueden ver conexiones de red de área local y remotas.
   TYPE       : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Conexiones de red
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Nla
Recopila y almacena información de configuración y ubicación de redes, e informa a las aplicaciones cuando esta información cambia.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : NLA (Network Location Awareness)
   DEPENDENCIES    : Tcpip
          : Afd
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtLmSsp
Ofrece seguridad a programas de llamada a procedimiento remoto (RPC) que utilizan transportes diferentes de conductos con nombres.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Proveedor de compatibilidad con seguridad LM de Windows NT
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtmsSvc
(null)
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Medios de almacenamiento extraíbles
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NVSvc
Provides system and desktop level support to the NVIDIA display driver
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\nvsvc32.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : NVIDIA Display Driver Service
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: O?’ŽrtñåÈ²$Ó
(null)
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\wsdu.log:zsrrp /s
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Remote Procedure Call (RPC) Helper
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PlugPlay
Habilita un equipo para que reconozca y adapte los cambios de hardware con el menor esfuerzo por parte del usuario. Si se detiene o deshabilita este servicio, el sistema se volverá inestable.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
   LOAD_ORDER_GROUP : PlugPlay
   TAG       : 0
   DISPLAY_NAME    : Plug and Play
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PolicyAgent
Administra la directiva de seguridad IP e inicia el controlador ISAKMP/Oakley (IKE) y de seguridad IP.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicios IPSEC
   DEPENDENCIES    : RPCSS
          : Tcpip
          : IPSec
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ProtectedStorage
Ofrece almacenamiento protegido para datos importantes, como claves privadas, para impedir el acceso de servicios, procesos o usuarios no autorizados.
   TYPE       : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Almacenamiento protegido
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasAuto
Crea una conexión a una red remota siempre que un programa hace referencia a un nombre o dirección DNS o NetBios remoto.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Administrador de conexión automática de acceso remoto
   DEPENDENCIES    : RasMan
          : Tapisrv
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasMan
Crea una conexión de red.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Administrador de conexión de acceso remoto
   DEPENDENCIES    : Tapisrv
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RDSessMgr
Administra y controla la Asistencia remota. Si se detiene este servicio, Asistencia remota no estará disponible. Antes de detener el servicio, vea la ficha Dependencias en el cuadro de diálogo Propiedades.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Administrador de sesión de Ayuda de escritorio remoto
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteAccess
Ofrece servicios de enrutamiento a empresas en entornos de red de área local y extensa.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 4 DISABLED
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Enrutamiento y acceso remoto
   DEPENDENCIES    : RpcSS
          : +NetBIOSGroup
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteRegistry
Habilita usuarios remotos para que modifiquen la configuración del Registro en este equipo. Si se detiene este servicio, cualquier usuario en este equipo puede modificar el Registro. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k LocalService
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Registro remoto
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: NT AUTHORITY\LocalService
   FAIL_RESET_PERIOD : 0 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 1000 seconds

SERVICE_NAME: RpcLocator
Administra la base de datos de servicios de nombres RPC.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\locator.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Localizador de llamadas a procedimiento remoto (RPC)
   DEPENDENCIES    : LanmanWorkstation
   SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: RpcSs
Ofrece el asignador de punto final y otros servicios RPC diversos.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss
   LOAD_ORDER_GROUP : COM Infrastructure
   TAG       : 0
   DISPLAY_NAME    : Llamada a procedimiento remoto(RPC)
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem
   FAIL_RESET_PERIOD : 0 seconds
   FAILURE_ACTIONS    : Reboot   DELAY: 60000 seconds

SERVICE_NAME: RSVP
Ofrece funcionalidad de señalización de red y control del tráfico local para programas y subprogramas de control compatibles con QoS.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\rsvp.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : QoS RSVP
   DEPENDENCIES    : TcpIp
          : Afd
          : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SamSs
Almacena información de seguridad de cuentas de usuario locales.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
   LOAD_ORDER_GROUP : LocalValidation
   TAG       : 0
   DISPLAY_NAME    : Administrador de cuentas de seguridad
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SAVScan
Handles Norton AntiVirus Auto-Protect Archive Scanning
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : SAVScan
   DEPENDENCIES    : SAVRT
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SBService
(null)
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : ScriptBlocking Service
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SCardDrv
Ofrece compatibilidad con tarjetas lectoras de tarjetas inteligentes heredadas (no plug and play) usadas por el equipo. Si este servicio se detiene, el equipo no será compatible con la tarjeta lectora heredada. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Sistema de ayuda de tarjeta inteligente
   DEPENDENCIES    : +Smart Card Reader
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: SCardSvr
Administra el acceso a una tarjeta inteligente de la el equipo hace lectura. Si este servicio se detiene, el equipo no podrá leer las tarjetas inteligentes. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Tarjeta inteligente
   DEPENDENCIES    : PlugPlay
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Schedule
Habilita un usuario para que configure y programe tareas automáticas en este equipo. Si se detiene este equipo, estas tareas no se ejecutarán en sus horas programadas. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : SchedulerGroup
   TAG       : 0
   DISPLAY_NAME    : Programador de tareas
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: seclogon
Habilita los procesos de inicio en credenciales alternas. Si se detiene este servicio, se deshabilitará este tipo de acceso de inicio de sesión. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Inicio de sesión secundario
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SENS
Registra sucesos del sistema como los de inicio de sesión en Windows, red y energía, y los notifica a los suscriptores de sucesos del sistema COM+.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : Network
   TAG       : 0
   DISPLAY_NAME    : Notificación de sucesos del sistema
   DEPENDENCIES    : EventSystem
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SharedAccess
Ofrece servicios de traducción de direcciones, direccionamiento, resolución de nombres y/o servicios de prevención de intrusión para una red doméstica o de pequeña empresa.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)
   DEPENDENCIES    : Netman
          : NLA
          : RasMan
          : ALG
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ShellHWDetection
(null)
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : ShellSvcGroup
   TAG       : 0
   DISPLAY_NAME    : Detección de hardware shell
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Spooler
Carga archivos en la memoria para imprimirlos después.
   TYPE       : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe
   LOAD_ORDER_GROUP : SpoolerGroup
   TAG       : 0
   DISPLAY_NAME    : Cola de impresión
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem
   FAIL_RESET_PERIOD : 86400 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 60000 seconds
          : Restart   DELAY: 60000 seconds
          : None   DELAY: 0 seconds

SERVICE_NAME: srservice
Realiza funciones de restauración del sistema. Para detener el servicio, desactive Restaurar sistema en la ficha de Restaurar sistema en propiedades de Mi PC
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio de restauración de sistema
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SSDPSRV
Habilita el descubrimiento de dispositivos UPnP en su red doméstica.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicio de descubrimientos SSDP
   DEPENDENCIES    :
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: stisvc
Proporciona servicios de digitalización de imágenes para escáneres y cámaras.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k imgsvc
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Adquisición de imágenes de Windows (WIA)
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SwPrv
Administra instantáneas de volumen basadas en software y tomadas por el Servicio de instantáneas de volumen. Si se detiene el servicio, no se podrán administrar las instantáneas de volumen basadas en software. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{48C89607-9C75-4149-9A07-76A08226B60A}
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : MS Software Shadow Copy Provider
   DEPENDENCIES    : rpcss
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SysmonLog
Recopila información de rendimiento de equipos locales o remotos de acuerdo a parámetros de programación configurados previamente, luego guarda la información en un registro o emite una alerta. Si se detiene el servicio, no se recopilará la información de rendimiento. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependan explícitamente de él.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Registros y alertas de rendimiento
   DEPENDENCIES    :
   SERVICE_START_NAME: NT Authority\NetworkService

SERVICE_NAME: TapiSrv
Ofrece compatibilidad con la API de telefonía (TAPI) para programas que controlan dispositivos de telefonía y conexiones de voz basadas en IP en el equipo local y, a través de la LAN, en servidores que utilizan también el servicio.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Telefonía
   DEPENDENCIES    : PlugPlay
          : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TermService
Permite que varios usuarios se conecten de forma interactiva a un equipo y que se muestren los escritorios y aplicaciones de equipos remotos. El acoplamiento de Escritorio remoto (incluido Escritorio remoto para administradores), Cambio rápido de usuarios, Asistencia remota y Terminal Server.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Servicios de Terminal Server
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Themes
Proporciona administración de temas de experiencia de usuario.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : UIGroup
   TAG       : 0
   DISPLAY_NAME    : Temas
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem
   FAIL_RESET_PERIOD : 86400 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 60000 seconds
          : Restart   DELAY: 60000 seconds
          : None   DELAY: 0 seconds

SERVICE_NAME: TlntSvr
Permite que un usuario remoto inicie sesión en el equipo y ejecute programas , y sea compatible con varios clientes de Telnet TCP/IP, incluyendo los equipos basados en UNIX y Windows. Si este servicio se detiene, es posible que el acceso al usuario remoto no esté disponible. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 4 DISABLED
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\tlntsvr.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Telnet
   DEPENDENCIES    : RPCSS
          : TCPIP
          : NTLMSSP
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TrkWks
Mantiene vínculos entre archivos NTFS dentro de un equipo o entre equipos en un dominio de red.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Cliente de seguimiento de vinculos distribuidos
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: UMWdf
Enables Windows user mode drivers.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\wdfmgr.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Windows User Mode Driver Framework
   DEPENDENCIES    : RpcSs
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: uploadmgr
Administra transferencias síncronas y asíncronas de archivos entre clientes y servidores en la red. Si se detiene este servicio, dichas transferencias no tendrán lugar. Si se deshabilita el servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Administrador de carga
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem
   FAIL_RESET_PERIOD : 86400 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 100 seconds
          : Restart   DELAY: 100 seconds
          : None   DELAY: 100 seconds

SERVICE_NAME: upnphost
Proporciona compatibilidad para albergar dispositivos Plug and Play universales.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Host de dispositivo Plug and Play universal
   DEPENDENCIES    : SSDPSRV
   SERVICE_START_NAME: NT AUTHORITY\LocalService
   FAIL_RESET_PERIOD : -1 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 0 seconds

SERVICE_NAME: UPS
Administra un sistema de alimentación ininterrumpida (UPS) conectado al equipo.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Sistema de alimentación ininterrumpida
   DEPENDENCIES    :
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: vsmon
Monitors internet traffic and generates alerts for disallowed access.
   TYPE       : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
   LOAD_ORDER_GROUP : TrueVector Group
   TAG       : 0
   DISPLAY_NAME    : TrueVector Internet Monitor
   DEPENDENCIES    : Afd
          : RpcSs
          : vsdatant
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VSS
Administra e implementa Instantáneas de volumen usadas para copias de seguridad y otros propósitos. Si este servicio se detiene, las instantáneas se deshabilitarán para la copia de seguridad y ésta dará un error. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Instantáneas de volumen
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: W32Time
Mantiene la sincronización de fecha y hora en todos los clientes y servidores de la red. Si se detiene este servicio, no estará disponible la sincronización de fecha y hora. Si se deshabilita este servicio, no se podrá iniciar ninguno de los servicios que dependen explícitamente de él.

   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Horario de Windows
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WebClient
Habilita los programas basados en Windows para que creen, tengan acceso y modifiquen archivos basados en Internet. Si este servicio se detiene, estas funciones no estarán disponibles. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
   LOAD_ORDER_GROUP : NetworkProvider
   TAG       : 0
   DISPLAY_NAME    : Cliente Web
   DEPENDENCIES    : MRxDAV
   SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: winmgmt
Proporciona una interfaz común y un modelo de objeto para tener acceso a la información de administración acerca de un sistema operativo, dispositivos, aplicaciones y servicios. Si se detiene este servicio, la mayoría del software basado en Windows no funcionará correctamente. Si este servicio está deshabilitado, cualquier servicio que explícitamente dependa de él no podrá iniciarse.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 0 IGNORE
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Instrumental de administración de Windows
   DEPENDENCIES    : RPCSS
          : Eventlog
   SERVICE_START_NAME: LocalSystem
   FAIL_RESET_PERIOD : 86400 seconds
   FAILURE_ACTIONS    : Restart   DELAY: 60000 seconds
          : Restart   DELAY: 60000 seconds

SERVICE_NAME: WmdmPmSN
Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Portable Media Serial Number Service
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Wmi
Proporciona información de administración de sistemas a y desde controladores.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Extensiones de controlador de Instrumental de administración de Windows
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WmiApSrv
Proporciona información de la biblioteca de rendimiento desde los proveedores HiPerf de WMI.
   TYPE       : 10 WIN32_OWN_PROCESS
   START_TYPE    : 3 DEMAND_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\wbem\wmiapsrv.exe
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Adaptador de rendimiento de WMI
   DEPENDENCIES    : RPCSS
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: wuauserv
Habilita la descarga e instalación de actualizaciones críticas de Windows. Si el servicio está deshabilitado, el sistema operativo se puede actualizar manualmente en el sitio Web de Windows Update.
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP :
   TAG       : 0
   DISPLAY_NAME    : Actualizaciones automáticas
   DEPENDENCIES    :
   SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WZCSVC
Proporciona configuración automática para los adaptadores 802.11
   TYPE       : 20 WIN32_SHARE_PROCESS
   START_TYPE    : 2 AUTO_START
   ERROR_CONTROL    : 1 NORMAL
   BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
   LOAD_ORDER_GROUP : TDI
   TAG       : 0
   DISPLAY_NAME    : Configuración inalámbrica rápida
   DEPENDENCIES    : RpcSs
          : Ndisuio
   SERVICE_START_NAME: LocalSystem
Title: hijackthis log
Post by: guestolo on October 04, 2004, 10:25:32 PM: Open your task manager (Hold down the CTRL+Shift Keys and tap the ESC key)
End process on this
P2P Networking.exe

Access your Add/Remove Programs and Remove if found
P2P Networking
NCase
EbatesMoeMoneyMaker
WEB REBATES
SideFind

We have a little work to do

Since you Restarted your computer some files may have changed
I need you to take note of the R1 entries that look like this
res://C:\WINDOWS\snfie.dll/sp.html#29126
The name may have changed but it will look identical
The 02-bho may have changed too
Do as much of this as you can before posting back

You may want to print this out

===Set Windows to Show Hidden Files and Folders (http://\"http://www.xtra.co.nz/help/0,,4155-1916458,00.html\")

===Create a New folder on your desktop, call it Aboutbuster
Download to desktop About:Buster (http://\"http://www.malwarebytes.biz/AboutBuster.zip\")
by RubbeR Ducky
Unzip it to that new folder===Run this later

===Download and Install the free version of Ad-Aware (http://\"http://download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button\")
After installation-CHECK FOR UPDATES
We'll run this later, make sure you check for updates now!

===Open Notepad (START>>>RUN>>>type in notepad) hit Enter
Copy the contents of the Quote box to notepad
Name the file as fix.reg
Change the Save as Type to All Files.
Save this file on the desktop, well need this later, don't run it yet

Quote
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\O?’ŽrtñåÈ²$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\O?’ŽrtñåÈ²$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\O?’ŽrtñåÈ²$Ó]

RESTART your Computer in SAFE MODE (http://\"http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001060608000039?OpenDocument&ExpandSection=4#_Section4\")

===Next: Go to START>>>RUN>>>type in services.msc and hit Enter
In the next window, look on the right hand side for this service
name---- Remote Procedure Call (RPC) Helper <--Notice Helper at the end of the service, don't confuse it with the legit RPC service

Double click on it--- STOP the service--
In the drop down menu, change the startup type to Disabled
from Automatic

===Stay in safe mode and navigate to these files or folders and delete them if they exist
C:\WINDOWS\system32\javabh32.exe <--this file
C:\WINDOWS\System32\snlogsvc.exe <--this file
C:\WINDOWS\System32\dpqvsetup.exe <--this file
C:\Documents and Settings\Leandro\Datos de programa\ceos.exe <--file

c:\archivos de programa\n-case <--this folder
C:\Archivos de programa\WebSavingsfromEbates <--folder
C:\WINDOWS\System32\P2P Networking <--folder

===In safe mode
Do another Scan with Hijackthis and put a check next to these entries
and then FIX CHECKED when ALL other windows are closed

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\snfie.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\snfie.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\snfie.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\snfie.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\snfie.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\snfie.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\snfie.dll/sp.html#29126

O2 - BHO: (no name) - {6CA3DEF1-F477-8CA2-64FD-B558A4257B4A} - C:\WINDOWS\mfcei32.dll

O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE

O4 - HKLM\..\Run: [javabh32.exe] C:\WINDOWS\system32\javabh32.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [dpqvsetup.exe] C:\WINDOWS\System32\dpqvsetup.exe
O4 - HKLM\..\Run: [saap] c:\archivos de programa\n-case\saap.exe
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Archivos de programa\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"

O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINUPDATE.EXE
O4 - HKCU\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe

O4 - HKCU\..\Run: [dpqvsetup.exe] C:\WINDOWS\System32\dpqvsetup.exe
O4 - HKCU\..\Run: [Baud] C:\Documents and Settings\Leandro\Datos de programa\ceos.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
These 2 may have been set by Spybot, you can fix them

O8 - Extra context menu item: Web Savings - file://C:\Archivos de programa\WebSavingsfromEbates\System\Temp\ebateswebsavings_script0.htm

O9 - Extra button: SideFind (HKLM)
O9 - Extra button: Ebates (HKCU)

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...0e1e2729109a237 (http://\"http://public.windupdates.com/get_file.php...0e1e2729109a237\")
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab (http://\"http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab\")
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab (http://\"http://www.mt-download.com/MediaTicketsInstaller.cab\")

After you have FIX CHECKED and closed Hijackthis

Navigate to About:buster you UNZIPPED earlier
===Start About:Buster and hit ok. Now for the scanning part. Hit Start and then Ok. The program should start scanning.Scan a Second time. Then hit exit

===Do a DiskCleanup>>START----Run---type in cleanmgr
Ensure that Temp and Temporary Internet Files are checked

===Double click on reg.fix that you saved earlier to desktop
and Allow it to merge to the Registry

===RESTART back in Normal mode
Open Ad-Aware and do a Full System Scan---Remove all Critical Objects
RESTART your computer again to finish the cleaning process

Download the The Hoster
Unzip it to a folder, Open it, Press "Restore Original Hosts" and press "OK". Exit Program. Note: if you were using a custom Hosts file you will need to replace any of those entries yourself
I
If you have Spybot S&D 1.3 installed
See if the SDHelper.dll file is missing,
Normally Spybot is installed in this directory
C:\Program Files\Spybot - Search & Destroy
If missing, download sdhelper13.zip (http://\"http://www.richardthelionhearted.com/~merijn/files/windows/sdhelper13.zip\")
Save the Zip file to your desktop and Unzip it to your C:\Program Files\Spybot - Search & Destroy folder

You should install these 2 apps., they add extra security while
silently protecting you, without running in the background

SpywareBlaster by JavaCool---will block bad ActiveX and malevolent cookies
Install---Check for Updates---Enable all protection
http://www.javacoolsoftware.com/spywareblaster.html (http://\"http://www.javacoolsoftware.com/spywareblaster.html\")

IE-Spyad---IE-SPYAD puts over 5000 sites in your restricted zone so you'll be protected when you visit innocent-looking sites that aren't actually innocent at all.
Here is a tutorial and download link
TUTORIAL==Link to Tutorial (http://\"http://www.bleepingcomputer.com/forums/index.php?showtutorial=53\")
Download link==Download link (http://\"https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD\")
Scroll down and click on IE-SPYAD.EXE Free!

With both, Check for updates every couple of weeks

RESTART your computer again when you are done

When your all done can you post back a Fresh hijackthis log and also post the About:buster logs, thanks
Your version of Hijackthis is outdated and needs to be brought up to date
Can you download the latest version, which is Hijackthis 1.98.2
and post a log from it, thanks
You can download it from HERE (http://\"http://aumha.org/downloads/hijackthis.exe\")
Remember to save it to a Permanent folder
Title: hijackthis log
Post by: strato_skull66 on October 05, 2004, 01:40:33 AM: here´s my fresh hijachthis log, by the way , i was not able to do the Aboutbuster log, when i click on the icon after unzipping it i get the error "Database is either missing or corrupt", same thing after redownloading the file.

Logfile of HijackThis v1.98.2
Scan saved at 3:38:19 AM, on 10/5/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\snlogsvc.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Leandro\Datos de programa\ceos.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\hijackthis-1.exe
C:\Archivos de programa\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.com
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Archivos de programa\Common Files\Microsoft Shared\Perl.exe /LASTSCAN
O4 - HKLM\..\Run: [ZeroAdsLAS] C:\Archivos de programa\FBM Software\ZeroAds\LAS0Ads.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ZeroAds] C:\Archivos de programa\FBM Software\ZeroAds\ZeroAds.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'fbm_lsp.dll' missing
Title: hijackthis log
Post by: guestolo on October 05, 2004, 08:19:38 PM: Try downloading About:buster from this link and then ensure that you UNZIP it
http://www.majorgeeks.com/download4289.html (http://\"http://www.majorgeeks.com/download4289.html\")

Restart your computer into safe mode

Find and delete these files or folders
Ensure you have Windows set to show Hidden files and folders

C:\Documents and Settings\Leandro\Datos de programa\ceos.exe <--this file
C:\WINDOWS\System32\snlogsvc.exe <--this file

In safe mode
Do another Scan with Hijackthis and put a check next to these entries
and then FIX CHECKED when ALL other windows are closed

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)

O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe

O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe

Do a Disk Cleanup

RESTART back in Normal mode
Do another scan with hijackthis and post another log
Let me know how everything is going
Title: hijackthis log
Post by: strato_skull66 on October 05, 2004, 09:48:26 PM: The same thing is happening with the About buster, could it be that it´s not letting me do it since i´m running both Norton antivirus 2004 and Zone alarm pro, at the same time? , also i´m still not able to get into "C:\Documents and Settings\Leandro\Datos de Programa\ceos.exe (cannot access "Documents and Settings" , but i am the only Administrator.)

while being in safe mode. it seems that even after removing the files from the hjt scan i still get them when i reboot in normal mode, this is the new log:

Logfile of HijackThis v1.98.2
Scan saved at 3:38:19 AM, on 10/5/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\snlogsvc.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Leandro\Datos de programa\ceos.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\hijackthis-1.exe
C:\Archivos de programa\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.com
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Archivos de programa\Common Files\Microsoft Shared\Perl.exe /LASTSCAN
O4 - HKLM\..\Run: [ZeroAdsLAS] C:\Archivos de programa\FBM Software\ZeroAds\LAS0Ads.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ZeroAds] C:\Archivos de programa\FBM Software\ZeroAds\ZeroAds.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'fbm_lsp.dll' missing
Title: hijackthis log
Post by: guestolo on October 05, 2004, 10:05:41 PM: Can you please do an online virus scan at either
Housecalls---Set to Autoclean
http://housecall.trendmicro.com/ (http://\"http://housecall.trendmicro.com/\")

and/or
Panda's Active Scan
http://www.pandasoftware.com/activescan/co...n_principal.htm (http://\"http://www.pandasoftware.com/activescan/com/activescan_principal.htm\")

Let me know what they find, you may want to disable system restore

Post back with a Fresh hijackthis log afterwards
Title: hijackthis log
Post by: strato_skull66 on October 06, 2004, 08:40:46 PM: I´m beggining to think that now i´m not able to do anything, when i tried running the two online tests i get error.. "browser not supported" and i´m currently using Mozila firefox 0.9.3, because it´s really blocking most pop ups, unlike internet explorer. When i´m connected i try browsing using i.e but no matter which web site i try to go to, i get a page cannot be displayed, i don´t know if should fist uninstall and completele remove firefox or what because that´s the only browser that seems to work on this pc. /sad.gif\' class=\'bbc_emoticon\' alt=\':(\' />

Also something else i wanna add. My i.e version is unfortunately the Service Pack 2, i have previously downlaoded sp1, and i don´t know if i should end the explorer proccess, then remove the component and the file so i could install the sp1 ? What can i do to make Ie work and to completely take the sp2 out to do a rollback to sp1?, thanks
Title: hijackthis log
Post by: Guest on October 06, 2004, 10:26:42 PM: Quote
My i.e version is unfortunately the Service Pack 2

You haven't updated to Service Pack 2 yet, your still using IE6 SP1

Unfortunately, you must use IE to run those AV online scans as they require the installation of ActiveX controls, which Firefox does not use

This line in your log
O10 - Broken Internet access because of LSP provider 'fbm_lsp.dll' missing

Don't touch it, but it is related too ZeroAds and you must allow it connection thru Zone Alarm and you must allow IE to pass thru Zone Alarm or you won't be able to connect

Let's try this
Download and install the TRIAL VERSION of Trojan Hunter <--It's good for 30 days
from this link
http://www.misec.net/trojanhunter/ (http://\"http://www.misec.net/trojanhunter/\")

After installation and before you run it you must manually update the Ruleset
Download the Latest Ruleset from this link and save it to Desktop
http://www.misec.net/trojanhunter/updating/ (http://\"http://www.misec.net/trojanhunter/updating/\")
UNZIP it to the Trojan Hunter folder

Disable System Restore, this link will show you how
http://vil.nai.com/vil/SystemHelpDocs/Disa...eSysRestore.htm (http://\"http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm\")

Disconnect from the Internet
Don't Restart yet, Instead Open up Hijackthis>>>Config>>>Misc Tools>>Delete file on Reboot

Copy and paste the bold into the File Name field

C:\WINDOWS\System32\snlogsvc.exe

And then click Open>>This should tell you the file will be deleted on Restart
Don't restart yet

Do the same thing for this file name
C:\Documents and Settings\Leandro\Datos de programa\ceos.exe

Again, don't Restart yet

Instead, Do another scan with hijackthis and fix these entries, ENSURE that ALL other windows are closed, INCLUDING THIS ONE, this is a big reason that some entries can't be removed with hijackthis

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)

O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe

O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe

Restart your computer into Safe mode

Run Trojan Hunter in safe mode
Let it fix all problems

Restart back in Normal Mode and post back a Fresh hijackthis log
Title: hijackthis log
Post by: strato_skull66 on October 07, 2004, 09:00:32 PM: here´s my log: i still have the file O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file) and i figured that i had service pack 2 because when you go to tools, on sp1 i never saw the option "java console"

Logfile of HijackThis v1.98.2
Scan saved at 11:01:25 PM, on 10/7/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\hijackthis-1.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.com
O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Archivos de programa\Common Files\Microsoft Shared\Perl.exe /LASTSCAN
O4 - HKLM\..\Run: [ZeroAdsLAS] C:\Archivos de programa\FBM Software\ZeroAds\LAS0Ads.exe
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ZeroAds] C:\Archivos de programa\FBM Software\ZeroAds\ZeroAds.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'fbm_lsp.dll' missing
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -

About my Internet explorer, i am now able to browse after i disabled Zolne Alarm /biggrin.gif\' class=\'bbc_emoticon\' alt=\':D\' />
Title: hijackthis log
Post by: guestolo on October 07, 2004, 10:41:35 PM: You may want to reenable Zone Alarm so your not exposed to the Net
Remove IE from ZoneAlarms Programs list
Open IE, When ZoneAlarm prompts you if you want to allow IE access, allow it

At minimal enable Windows XP Firewall
In Control Panel---Open Network Connections
Right Click you connection---Left click properties----Under the Advanced tab enable Firewall
You don't need both firewalls running
Zone Alarm will do a better job

Can you check your Active X setting
Open IE---TOOLS---Internet Options---SECURITY---Internet

Press Default level and then OK
Next press Custom Level
Under the ActiveX section
Set these:
Download signed controls---Prompt
Download unsigned controls----Disable
Initialize and Script ActiveX controls not marked as safe----Disable

RESTART your computer into Safe Mode
Open your Registry Editor
Click START>>>RUN>>>type in regedit and hit Enter

Navigate to this key
HKey_Local_Machine/Software/Microsoft/Windows/ CurrentVersion/Explorer/Browser Helper Objects

+HKey_Local_Machine
+Software
+Microsoft
+Windows
+CurrentVersion
+Explorer
+Browser Helper Objects

Look for this entry and right click on it and delete it
{649CC735-3654-3678-18DF-8F6ECCFF3B90}

Exit out of reg. editor

Open Hijackthis and fix these entries
O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -

RESTART back in Normal mode

Post back a new hijackthis log and let's see if that BHO is still there
By the above 016 entries it appears that you did not install
SpywareBlaster, if you don't you are probably going to get reinfected again
I hope you followed all my instructions in my replys to you?
Title: hijackthis log
Post by: strato_skull66 on October 08, 2004, 08:34:01 PM: okay, i did exactly what you told me to do. i downlaoded spywareblaster and everthing else, i was able to delete that command from the registry and when i did the scan the "O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)" was not there, but when i restarted in normal mode it came back again and so did the 016´s. I haven´t missed any step, i don´t know why the files are still there, this is the newest log.

Logfile of HijackThis v1.98.2
Scan saved at 10:32:53 PM, on 10/8/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\hijackthis-1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.com
O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Archivos de programa\Common Files\Microsoft Shared\Perl.exe /LASTSCAN
O4 - HKLM\..\Run: [ZeroAdsLAS] C:\Archivos de programa\FBM Software\ZeroAds\LAS0Ads.exe
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ZeroAds] C:\Archivos de programa\FBM Software\ZeroAds\ZeroAds.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'fbm_lsp.dll' missing
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
Title: hijackthis log
Post by: guestolo on October 08, 2004, 08:46:31 PM: Well, this is getting frustrating /mad.gif\' class=\'bbc_emoticon\' alt=\':angry:\' />

Can you do me a favor and download and save to desktop
VX2 Finder (http://\"http://downloads.subratam.org/VX2Finder(126).exe\")

Open it and Click to Find VX2. BetterInternet
Make a log and post back the results
Title: hijackthis log
Post by: strato_skull66 on October 08, 2004, 10:13:40 PM: Files Found---

Additional Files---

Keys Under Notify---
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon
Title: hijackthis log
Post by: guestolo on October 09, 2004, 01:24:56 AM: Try using Internet Explorer and visit those 2 Online virus Scans I posted earlier
Let me know if they find anything
If your hijackthis log looks different afterwards can you post a new log
Title: hijackthis log
Post by: strato_skull66 on October 11, 2004, 09:11:05 PM: i got the same log, but is there a way of removing the files manually from the registry, or from wherever they are?, thanks
Title: hijackthis log
Post by: guestolo on October 11, 2004, 10:50:15 PM: Well, if your not ready to give up I would like to try another thing, temporarily
Disable Spysweeper's protection and also Disable Spybot Tea Timer from running on startup

Tea Timer>>>Click Mode at the top and then click Advanced
Settings>>>>Resident>>>Uncheck Tea timer

Restart your computer and stay offline after restart
and then ONLY open hijackthis

Do another Scan with Hijackthis and put a check next to these entries
and then FIX CHECKED when ALL other windows are closed

O2 - BHO: (no name) - {649CC735-3654-3678-18DF-8F6ECCFF3B90} - (no file)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -

RESTART your computer again and let me know if those entries returned or post back with a fresh hijackthis log instead
Title: hijackthis log
Post by: strato_skull66 on October 11, 2004, 11:39:19 PM: Here´s my new log, somehow teatimer had something to do with it, but now those entries are not there anymore /biggrin.gif\' class=\'bbc_emoticon\' alt=\':D\' />

Logfile of HijackThis v1.98.2
Scan saved at 1:40:57 AM, on 10/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\hijackthis-1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.google.com
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Archivos de programa\Common Files\Microsoft Shared\Perl.exe /LASTSCAN
O4 - HKLM\..\Run: [ZeroAdsLAS] C:\Archivos de programa\FBM Software\ZeroAds\LAS0Ads.exe
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [ZeroAds] C:\Archivos de programa\FBM Software\ZeroAds\ZeroAds.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'fbm_lsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA053BCC-915F-4B26-8BBD-491DB1399E5B}: NameServer = 200.42.0.108 200.42.0.109
Title: hijackthis log
Post by: guestolo on October 12, 2004, 12:14:20 AM: Log looks good, your 017 entry tells me your ISP is somewhere in Argentina... Warm down there right now /biggrin.gif\' class=\'bbc_emoticon\' alt=\':D\' />

These aren't immediate threats but they DON'T need to be running on startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

Restart your computer
Navigate to this file C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe may be named just realsched, by default windows xp hides extensions for know file types
RENAME realsched.exe>>>>realsched.old
This will ensure the updater doesn't startup, but doesn't disable RealPlayer

Stay safe strato
Title: hijackthis log
Post by: strato_skull66 on October 12, 2004, 12:28:38 AM: Thankx for everything, now that i´ve renamed the file i guess i´m clean now, btw you should come down here to buenos aires sometime! /biggrin.gif\' class=\'bbc_emoticon\' alt=\':D\' /> thank you again