autoarranque 2Misdocumentos + LightScribeService Direct Disc Labeling Service+¡¡¡¡¡¡

gominola · #1 (**permalink**) 07/08/2009, 05:26

Hola,

Al iniciar Windows se abren dos ventanas de la carpeta "Mis documentos".

Les comento mi problema desde el principio y luego les comento las soluciones que he tratado de llevar a cabo:

En una de mis cuentas de correo me apareció un aviso que me ofrecía la opción de mandar mi contraseña caso de olvidarla a otra de mis cuentas de correo. Cuando yo por ningún medio las tenía relacionadas. (Ambas cuentas están creadas desde hace más de dos años). (El explorador que utilizaba en ese momento era el Firefox).
Me sonó a virus y decidí poner un antivirus, pues hasta entonces no tenía porque había formateado el equipo hacía poco.
Puse el Avast. Una vez instalado reinicié el equipo e hizo un escaneo en el que detectó dos virus dentro del Windows System32, los eliminé.
Desde entonces al iniciar Windows se abren las dos ventanas de "Mis documentos".

Me metí en el regedit para desactivarlo:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
pero todo parece estar en orden y nada apunta al autoarranque de la carpeta "Mis documentos".

De modo que eché mano del tio google y ví otra forma de ver los programas que se inician de forma automática al iniciarse Windows.
ejecutar --> msconfig

Tampoco ahí encuentro solución a mi problema pero encuentro dos elementos que me dan mala espina:

----> LightScribeService Direct Disc Labeling Service
Del cuál busco información y todo parece apuntar a que es un virus. ¿Es así? ¿Se trata de un virus? Aunque en un sitio lo relacionan con el Nero, que tengo instalado.
A la gente en los foros les aconsejan pasar un antivirus online, he ido a pasar uno pero pide como requesito desactivar primero el de tu equipo, lo cual me genera cierta desconfianza.

y otro que elemento que desconozco:
----> Como elemento de inicio pone tal cual:
¡¡¡¡¡¡
comando: C:\WINDOWS\system32\XP-82A~1.EXE
ubicación: Startup

En las páginas dónde he buscado parecen relacionar las posibilidades de virus a la entrada de virus por pendrive, y hace mucho que no conecto el pendrive al equipo.

¿Saben ustedes de qué se trata?

Siento la parrafada, pero es para ofrecerles el mayor número de datos.
Resumiendo:

---> autoarranque de 2 ventanas "Mis documentos"
---> ¿es LightScribeService Direct Disc Labeling Service un virus?
---> ¿qué es ¡¡¡¡¡¡?

Tengo Windows XP professional

Muchísimas gracias por su tiempo.
Un saludo,
María

zackrated · #2 (**permalink**) 07/08/2009, 19:54

Saludos

Descarga [B]Hijackthis. Crea una carpeta y mete ahi Hijackthis.exe
http://www.trendsecure.com/portal/en...HJTInstall.exe
Ejecútalo despues seleccionas la opcion Do a Scan And Save a Log File
Esto generará un bloc de notas, pega aqui su contenido COMPLETO[B] para analizarlo ó subelo a www.megaupload.com y dame el link de descarga para analizarlo.

Los archivos que mencionas no sabré decirte si son virus o no, pero con el informe de hijackthis lo sabremos

Saludos

gominola · #3 (**permalink**) 08/08/2009, 12:34

Gracias por responder Zackrated!! :)

Lo he subido a un servidor por si te resulta más cómodo de visualizar en bloc de notas que aquí que no cabe en una sola línea.

sendspace.com/file/o4n9vf

No obstante, lo pego también aquí:

(Lo pongo en dos entradas porque dice que es muy largo)

PARTE I
----------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:34, on 08/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\EXPLORER.EXE
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Wireless Console 2\wcourier.exe
C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\ARCHIV~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe
C:\Archivos de programa\Spotify\spotify.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe

gominola · #4 (**permalink**) 08/08/2009, 12:37

Bueno, por lo visto hay que tener una antigüedad en el foro para poder poner enlaces web (el del servidor que te puse antes le quité el h t t p : / / w w w . y se ve que con eso no lo identificaba). Pero esta segunda parte está llena de enlaces....
Espero no te importe, pero sólo podrás verlo desde el archivo .txt del servidor.

GRACIAS!

zackrated · #5 (**permalink**) 08/08/2009, 13:04

Si estas infectada

, pero vamos a solucionarlo

Desactiva restaurar sistema
MI PC>Propiedades>Restaurar Sistema

Con todos los programas cerrados, ejecuta Hijackthis con la opción do a scan only y dale Fixcheked a estas entradas

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [XP-82A58A4E] C:\WINDOWS\system32\XP-82A58A4E.EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-82A58A4E.EXE
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.5.0.cab
O16 - DPF: {61FA0CB0-0806-46EA-B784-0F843285BA23} (TuentiFotoUploader Control) - http://estaticosak1.tuenti.com/clien...ader.16040.cab

Sin Reiniciar

Borra los siguientes archivos
XP-82A58A4E.EXE. Se encuentra ubicado en C:\WINDOWS\system32\XP-82A58A4E.EXE

wsctf.exe ubicado en C:\Windows\System32

Usa Unlocker si se resisten
http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe

Reinicia y pon un Nuevo log de Hijackthis, súbelo a tu servidor

gominola · #6 (**permalink**) 08/08/2009, 14:45

A ver, te paso el nuevo log:

sendspace.com/file/68b14n

Todo esto puede haber sido a raiz de instalar el Avast como antivirus???

Al iniciar ya no me salen las 2 ventanas de Mis documentos, pero me salen las ventanas que adjunto como pantallazos y que antes también me salían:

sendspace.com/file/ysj6m5

sendspace.com/file/tcfsvz

Muchas gracias por todo

zackrated · #7 (**permalink**) 08/08/2009, 14:54

El log esta limpio

No sabre decirte que fue culpa del Avast, pero yo no me confio mucho de ese antivirus

Esas ventanas que te salen, son porque utilizaste la herrmienta MSCONFIG.
Cuando te salga, marca la casilla que dice
No volver a mostrar este mensaje o iniciar la Utilidad de configuración del sistema cuando se inicie Windows

Usa CCleaner para limpiar registro y temporales
http://www.ccleaner.com/download/downloading

Reinicia y verifica que el problema este resuelto

gominola · #8 (**permalink**) 08/08/2009, 15:04

Todo perfecto Zackrated!! :)

Te estoy enormemente agradecida, encima contestando enseguida.
Agradecida a ti, y a todos los que teneis conocimientos y los compartis de forma altruista :)

Muchísimas gracias por todo!!
Que vaya bonito

zackrated · #9 (**permalink**) 08/08/2009, 15:06

De nada, para eso estamos

Entonces queda el tema Resuelto

Saludos