Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Responder
elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 10 Abr 2010, 23:40

Hola, a ver si me podéis ayudar. Sin apreciar ninguna conexión ni correo extraño, el otro día el arranque del ordenador se ralentizó muchísimo y me apareción un mensaje que decía: "Norton Internet Worm Protection está desactivado" (que yo sepa nunca lo he tenido instalado). El sistema va muy despacio, abrir una ventana o un programa le cuesta muchísimo. El procesador casi siempre está al 100%. He pasado el CCleaner, SuperAntiSpyware, Trend Micro HouseCall, Avast, Malwarebytes, Aadware, el Spybot lo paré tras 8 horas y ninguno ha encontrado nada, excepto alguna cookie al principio. Aparentemente todo funciona, internet y programas pero más despacio.



Pongo el log.



Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 23:12:09, on 10/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17023)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\HPQ\IAM\bin\asghost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\SMINST\Scheduler.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\ARCHIV~1\MI3AA1~1\rapimgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\agrsmsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\DOCUME~1\ANGELM~1\CONFIG~1\Temp\HouseCall\housecall.bin

C:\Archivos de programa\TrendMicro\HiJackThis\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\HPQ\IAM\Bin\ItIeAddIN.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [PTHOSTTR] C:\Archivos de programa\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SynTPStart] C:\Archivos de programa\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {FAB2BB9D-91E9-457E-9D42-75A7FCCBBC00} (CDFusionActiveXCtl Object) - http://www.avataritag.com/app/Plugin/DFusionHomeWebPlugIn.Installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{28377AA6-A468-4F92-B10B-862C4616EE38}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{28377AA6-A468-4F92-B10B-862C4616EE38}: NameServer = 192.168.1.1

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: OneCard - C:\Archivos de programa\HPQ\IAM\Bin\AsWlnPkg.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 8809 bytes

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por msc hotline sat » 11 Abr 2010, 08:20

Dado que no usas antivirus de Trend, vemos este fichero sospechoso, envianoslo para analizar:



C:\DOCUME~1\ANGELM~1\CONFIG~1\Temp\HouseCall\housecall.bin





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



y ademas prueba el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]




saludos



ms, 10-4-2010

elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 11 Abr 2010, 19:36

He enviado el archivo housecall.bin, de todos modos pasé el antivirus online Trend Micro HouseCall como indiqué.



He pasado el Elistara, no ha encontrado nada pero me ha dado un mensaje acerca del "autorun.inf" que hay en el disco E:\ pero este disco es el de recuperación de sistema, está oculto y no puedo abrirlo. Pongo el infosat.txt



(11-4-2010 15:47:42 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\ONECARD] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\HPQ\IAM\BIN\ASWLNPKG.DLL

E:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Linea Eliminada del HOSTS --> 0.0.0.0 virusin

Linea Eliminada del HOSTS --> 0.0.0.0 www.vir

Linea Eliminada del HOSTS --> 0.0.0.0 project

Linea Eliminada del HOSTS --> 0.0.0.0 www.pro

Linea Eliminada del HOSTS --> 0.0.0.0 novirus

Linea Eliminada del HOSTS --> 0.0.0.0 www.nov

Linea Eliminada del HOSTS --> 0.0.0.0 www.ant

Linea Eliminada del HOSTS --> 0.0.0.0 zeustra

Linea Eliminada del HOSTS --> 0.0.0.0 www.zeu

Linea Eliminada del HOSTS --> 0.0.0.0 www.mal

Linea Eliminada del HOSTS --> 0.0.0.0 www3.ma

Linea Eliminada del HOSTS --> 0.0.0.0 forum.m

Linea Eliminada del HOSTS --> 0.0.0.0 www.thr

Linea Eliminada del HOSTS --> 0.0.0.0 threate

Linea Eliminada del HOSTS --> 0.0.0.0 www.av-

Linea Eliminada del HOSTS --> 0.0.0.0 av-comp

Linea Eliminada del HOSTS --> 0.0.0.0 av-test

Linea Eliminada del HOSTS --> 0.0.0.0 www.av-

Linea Eliminada del HOSTS --> 0.0.0.0 www.sca

Linea Eliminada del HOSTS --> 0.0.0.0 www.vir

...

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(11-4-2010 17:13:39 (GMT))

EliStartPage v20.69 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8529

Nº Total de Ficheros: 145889

Nº de Ficheros Analizados: 75418

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por msc hotline sat » 11 Abr 2010, 21:19

Sí, puede que el fichero de Trend fuera del escaneo ONLINE que hiciera, en tal caso nada...



Lo del AUTORUN.INF dejalo tambien, en este caso es del sistema de la marca de tu ordenador.



Pues a ver si con el SPROCES vemos mas que con el HJT:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 11-4-2010

elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 12 Abr 2010, 23:34

He pasado el Sporces, pongo el log.



(12-4-2010 21:26:00 GMT)

SProces v4.4 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: AMC

Nombre Usuario: Angel Manuel



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\ARCHIVOS DE PROGRAMA\HPQ\HP WIRELESS ASSISTANT\HP WIRELESS ASSISTANT.EXE

C:\WINDOWS\SMINST\SCHEDULER.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\ARCHIV~1\MI3AA1~1\RAPIMGR.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\AGRSMSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ULEAD SYSTEMS\DVD\ULCDRSVR.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\MSIEXEC.EXE

O23 - Service: C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\SETUP\AVAST.SETUP

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\ANGEL MANUEL\ESCRITORIO\SPROCES.EXE

Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows XP 32 Bit (NETw5x32)C:\DOCUMENTS AND SETTINGS\ANGEL MANUEL\ESCRITORIO\SPROCES.EXE

-

Intel CorporationR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

- C:\WINDOWS\SYSTEM32\DRIVERS\NETw5x32.sys

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666 (0)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\HPQ\IAM\Bin\ItIeAddIN.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKLM\..\Run: [PTHOSTTR] C:\Archivos de programa\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SynTPStart] C:\Archivos de programa\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - Global Startup: Adobe Gamma Loader.lnk

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cabO23 - Service:

Controlador de vínculo paralelo directo (Ptilink)O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - (Java Plug-in 1.6.0_02)Parallel Technologies, Inc. - - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.syshttp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab



O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.6.0_04) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FAB2BB9D-91E9-457E-9D42-75A7FCCBBC00} (CDFusionActiveXCtl Object) - http://www.avataritag.com/app/Plugin/DFusionHomeWebPlugIn.Installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{28377AA6-A468-4F92-B10B-862C4616EE38}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

O23 - Service:

Listado de Servicios (Carga Automatica):

SASENUM----------------------------------------

- SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYSO23 - Service: Agere Modem Call Progress Audio (AgereModemAudio)

- Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sysO23 - Service: avast! Antivirus - ALWIL Software

- C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Controlador de dispositivo de minipuerto SMC IrCC (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs)O23 - Service: - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Dongle SigmaTel USB-IrDA (STIrUsb) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\irstusb.sys

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: WIBU-KEY Kernel Driver (WIBUKEY) - WIBU-SYSTEMS AG - C:\WINDOWS\SYSTEM32\DRIVERS\Wibukey.sys



O23 - Service: Listado de Servicios (Carga Manual):

------------------------------------

Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sysO23 - Service:

ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AE Audio Service (AEAudio) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Broadcom 440x 10/100 Integrated Controller (bcm4sbxp) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\bcm4sbxp.sys

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: ICM532A (DCamUSBUVT) - IC Media Corporation - C:\WINDOWS\SYSTEM32\Drivers\usbuvt.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: eabusb - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\eabusb.sys

O23 - Service: HBtnKey - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\SYSTEM32\DRIVERS\cpqbttn.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Controlador del adaptador Intel(R) PRO/Wireless 3945ABG para Windows XP de 32 bits (NETw3x32) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw3x32.sys

O23 - Service: Controlador del adaptador Intel(R) Wireless WiFi Link para Windows XP de 32 bits (NETw4x32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw4x32.sys

O23 - Service: Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows XP 32 Bit (NETw5x32) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw5x32.sys

O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51)O23 - Service: - Controlador de vínculo paralelo directo (Ptilink)Intel® Corporation - - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sysParallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys



O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de dispositivo de minipuerto SMC IrCC (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: Dongle SigmaTel USB-IrDA (STIrUsb) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\irstusb.sys

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: *dmboot* - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sysO23 - Service: dmboot

- Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

***O23 - Service: *O23 - Service: dmiodmio - Microsoft Corp., Veritas Software - - C:\WINDOWS\SYSTEM32\drivers\dmio.sysMicrosoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys



**O23 - Service: dmload* - *Microsoft Corp., Veritas Software.O23 - Service: - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: Google Updater Service (gusvc) - O23 - Service: GoogleGoogle Updater Service (gusvc) - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe -

Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exeO23 - Service: hpqwmiex

Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - O23 - Service: Macrovision CorporationInstallDriver Table Manager (IDriverT) - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe -

Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: O23 - Service: Java Quick Starter (JavaQuickStarterService)Java Quick Starter (JavaQuickStarterService) - Unknown ownerUnknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing) (file missing)



O23 - Service: O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService)LightScribeService Direct Disc Labeling Service (LightScribeService) - - Hewlett-Packard CompanyHewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe



O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exeO23 - Service:

PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe



42 Servicios.

8 de Carga Automatica.

25 de Carga Manual.

9 Deshabilitados.

elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 14 Abr 2010, 23:58

Pasé el Sproces y ya puse el log... sigo esperando, gracias.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por msc hotline sat » 15 Abr 2010, 07:28

Pues envianos este fichero para analizar:



C:\WINDOWS\SYSTEM32\DRIVERS\NETw5x32.sys





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 15-4-2010

elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 15 Abr 2010, 09:46

Fichero enviado.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por msc hotline sat » 15 Abr 2010, 10:51

Analizado el fichero recibido ha resultado ser un driver de wifi de INTEL, por lo que no se procede a hacer nada con él.



No se ve ninguna clave maliciosa en el log. Por si se tratara de un RootKit como el Bagle, pruebe el ELIBAGLA:


[quote]


[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]


SALUDOS



MS, 15-3-2010

elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 16 Abr 2010, 13:30

Pasado el Elibagle y todo sigue igual, pongo el infosat.txt



(16-4-2010 10:51:58 (GMT))

EliBagle v13.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(16-4-2010 11:20:47 (GMT))

EliBagle v13.79 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8648

Nº Total de Ficheros: 146565

Nº de Ficheros Analizados: 20725

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por msc hotline sat » 17 Abr 2010, 19:45

Key Eliminada [WinLogon\Notify\ONECARD] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\HPQ\IAM\BIN\ASWLNPKG.DLL

E:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Linea Eliminada del HOSTS --> 0.0.0.0 virusin





Pus vamos a mirar por otro lado...



en el HOSTS había muchas lineas que impedían el acceso a URL de antivirus como Linea Eliminada del HOSTS --> 0.0.0.0 virusin





Ahondando al respecto vemos que estas entradas en el HOSTS :



Hosts: 0.0.0.0 virusin

Hosts: 0.0.0.0 www.vir

Hosts: 0.0.0.0 project

Hosts: 0.0.0.0 www.pro

Hosts: 0.0.0.0 novirus

Hosts: 0.0.0.0 www.nov

Hosts: 0.0.0.0 www.ant

Hosts: 0.0.0.0 zeustra

Hosts: 0.0.0.0 www.zeu

Hosts: 0.0.0.0 www.mal

Hosts: 0.0.0.0 www3.ma

Hosts: 0.0.0.0 forum.m

Hosts: 0.0.0.0 www.thr

Hosts: 0.0.0.0 threate

Hosts: 0.0.0.0 www.av-

Hosts: 0.0.0.0 av-comp

Hosts: 0.0.0.0 av-test

Hosts: 0.0.0.0 www.av-

Hosts: 0.0.0.0 www.sca

Hosts: 0.0.0.0 www.vir

Hosts: 0.0.0.0 adwarer

Hosts: 0.0.0.0 www.adw

Hosts: 0.0.0.0 malware

Hosts: 0.0.0.0 www.mal

Hosts: 0.0.0.0 spyware

Hosts: 0.0.0.0 www.spy

Hosts: 0.0.0.0 avsoft.

Hosts: 0.0.0.0 www.avs

Hosts: 0.0.0.0 onecare

Hosts: 0.0.0.0 anubis.

Hosts: 0.0.0.0 wepawet

Hosts: 0.0.0.0 iseclab

Hosts: 0.0.0.0 www.ise

Hosts: 0.0.0.0 www.fre

Hosts: 0.0.0.0 freespa

Hosts: 0.0.0.0 sunbelt

Hosts: 0.0.0.0 www.sun

Hosts: 0.0.0.0 www.pre

Hosts: 0.0.0.0 prevx.c

Hosts: 0.0.0.0 analysi

Hosts: 0.0.0.0 www.joe

Hosts: 0.0.0.0 joebox.

Hosts: 0.0.0.0 gmer.ne

Hosts: 0.0.0.0 www.gme

Hosts: 0.0.0.0 antiroo

Hosts: 0.0.0.0 www.ant

Hosts: 0.0.0.0 sectool

Hosts: 0.0.0.0 www.san

Hosts: 0.0.0.0 sandbox

Hosts: 0.0.0.0 mwcolle

Hosts: 0.0.0.0 www.amt

Hosts: 0.0.0.0 amtso.o

Hosts: 0.0.0.0 www.che

Hosts: 0.0.0.0 checkvi

Hosts: 0.0.0.0 www.che

Hosts: 0.0.0.0 check-m

Hosts: 0.0.0.0 www.ant

Hosts: 0.0.0.0 anti-ma

Hosts: 0.0.0.0 www.av-

Hosts: 0.0.0.0 www.wil

Hosts: 0.0.0.0 wildlis

Hosts: 0.0.0.0 www.aav

Hosts: 0.0.0.0 central

Hosts: 0.0.0.0 www.sta

Hosts: 0.0.0.0 staysaf

Hosts: 0.0.0.0 www.sup

Hosts: 0.0.0.0 superan

Hosts: 0.0.0.0 www.kas

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 www.kas

Hosts: 0.0.0.0 kaspers

Hosts: 0.0.0.0 www.avp

Hosts: 0.0.0.0 avp.ru



las puede causar alguna variante de algun rootkit , por lo que conviene ver si el McAfee RootKit detective encuentra algun fichero corriendo en proceso oculto:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



Posteanos el informe resultante...



Y aparte si arrancando en modo seguro puedes encontrar este fichero:





c:\windows\system32\msgsvc.dll



envianoslo para analizar





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-4-2010

elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 17 Abr 2010, 22:21

Ya he enviado el fichero: msgsvc.dll



Pongo el log del Rootkit





McAfee(R) Rootkit Detective 1.1 scan report

On 17-04-2010 at 20:53:36

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: SSDT-hook

Object-Name: ZwClose

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys



Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwOpenThread

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys



Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwRenameKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys



Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:



Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Unable to access registry key



Object-Type: Registry-key

Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Unable to access registry key



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: ujdew

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Status: Hidden



Object-Type: Registry-value

Object-Name: s1

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: s2

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: g0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-value

Object-Name: h0

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Status: Hidden



Object-Type: Registry-key

Object-Name: DataEM\ControlSet001\Services\sptd\Cfg

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Process

Object-Name: services.exe

Pid: 1208

Object-Path: C:\WINDOWS\system32\services.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1488

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1396

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: igfxpers.exe

Pid: 404

Object-Path: C:\WINDOWS\system32\igfxpers.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1644

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: wmiprvse.exe

Pid: 3040

Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe

Status: Visible



Object-Type: Process

Object-Name: SynTPEnh.exe

Pid: 1708

Object-Path: C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: igfxsrvc.exe

Pid: 532

Object-Path: C:\WINDOWS\system32\igfxsrvc.exe

Status: Visible



Object-Type: Process

Object-Name: csrss.exe

Pid: 1124

Object-Path: C:\WINDOWS\system32\csrss.exe

Status: Visible



Object-Type: Process

Object-Name: HP Wireless Ass

Pid: 1868

Object-Path: C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

Status: Visible



Object-Type: Process

Object-Name: AvastSvc.exe

Pid: 2024

Object-Path: C:\Archivos de programa\Alwil Software\Avast5\AvastSvc.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 412

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: ctfmon.exe

Pid: 536

Object-Path: C:\WINDOWS\system32\ctfmon.exe

Status: Visible



Object-Type: Process

Object-Name: smss.exe

Pid: 1064

Object-Path: C:\WINDOWS\System32\smss.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 1220

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: hkcmd.exe

Pid: 384

Object-Path: C:\WINDOWS\system32\hkcmd.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 2864

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 1160

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 296

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1756

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: AvastUI.exe

Pid: 424

Object-Path: C:\ARCHIV~1\ALWILS~1\Avast5\avastUI.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 4020

Object-Path: C:\DOCUME~1\ANGELM~1\CONFIG~1\Temp\Directorio temporal 2 para McafeeRootkitDetective.zip\Rootkit_Detective.exe

Status: Visible



Object-Type: File/Folder

Object-Name: MASTER.LOG

Pid: n/a

Object-Path: C:\System Recovery\MASTER.LOG

Status: Hidden



Object-Type: Process

Object-Name: explorer.exe

Pid: 644

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1544

Object-Path: C:\WINDOWS\System32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: SUPERAntiSpywar

Pid: 460

Object-Path: C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1672

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: spoolsv.exe

Pid: 1424

Object-Path: C:\WINDOWS\system32\spoolsv.exe

Status: Visible



Scan complete. Found hidden Processes and Files: 1 .

Total files scanned: 148337

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por msc hotline sat » 18 Abr 2010, 07:02

Bien, parece que sí ha encontrado algo:



[b][i]Scan complete. Found hidden Processes and Files: 1 .[/i][/b]



y al respecto vemos :



[b][i]Object-Type: File/Folder

Object-Name: MASTER.LOG

Pid: n/a

Object-Path: C:\System Recovery\MASTER.LOG

Status: Hidden[/i]
[/b]




Muy raro que encuentre un proceso activo de dicho fichero en System Recovery ... Mira si lo encuentras y nos lo puedes enviar.



Y como que dices que ya has enviado el msgsvc.dll, mañana, cuando volvamos al trabajo en SATINFO, lo recibiremos y tras analizarlo te informaremos del resultado



y si recibimos el otro que te pedimos ahora, tambien.



saludos



ms, 18-4-2010

elcapi
Mensajes: 8
Registrado: 10 Abr 2010, 23:23

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por elcapi » 19 Abr 2010, 17:59

No me deja abrir la carpeta SYSTEM RECOVERY, me dice: acceso denegado.



Lo he intentado entrando en modo administrador y en modo a prueba de fallos, seguro que me podéis decir como hacerlo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Portatil lento, CPU 100%, Mensaje Norton Worm Protection

Mensaje por msc hotline sat » 19 Abr 2010, 18:16

Pues posiblemente se trate de una particion del disco donde el fabricante guarde su O.S. y herramientas.



Mejor dejala estar, no te afecta.



saludos



ms, 19-4-2010

Responder

Volver a “Foro HijackThis - copia y pega tu log”