Virus doble tilde. Sin exito con procedimientos comunes

[FcoMLG78]

Hola a todos, que tal.



Pues eso. Otro fastidiado por la doble tilde. Parece esto una epidemia. Os listo los programas que he usado sin exito:



- DT-Kill

- Anti-Malware

- SuperAntiSpyware

- Spybot-SD

- Ad-Aware

- CCleaner



Me he bajado el HijackThis v2.0.4. Os pego el LOG, ¿ok?, a ver si me pudierais echar una mano.



Gracias por adelantado.



----------------------------------------------------------------------------------------------------



Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 16:53:47, on 17/06/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

c:\Archivos de programa\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

c:\Archivos de programa\Microsoft Security Essentials\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Intel\AMT\atchksrv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\lkcitdl.exe

C:\WINDOWS\system32\lkads.exe

C:\WINDOWS\system32\lktsrv.exe

C:\Archivos de programa\Intel\AMT\LMS.exe

C:\Archivos de programa\National Instruments\MAX\nimxs.exe

C:\Archivos de programa\National Instruments\Shared\Security\nidmsrv.exe

C:\WINDOWS\system32\nisvcloc.exe

C:\Archivos de programa\National Instruments\Shared\Tagger\tagsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\PDF Complete\pdfsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Intel\AMT\UNS.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Archivos de programa\Hewlett-Packard\Shared\hpqWmiEx.exe

C:\WINDOWS\system32\mqsvc.exe

C:\Archivos de programa\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe

C:\WINDOWS\system32\nipalsm.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\Archivos de programa\IVI Foundation\VISA\WinNT\NIvisa\niLxiDiscovery.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\IAM\bin\asghost.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\PDF Complete\pdfsty.exe

C:\Archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe

C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\WINDOWS\SMINST\Scheduler.exe

C:\WINDOWS\system32\AccelerometerSt.exe

C:\Archivos de programa\Intel\AMT\atchk.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\FixCamera.exe

C:\WINDOWS\tsnp2std.exe

C:\Archivos de programa\Hewlett-Packard\Shared\HpqToaster.exe

C:\WINDOWS\vsnp2std.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe

C:\Archivos de programa\Microsoft Security Essentials\msseces.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Archivos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\msiexec.exe

C:\Archivos de programa\Google\Chrome\Application\chrome.exe

C:\Archivos de programa\Trend Micro\HijackThis\HiJackThis.exe

C:\WINDOWS\system32\SearchProtocolHost.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=3082

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.alu.uma.es:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll

O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Archivos de programa\Softonic-Eng7\tbSof0.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [PDF Complete] "C:\Archivos de programa\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [PTHOSTTR] C:\Archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\ARCHIV~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\Hewlett-Packard\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe

O4 - HKLM\..\Run: [atchk] "C:\Archivos de programa\Intel\AMT\atchk.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [MSSE] "c:\Archivos de programa\Microsoft Security Essentials\msseces.exe" -hide -runkey

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [{3AF8CD6E-78D9-B08D-D52E-A894A660F247}] "C:\Documents and Settings\Administrador\Datos de programa\Muhyi\izic.exe"

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-21-3249064724-2879838889-3372754448-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'sqldb')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\System\sessmgr.exe /waitservice (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\System\sessmgr.exe /waitservice (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\national instruments\shared\mdns responder\nimdnsnsp.dll

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=es_es&c=81&bd=smb&pf=laptop

O17 - HKLM\System\CCS\Services\Tcpip\..\{0987AD03-37A3-4DA2-957B-573248501F73}: NameServer = 62.14.2.1,62.14.63.145

O17 - HKLM\System\CS1\Services\Tcpip\..\{0987AD03-37A3-4DA2-957B-573248501F73}: NameServer = 62.14.2.1,62.14.63.145

O17 - HKLM\System\CS2\Services\Tcpip\..\{0987AD03-37A3-4DA2-957B-573248501F73}: NameServer = 62.14.2.1,62.14.63.145

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: DeviceNP - DeviceNP.dll (file missing)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Archivos de programa\Intel\AMT\atchksrv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Bloqueo de dispositivos/auditoría de HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio Google Update (gupdate1cad468446a0dae) (gupdate1cad468446a0dae) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Archivos de programa\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqWmiEx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapihp.exe

O23 - Service: IviRegMgr - InterVideo - C:\Archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe

O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - C:\WINDOWS\system32\lkads.exe

O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - C:\WINDOWS\system32\lktsrv.exe

O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Archivos de programa\Intel\AMT\LMS.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Archivos de programa\National Instruments\MAX\nimxs.exe

O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - C:\Archivos de programa\National Instruments\Shared\Security\nidmsrv.exe

O23 - Service: NILM License Manager - Macrovision Corporation - C:\Archivos de programa\National Instruments\Shared\License Manager\Bin\lmgrd.exe

O23 - Service: National Instruments LXI Discovery Service (niLXIDiscovery) - National Instruments Corporation - C:\Archivos de programa\IVI Foundation\VISA\WinNT\NIvisa\niLxiDiscovery.exe

O23 - Service: National Instruments mDNS Responder Service (nimDNSResponder) - National Instruments Corporation - C:\Archivos de programa\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe

O23 - Service: NI PXI Resource Manager (nipxirmu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe

O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corporation - C:\WINDOWS\system32\nisvcloc.exe

O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments Corporation - C:\Archivos de programa\National Instruments\Shared\Tagger\tagsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\system32\OpcEnum.exe

O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Archivos de programa\PDF Complete\pdfsvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Archivos de programa\Archivos comunes\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Archivos de programa\Archivos comunes\SureThing Shared\stllssvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Archivos de programa\Intel\AMT\UNS.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe



--

End of file - 21193 bytes

[msc hotline sat]

Pues vemos varios ficheros sospechosos:



C:\Documents and Settings\Administrador\Datos de programa\Muhyi\izic.exe



C:\WINDOWS\System\sessmgr.exe



c:\archivos de programa\national instruments\shared\mdns responder\nimdnsnsp.dll



C:\WINDOWS\system32\imapihp.exe





envienoslos para analizar y tras recibirlos implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-6-2010





y otra vez recuerde: https://foros.zonavirus.com/viewtopic.php?f=5&t=29543

[FcoMLG78]

Hola de nuevo.



Gracias por la respuesta tan rapida.



Os mando los archivos que mencionais. El [b]sessmgr.exe[/b] no lo encuentro en C:\WINDOWS\system, sino en C:\WINDOWS\system32. El ELIMOVER me indica que en la primera ruta no se encuentra ese archivo. Os mando el que esta en la segunda ruta.



Un saludo.

[msc hotline sat]

Los ficheros sospechosos no deben anexarse a los Temas !!! Asi los podría bajar cualquiera.



Siempre decimos lo mismo:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





Veo que no es asiduo de este foro y no lo sabía. Tengalo en cuenta para el futuro.





Y aunque cerramos dentro de 5 minutos voy a ver lo que nos ha enciado, a ver si le puedo adelantar algo.



saludos



ms, 17-6-2010

[msc hotline sat]

Efectivamente el izic.exe es una variante de ZBOT que conviene que nos envie para analizar



Mientras añada .VIR a la extension de dicho fichero para que no se cvargue a partir del proximo reinicio, y con ello esperamos que dejará de salirle el doble acento



Mañana ya lo monitorizaremos e implementaremos su control en el ELISTARA, pero de momento, con lo indicado, ya lo tendrá aparcado



saludos



ms, 17-6-2010

[FcoMLG78]

Hola de nuevo.



Muchísimas gracias. Siento lo de la anexión incorrecta del archivo... me despisté incluso tras haber leído previamente las instrucciones.



Con respecto al archivo [b]izic.exe[/b], en el foro [b]www.forospyware.com[/b], me indicaron eliminar primero la casilla del HijackThis (marcando la casilla y pulsando "Fix checked"), y luego eliminar el archivo usando el OTM de OldTimer, que lo que ha hecho realmente ha sido moverlo a otra carpeta y cambiarle el nombre. Os copio aquí el LOG generado, por si os pudiera servir de feedback.



Muchas gracias de nuevo. Un saludo.



---------------------------------------------------------------



All processes killed

========== FILES ==========

C:\Documents and Settings\Administrador\Datos de programa\Muhyi\izic.exe moved successfully.

C:\Documents and Settings\Administrador\Datos de programa\Muhyi folder deleted successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully



[EMPTYTEMP]



User: Administrador

->Temp folder emptied: 956886 bytes

->Temporary Internet Files folder emptied: 314355 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 38729582 bytes

->Google Chrome cache emptied: 95175583 bytes

->Flash cache emptied: 8090 bytes



User: All Users



User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes



User: LocalService

->Temp folder emptied: 65984 bytes

->Temporary Internet Files folder emptied: 51740 bytes



User: NetworkService

->Temp folder emptied: 44614 bytes

->Temporary Internet Files folder emptied: 36351 bytes



User: sqldb

->Temp folder emptied: 4848867 bytes

->Temporary Internet Files folder emptied: 5842085 bytes

->FireFox cache emptied: 16092961 bytes

->Flash cache emptied: 405 bytes



%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 2909 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 48197 bytes

RecycleBin emptied: 0 bytes



Total Files Cleaned = 155.00 mb





OTM by OldTimer - Version 3.1.12.2 log created on 06172010_180311

[msc hotline sat]

Cada foro tiene sus preferencias. Nosotros no comulgamos con las del que menciona, ni falta que nos hace. Disponemos de ingenieria propia que desarrolla utilidades en funcion de las necesidades que se nos presentan, y en este caso será el ELISTARA 21.19 de mañana el que detectará y eliminará el fichero (incluso con extensión .VIR) y eliminará las claves de registro víricas o restaurará las modificadas, solucionando totalmente el problema sin otras historias.



Además, a partir del ELISTARA de hoy 21.18 ya se detectan heuristicamente las variantes de dicha familia de malwares, y se pedirán muestras para analizar de los no controlados, como ya hacemos con otras muchas familias de troyanos.



Vea lo que comentamos al respecto en http://www.zonavirus.com/noticias/2010/mail-muy-peligroso-que-esta-llegando-a-nuestros-clientes-y-demas-usuarios-claro-y-que-causa-ademas-el-tipico-doble-acento-residual-.asp , es una de las maneras como entra dicha familia en los ordenadores.



saludos



ms, 17-6-2010