SOSPECHA DE POISON IVY... AVER.

Responder
teniter
Asiduo al foro
Asiduo al foro
Mensajes: 110
Registrado: 21 Dic 2007, 18:55

SOSPECHA DE POISON IVY... AVER.

Mensaje por teniter » 21 Abr 2011, 01:17

Hola amigos como se encuentran espero que bien, les escribod e nuevo porque me hedado cuneta que cada vez que inicio siempre esta ejecutando "firefox.exe" y "pokernetService.net.exe" sin que yo los active, la cuestion es que intento terminar el proceso de "firefox.exe" mediante el administrador de tares, y aparece enseguida y siemrpe se mantiene en el uso de memoria de 22 KB aproximadamente. bueno buscando encontre que posiblemnte se deba a un troyano llamado poison iy, quisera saber que hace este troyano y que me puede afectar. Aqui les pego el sproces.



(20-4-2011 23:16:02 GMT)

SProces v5.3 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: ELDER-46DA7F6C2

Nombre Usuario: Administrador



Procesos Activos:

D:\WINDOWS\SYSTEM32\SMSS.EXE

D:\WINDOWS\SYSTEM32\WINLOGON.EXE

D:\WINDOWS\SYSTEM32\SERVICES.EXE

D:\WINDOWS\SYSTEM32\LSASS.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SPOOLSV.EXE

D:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE

D:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\DEVICEHELPER\DEVICEMANAGER.EXE

D:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

D:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

D:\ARCHIVOS DE PROGRAMA\MCAFEE\SITEADVISOR\MCSACORE.EXE

D:\WINDOWS\EXPLORER.EXE

D:\WINDOWS\SYSTEM32\HPZIPM12.EXE

D:\ARCHIVOS DE PROGRAMA\SOLIDWORKS CORP\SOLIDWORKS FLOW SIMULATION\BINCFW\STANDALONESLV.EXE

D:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

D:\WINDOWS\SYSTEM32\SVCHOST.EXE

D:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

D:\WINDOWS\SYSTEM32\RUNDLL32.EXE

D:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE

D:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

D:\WINDOWS\SYSTEM32\CTFMON.EXE

D:\ARCHIVOS DE PROGRAMA\IDIOMAX\TRANSLATION SUITE 4.0\TRASWORD.EXE

D:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\WINDOWSSEARCH.EXE

D:\ARCHIVOS DE PROGRAMA\IDIOMAX\TRANSLATION SUITE 4.0\TRDLAUNCH.EXE

D:\ARCHIVOS DE PROGRAMA\IDIOMAX\TRANSLATION SUITE 4.0\TRSLAWEB.EXE

D:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

D:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

D:\WINDOWS\SYSTEM32\TASKMGR.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

D:\ARCHIVOS DE PROGRAMA\ADOBE\READER 8.0\READER\ACRORD32INFO.EXE

D:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DESCARGAS\SPROCES(2).EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - D:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Barra de Traducción de IdiomaX - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - D:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - D:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [msnmsgr] "D:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKLM\..\Run: [USB Antivirus] D:\Archivos de programa\USB Disk Security\USBGuard.exe

O4 - HKLM\..\Run: [egui] "D:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [IdiomaX Office] D:\Archivos de programa\IdiomaX\Translation Suite 4.0\IdxOffice.exe

O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE

O4 - Global Startup: Ayudante de Traducción IdiomaX.lnk = D:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrasWord.exe

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = D:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: ninja.lnk = D:\Archivos de programa\Ninja\ninja.exe

O4 - Global Startup: Traductor de Correos IdiomaX.lnk = D:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrdLaunch.exe

O4 - Global Startup: Traductor de Web IdiomaX.lnk = D:\Archivos de programa\IdiomaX\Translation Suite 4.0\TrslaWeb.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Archivos de programa\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - D:\Archivos de programa\Bodog Poker\BPGame.exe (file missing)

O9 - Extra button: Mostrar/Ocultar Barra de Traducción - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - D:\Archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll

O9 - Extra button: UB - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\UB\UB.lnk (file missing) (HKCU)

O9 - Extra button: 365 Bonitas - {2afed132-dab8-4c91-8f14-5e98a6b50ddb} - D:\Documents and Settings\Administrador\Menú Inicio\Programas\365 Bonitas\365 Bonitas.lnk (HKCU)

O9 - Extra button: PokerTime - {6541995C-F197-44C2-8E3E-9AB2B44AAB97} - D:\Microgaming\Poker\PokerTimeMPP\MPPoker.exe (HKCU)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - D:\Archivos de programa\LizardTech\Express View\expressview.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - d:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - D:\Archivos de programa\LizardTech\Express View\expressview.dll

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - D:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - D:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - D:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: - {56F9679E-7826-4C84-81F3-532071A8BCC5} - D:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Información Adicional:

----------------------

.scr: AutoCADScriptFile -> "D:\WINDOWS\notepad.exe" "%1"

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hardlock.sys (de 453632 bytes) () Aladdin Knowledge Systems

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455936 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\sptd.sys (de 717296 bytes) ()



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: CdaC15BA - Macrovision Europe Ltd - D:\WINDOWS\system32\drivers\CDAC15BA.SYS

O23 - Service: DeviceManager - Unknown owner - D:\Archivos de programa\Archivos comunes\DeviceHelper\DeviceManager.exe

O23 - Service: eamon - ESET - D:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: ESET Service (ekrn) - ESET - D:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: GiveIO - Unknown owner - D:\WINDOWS\system32\drivers\GiveIO.sys (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - D:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: Haspnt - Aladdin Knowledge Systems - D:\WINDOWS\system32\drivers\Haspnt.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "D:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - D:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: NextMove - Baldor Optimised Control - D:\WINDOWS\system32\drivers\NEXTMOVE.SYS

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - Unknown owner - D:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe" runservice -w -N "pgsql-8.3" -D "D:\Archivos de programa\PostgreSQL\8.3\d (file missing)

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Pokernet - Badbeat.com - D:\Documents and Settings\Administrador\Datos de programa\MyPokerLab\Pokernet\Pokernet Service.exe

O23 - Service: Remote Solver for Flow Simulation 2010 - Mentor Graphics Corporation - D:\Archivos de programa\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - D:\Archivos de programa\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: EagleNT - Unknown owner - D:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\EagleNT.sys (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - D:\Archivos de programa\Lavalys\EVEREST Corporate Edition\kerneld.wnt

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - D:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - D:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Unknown owner - D:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys (file missing)

O23 - Service: Huawei DataCard USB PNP Device (hwusbdev) - Unknown owner - D:\WINDOWS\SYSTEM32\DRIVERS\ewusbdev.sys (file missing)

O23 - Service: ialm - Intel Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - D:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Modem Interface USB Device for Legacy Serial Communication (qcusbser) - TCT International Mobile Ltd - D:\WINDOWS\SYSTEM32\DRIVERS\qcusbser.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - D:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - D:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SolidWorks Licensing Service - SolidWorks - D:\Archivos de programa\Archivos comunes\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - ZTE Inc. - D:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - D:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - D:\WINDOWS\System32\hidserv.dll (file missing)



40 Servicios.

15 de Carga Automatica.

23 de Carga Manual.

2 Deshabilitados.

Avatar de Usuario
lucl
Moderador
Moderador
Mensajes: 6499
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por lucl » 21 Abr 2011, 07:46

Prueba elistara y peganos el log que te dejara en C infosat.txt





http://www.zonavirus.com/descargas/descargar-elistara.asp





saludos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93624
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por msc hotline sat » 24 Abr 2011, 10:43

Y además de probar el ELISTARA y postearnos el informe resultante, añade .VIR a este fichero:



D:\WINDOWS\system32\wlcomm\svchost.exe



ya que debe tratarse de un malware, pues el SVCHOST lanzador de tareas de windows está en la carpeta de sistema, no en esta que hay en la de WLCOMM



Tras ello reinicie y envienos dicho fichero para analizar:





>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 24-4-2011

teniter
Asiduo al foro
Asiduo al foro
Mensajes: 110
Registrado: 21 Dic 2007, 18:55

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por teniter » 26 Abr 2011, 06:44

Disculpe la demora esto fue loq ue me dejo el elistara







(21-4-2011 23:51:33 (GMT))

EliStartPage v23.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Abril del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1978

Nº Total de Ficheros: 29391

Nº de Ficheros Analizados: 5014

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-4-2011 00:17:46 (GMT))

EliStartPage v23.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Abril del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 20702

Nº Total de Ficheros: 231647

Nº de Ficheros Analizados: 37553

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Ademas esa carpeta no me sale (aun poniendo que se visualicen los archivos ocultos)



Gracias de antemano.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93624
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por msc hotline sat » 26 Abr 2011, 07:20

Pues elimine estas dos claves que lo lanzan:



O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\system32\wlcomm\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe





Para ello, lance el SPROCES, pulse en SCAN, marque las dos claves y pulse en ELIMINAR





Luego reinicie normalmente, y vea si aparece la carpeta con el fichero, si es asi, envienoslo para anlizar, y en cualquier caso diganos si persiste alguna anomalía, gracias



saludos



ms, 26-4-2011

teniter
Asiduo al foro
Asiduo al foro
Mensajes: 110
Registrado: 21 Dic 2007, 18:55

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por teniter » 02 May 2011, 00:15

Lo intentare a ver, disculpen las demoras loq ue pasa e que no tengo internet y ahora tengo que ir a un cafe para poder escribirm gracias de antemano.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93624
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por msc hotline sat » 02 May 2011, 11:50

Bueno, cuando haya podido enviarnos el fichero sospechoso pedido,



D:\WINDOWS\system32\wlcomm\svchost.exe



lo analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



fijese bien que sea el de esta carpeta, no se confunda con el del sistema, que tiene el mismo nombre y estará en C:\windows\system32\





saludos



ms, 2-5-2011

teniter
Asiduo al foro
Asiduo al foro
Mensajes: 110
Registrado: 21 Dic 2007, 18:55

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por teniter » 06 May 2011, 22:40

Hola amigos inetnte otravez y nada no me aparece esa carpeta ademas con respecto a la aclaracion que me hacen acerca de la posible confusion de las carpetas, yo las carpetas del sistema los tengo que le D y no en el V. Asi que esa carpeta (C:\winodws\system32\), me apareceria en el D y si me aparece, pero no el que usteds me piden que envie es decir la carpeta "wlcomm", no se porque.



Gracias de antemano.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 93624
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SOSPECHA DE POISON IVY... AVER.

Mensaje por msc hotline sat » 07 May 2011, 09:14

A ver, en el registro de sistema de su ordenador tiene estas claves:



O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\system32\wlcomm\svchost.exe



O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\system32\wlcomm\svchost.exe





que ya le hemos dicho que elimine, y vea que están lanzando este fichero:



D:\WINDOWS\system32\wlcomm\svchost.exe





que es el que le pedimos que nos envie.



Si tras eliminar las claves y reiniciar, sigue sin aparecerle, lo daremos por solucionado aunque no podamos saber qué es lo que era, pero dicen que muerto el perro se acabó la rabia ... :?



saludos



ms, 7-5-2011

Responder

Volver a “Foro HijackThis - copia y pega tu log”