Problema de urgencia inmedita... Neat davinci server.com!!!! S.O.S.

Responder
Logos
Mensajes: 2
Registrado: 17 Nov 2011, 19:27

Problema de urgencia inmedita... Neat davinci server.com!!!! S.O.S.

Mensaje por Logos » 17 Nov 2011, 20:21

hola, le comento que trabajo reparando pc's y me encontre con un problema bastante complejo. tengo una pc que al hacer cualquier buqueda en google, ya sea usando firefox o usando explorer, me da lo tipicos sitios sugerido, hasta ahi todo normal, el tema es que cuando entro a cualquiera de esos links automaticamente me dirige a paginas de publicidad, he llegado a notar que en la parte de abajo de la pantalla se lee que me redirecciona a neatdavinciserver.com, y tira varias ip. ya utilice malwarebytes, spyboy, y avast, ninguno detecto nada, por lo tanto decidi tirar un hijack y pasarselos a ustedes que tantas veces me han resuelto problemas...

sin mas les dejo el log y espero ansioso su respuesta, gracias



Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:34:21, on 17/11/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft Security Client\Antimalware\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

C:\Archivos de programa\Archivos comunes\Acronis\CDP\afcdpsrv.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS\system32\msiexec.exe

C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.InfoSpyware.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infospyware.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~4\Office14\GROOVEEX.DLL

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~4\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {707ABFC2-1D27-4A10-A6E4-6BE6BDF9FB11} (UltraMJCamX Class) - http://farmamedcam.dyndns.org/UltraMJCamX.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rioinformatica.com

O17 - HKLM\Software\..\Telephony: DomainName = rioinformatica.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{F7D2E26E-7AF1-481F-976D-D8DFF871EBF3}: NameServer = 192.168.1.20,192.168.1.10,10.130.65.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rioinformatica.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = rio.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = rioinformatica.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = rio.local

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = rio.local

O18 - Protocol: HPDCS - {BA135F49-A12C-4E26-A2C4-6EA945999072} - C:\Archivos de programa\Archivos comunes\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Servicio Acronis Nonstop Backup (afcdpsrv) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\CDP\afcdpsrv.exe

O23 - Service: CYGQSYXUECFD - Unknown owner - C:\DOCUME~1\Juan\CONFIG~1\Temp\CYGQSYXUECFD.exe (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe



--

End of file - 7969 bytes





Muchas gracias de nuevo.



Logos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Problema de urgencia inmedita... Neat davinci server.com!!!! S.O.S.

Mensaje por msc hotline sat » 18 Nov 2011, 10:21

Vemos esta clave sospechosa:



O23 - Service: CYGQSYXUECFD - Unknown owner - C:\DOCUME~1\Juan\CONFIG~1\Temp\CYGQSYXUECFD.exe (file missing)



Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]




Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]


lo analizaremos e informaremos al respecto.



saludos



ms, 18-11-2011

RARBA

Logos
Mensajes: 2
Registrado: 17 Nov 2011, 19:27

Re: Problema de urgencia inmedita... Neat davinci server.com!!!! S.O.S.

Mensaje por Logos » 18 Nov 2011, 17:38

Hola, ante todo gracias por la pronta respuesta, paso a comentar como estan llendo las cosas. elimine la entrada sospechosa, pero el problema sigue asi que me dedique a descargar los programas que me recomendaron. a continuacion pego el log de Sproces, dado que cuando intento ejecutar Eliscara me dice que necesito una version actualizada y no sbria de donde sacarla.



se agradece muchisimo la ayuda.



LOG SPROCES:



(18-11-2011 16:35:00 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: JUANPABLO

Usuario: Juan

Sesión de Usuario: Juan



39 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\ARCHIVOS DE PROGRAMA\COMODO\COMODO GEEKBUDDY\CLPSLS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SECURITY CLIENT\ANTIMALWARE\MSMPENG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\SCHEDULE2\SCHEDUL2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACRONIS\CDP\AFCDPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMGUI.EXE

C:\ARCHIVOS DE PROGRAMA\COMODO\COMODO INTERNET SECURITY\CFP.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WINDOWS\SYSTEM32\DLLHOST.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\MSDTC.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SECURITY CLIENT\MSSECES.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\CONTACTS\WLCOMM.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\DOCUMENTS AND SETTINGS\JUAN\ESCRITORIO\SPROCES\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.InfoSpyware.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-3842205432-1247761133-4038167064-1111\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 (User 'marcelog')

R0 - HKUS\S-1-5-21-3842205432-1247761133-4038167064-1111\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 (User 'marcelog')

R0 - HKUS\S-1-5-21-3842205432-1247761133-4038167064-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 (User 'administrador')

R0 - HKUS\S-1-5-21-3842205432-1247761133-4038167064-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 (User 'administrador')

R0 - HKUS\S-1-5-21-3962597396-1915481000-2848278714-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 (User 'Administrador.RIOINFORMATICA')

R0 - HKUS\S-1-5-21-3962597396-1915481000-2848278714-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 (User 'Administrador.RIOINFORMATICA')

F2 - REG:system.ini: Taskman=

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~4\Office14\GROOVEEX.DLL

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~4\Office14\URLREDIR.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-21-3842205432-1247761133-4038167064-1111\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'marcelog')

O4 - HKUS\S-1-5-21-3842205432-1247761133-4038167064-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'administrador')

O4 - HKUS\S-1-5-21-3962597396-1915481000-2848278714-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador.RIOINFORMATICA')

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [COMODO] C:\Archivos de programa\COMODO\COMODO GeekBuddy\CLPSLA.exe

O4 - HKLM\..\Run: [CPA] C:\Archivos de programa\COMODO\COMODO GeekBuddy\VALA.exe

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Archivos de programa\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000 (User 'marcelog')

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NWPROVAU.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_25) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A81BE60-30F9-4F20-B3CF-09270AB5E145}: NameServer = 8.26.56.26,156.154.70.22

O17 - HKLM\System\CCS\Services\Tcpip\..\{F7D2E26E-7AF1-481F-976D-D8DFF871EBF3}: NameServer = 8.26.56.26,156.154.70.22

O18 - Protocol: HPDCS - {BA135F49-A12C-4E26-A2C4-6EA945999072} - C:\Archivos de programa\Archivos comunes\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: TPSVC - Invalid registry found

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\ARCHIV~1\MICROS~4\Office14\GROOVEEX.DLL



Información Adicional:

----------------------

Carpeta: "C:\WINDOWS\$NtUninstallKB14163$" con atributo "Junction Point"

WinSys\Drivers\cmdGuard.sys (de 492768 bytes) () COMODO

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456320 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 691696 bytes) ()

WinSys\Drivers\tdrpm255.sys (de 911552 bytes) () Acronis

WinSys\Drivers\tdrpm273.sys (de 752128 bytes) () Acronis

WinSys\Drivers\timntr.sys (de 600928 bytes) () Acronis

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe

O23 - Service: Servicio Acronis Nonstop Backup (afcdpsrv) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\CDP\afcdpsrv.exe

**O23 - Service: COMODO livePCsupport Service (CLPSLS) - COMODO - C:\Archivos de programa\COMODO\COMODO GeekBuddy\CLPSLS.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Archivos de programa\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZinw12.dll

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\WINDOWS\system32\HPZipm12.dll

O23 - Service: Acronis True Image FS Filter (tifsfilter) - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\tifsfilt.sys

O23 - Service: Symantec V2i Mount Driver (v2imount) - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\v2imount.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: afcdp - Acronis - C:\WINDOWS\SYSTEM32\DRIVERS\afcdp.sys

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Creative AudioPCI (ES1371,ES1373) (WDM) (es1371) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\es1371mp.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: GearAspiWDM (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\GEARAspiWDM.sys

O23 - Service: HP1319EWS - Marvell Semiconductor, Inc. - C:\WINDOWS\SYSTEM32\Drivers\HP1319EWS.sys

O23 - Service: HP1319MFP FAX (HP1319FAX) - Marvell Semiconductor, Inc. - C:\WINDOWS\SYSTEM32\Drivers\HP1319FAX.sys

O23 - Service: HPEWSFXBULK - Hewlett Packard - C:\WINDOWS\SYSTEM32\drivers\hpfxbulk.sys

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: MBAMSwissArmy - Unknown owner - C:\WINDOWS\system32\drivers\mbamswissarmy.sys (file missing)

O23 - Service: USB EWS Device (mvusbews) - Marvell Semiconductor, Inc. - C:\WINDOWS\SYSTEM32\Drivers\mvusbews.sys

O23 - Service: NetGroup Packet Filter Driver (NPF) - CACE Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: VirtualBox Host-Only Ethernet Adapter (VBoxNetAdp) - Oracle Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetAdp.sys

O23 - Service: VBoxNetFlt Service (VBoxNetFlt) - Oracle Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VBoxNetFlt.sys

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

O23 - Service: Symantec Event Monitor Driver (VProEventMonitor) - Symantec Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\vproeventmonitor.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: CYGQSYXUECFD - Unknown owner - C:\DOCUME~1\Juan\CONFIG~1\Temp\CYGQSYXUECFD.exe (file missing)

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Administrador de Google Desktop 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)

O23 - Service: HP M1319 Receive Fax Service (HPM1319RcvFaxSrvc) - Marvell - C:\Archivos de programa\HP\HP LaserJet M1319 MFP Series\ReceiveFaxUtility.exe

O23 - Service: HP SI Service (HPSIService) - HP - C:\WINDOWS\system32\HPSIsvc.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: SymSnapService - Symantec - C:\Archivos de programa\Norton Ghost\Shared\Drivers\SymSnapService.exe



38 Servicios.

10 de Carga Automatica.

19 de Carga Manual.

9 Deshabilitados.



de nuevo gracias.



Logos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Problema de urgencia inmedita... Neat davinci server.com!!!! S.O.S.

Mensaje por msc hotline sat » 18 Nov 2011, 19:34

Cuando quieras puedes probar de bajar de nuevo el ELISTARA de la ruta indicada , ya se ha corregido el error.



Y tanto dicha utilidad, como el SPROCES que has probado, denotan la existencia del RootKit SIREFEF:



[i][b]Carpeta: "C:\WINDOWS\$NtUninstallKB14163$" con atributo "Junction Point"[/b][/i]



Este RootKit es de la familia de los ZEROACCES , muy complejo, pero que vamos controlando a medida que vamos recibiendo las muestras que pide el ELISIREF, pruebalo a ver que te dice:



[b] ELISIREF.EXE [/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso





y evidentemente si indica enviar muestra, hazlo para poder implementar su control y eliminacion en la siguiente version:



recuerda:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-11-2011

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Problema de urgencia inmedita... Neat davinci server.com!!!! S.O.S.

Mensaje por msc hotline sat » 18 Nov 2011, 19:49

Y ya que eres compañero de fatigas, segun dices : [b][i] "hola, le comento que trabajo reparando pc's y me encontre con un problema bastante complejo"[/i][/b],

te recomiendo leas esta noticia al respecto:



http://www.zonavirus.com/noticias/2011/sobre-las-ultimas-novedades-del-sirefef-y-su-deteccion-y-control-con-las-nuevas-versiones-de-sproces-elistara-elisiref.asp





Y añadir que cuando el ELISIREF.EXE detecta y llega a eliminar la carpeta de marras, vacunamos dicho ordenador contra este virus, impidiendo que vuelva a infectarse con él.





Todo un logro de nuestro equipo técnico, aunque no ha sido fácil, pues la complejidad y novedosa técnica empleada, hasta que no hemos visto las artimañas usadas para ocultarse y dificultar su eliminación, hemos estado 15 días peleandonos con él hasta llegar a detectarlo y eliminarlo si es una de las variantes ya conocidas, o pedir muestra en caso contrario, como hacen en el preanalisis heuristico nuestras utilidades, y asi poder ir mejorando cada una, día a día, como en este caso.



Si tienes alguna pregunta al respecto, será un placer contestarte en este foro.



saludos



ms, 18-11-2011

Responder

Volver a “Foro HijackThis - copia y pega tu log”